Spear Phishing é uma forma direcionada de ataque de phishing, em que os invasores obtêm informações úteis sobre a vítima por meio de pesquisa, engenharia social e outros meios.

Um ataque de spear phishing é mais poderoso que um phishing, pois é construído com base em informações coletadas sobre um grupo ou indivíduos específicos. Os invasores por trás do spear phishing são capazes de falsificar um endereço de e-mail, criar assuntos personalizados de e-mail e conteúdo, para induzir as pessoas a abrir um anexo ou clicar em links que contenham código malicioso para serem executados em segundo plano.

Os números são assustadores

Pesquisas recentes estimam que mais de 1,5 milhão de novos sites são criados todos os meses, com o único propósito de realizar ataques de phishing. Os relatórios sugerem que 30% dos ataques de phishing são bem-sucedidos, pois os indivíduos abrem anexos ou clicam em links. De acordo com o SANS Institute, a taxa de sucesso de ataques de spear phishing nas redes corporativas é de 95%.

Lições a serem aprendidas

Os ataques realizados recentemente e sua taxa de sucesso mostram que os indivíduos não conseguem identificar e-mails de phishing. Os hackers estão escolhendo seus alvos com muito cuidado. Por exemplo, eles focam como alvo principal os representantes de RH, executivos no nível de diretoria e equipe de finanças, sabendo que esses indivíduos têm mais conhecimento e acesso a questões financeiras nas organizações. O resultado de um ataque bem sucedido de spear phishing é tão lucrativo, que os atacantes podem levar anos se preparando para um ataque.

As mídias sociais ainda são consideradas a principal fonte de coleta de informações sobre os alvos. Os indivíduos (colaboradores) são considerados o elo mais fraco das organizações, pois não possuem as habilidades para identificar os ataques. De acordo com um relatório da Intel Security, 97% das pessoas no mundo são incapazes de distinguir entre um e-mail verdadeiro e um de spear phishing, tornando mais fácil serem enganadas pelos atacantes.

Como funciona um ataque de spear phishing

Embora os e-mails de spear phishing sejam altamente segmentados e, portanto, provavelmente diferentes de organização para organização, alguns pontos em comum devem gerar sinais de alerta aos usuários. O sinal mais óbvio é um endereço de e-mail incorreto ou um pouco diferente de um que você espera. Apesar dessa cautela, os endereços de e-mail podem ser falsificados ou podem não ser perceptivelmente diferentes sem uma inspeção rigorosa.

Uma das características mais comuns de spear phishing envolve a exploração de um senso de urgência. Seja clicar em uma URL para alterar uma senha expirada, sem a qual a pessoa não pode mais acessar uma conta, ou abrir um anexo com um documento importante, geralmente uma fatura, documento de rastreamento de remessa ou contrato atualizado, a meta final é incutir um senso de urgência para a execução de uma tarefa, usando uma linguagem conhecida.

A urgência será muitas vezes acompanhada da quebra de uma política ou a norma da empresa, acelerando os pagamentos sem as verificações e procedimentos habituais. Os criminosos também podem usar linguagem emotiva, para invocar simpatia ou medo. Pode ser uma mensagem falsa do presidente da empresa pressionando para que o pagamento seja efetuado de forma urgente, por exemplo.

Outra característica a ser observada é a redação e a terminologia. O e-mail inclui linguagem comercial ou expressões que normalmente não são usadas em sua empresa ou por sua equipe? Muitas empresas detectam uma fraude por causa de pequenas coisas que parecem insignificantes. Por exemplo: algumas organizações usam o termo “transferência bancária”, enquanto os fraudadores podem usar “transferência eletrônica”, ou se o falso remetente assina os e-mails com “obrigado”, enquanto normalmente assinam com “um abraço”.

Geralmente, os e-mails falsos contêm arquivos ou links para arquivos que exigem a ativação de macros. Isso é um sinal de alerta. A maioria das macros é benigna, mas será que o usuário normalmente espera receber isso? É realmente necessário permitir que as macros façam essa tarefa?

As empresas precisam agir

As organizações devem implementar controles técnicos e humanos para mitigar a ameaça de spear phishing. Juntamente com controles padrão, como filtros de spam, detecção de malware e antivírus, as empresas devem considerar testes de simulação de phishing, educação do usuário e um processo definido para que os usuários relatem e-mails suspeitos para a equipe de segurança de TI.

Uma das maneiras mais simples pelas quais as empresas podem atuar para evitar o comprometimento do e-mail comercial é simplesmente marcar os e-mails quando chegam ao gateway e colocar “externo” na linha do assunto. Isso não necessariamente irá impedir um ataque, mas potencialmente permitirá que os usuários finais pensem que algo pode estar errado.

É preciso ir além da proteção tradicional. Os hackers provavelmente lançarão mais ataques baseados em nuvem nos próximos anos, já que é fácil personificar uma identidade e ocultar o rastreamento dos ataques usando roteadores e servidores VPN comprometidos. As organizações precisarão de soluções avançadas e atualizadas, para identificar os ataques de phishing baseados em nuvem.

A melhor providência no combate a ataques direcionados é adotar funcionalidades de detecção proativa. A detecção antecipada é crucial na prevenção de ataques direcionados que causam vazamento de dados confidenciais da empresa.