Todos querem manter suas informações seguras.
Na era da internet de hoje, manter todas as suas informações privadas seguras e longe de hackers exige um esforço sério. Suas informações pessoais parecem ser de domínio público. Todos os seus dados, detalhes de login e informações privadas estão em risco agora mais do que nunca. Além disso, há muitos golpes de e-mail circulando na web que podem enganá-lo a entregar suas informações sensíveis.
Phishing e spear phishing são dois dos tipos mais comuns de ciberataques. Para o propósito deste artigo, precisaremos definir o último.
O que é spear phishing?
Spear phishing é um golpe de e-mail direcionado a um indivíduo, uma empresa ou uma organização para roubar dados pessoais, como informações financeiras ou credenciais de conta.
Não importa se seus dados são pessoais ou relacionados a negócios, manter uma mentalidade de 'melhor prevenir do que remediar' é a melhor maneira de proteger a si mesmo e seu negócio. Quando se trata de segurança de dados, é importante ser proativo antes de ter que ser reativo. Implementar um plano de cibersegurança completo é um ótimo exemplo de se proteger antes que qualquer ataque possa ocorrer.
Spear phishing vs. phishing
Os termos phishing e spear phishing são frequentemente usados de forma intercambiável, mas isso está incorreto. Há uma diferença entre os dois, mesmo que seja sutil. A razão pela qual esses dois termos são frequentemente confundidos é porque ambos têm o propósito de adquirir informações sensíveis dos usuários.
Para ser claro, mesmo que os dois termos sejam diferentes, spear phishing é tecnicamente um subconjunto de phishing. Você poderia chamar um ataque de spear phishing de ataque de phishing, mas não o contrário.
Ataques de phishing
Phishing é um termo mais amplo que engloba qualquer tentativa de enganar as vítimas para que forneçam suas informações sensíveis. Geralmente, não é necessário muito conhecimento para executar uma grande campanha de phishing. A maioria dos ataques de phishing são operações rápidas, esperando enganar você para fornecer informações como dados de cartão de crédito ou nomes de usuário e senhas. Eles visam um grande número de alvos de baixo rendimento e são tipicamente menos danosos do que os ataques de spear phishing.
Os ataques de phishing não são personalizados para um usuário específico. Em vez disso, o atacante enviará um e-mail para uma grande quantidade de pessoas ao mesmo tempo. Os ataques de phishing podem ter alguns objetivos diferentes. Os atacantes podem estar atrás de informações pessoais, como números de segurança social ou detalhes bancários, para cometer roubo de identidade. Eles podem ter como objetivo minerar dados empresariais para obter acesso a contas e credenciais confidenciais. Por último, eles podem usar malware ou vírus para corromper seu computador e roubar seus dados pessoais.
Quer aprender mais sobre Software Antivírus? Explore os produtos de Antivírus.
Ataques de spear phishing
Spear phishing, por outro lado, é um método de phishing que visa um indivíduo específico, empresa ou grupo de funcionários dentro dessa empresa. Ao contrário dos ataques de phishing, os ataques de spear phishing exigem muito mais pensamento e tempo para serem realizados. Eles exigem habilidades de hacking altamente avançadas e detalhes aprofundados sobre a(s) vítima(s) alvo(s).
Os atacantes visam reunir o máximo de informações pessoais sobre suas vítimas para que sua mensagem pareça mais convincente. É por isso que leva muito mais tempo para elaborar um e-mail de spear phishing. Quanto mais informações um atacante puder descobrir sobre a vítima, mais convincente ele pode ser na mensagem de spear phishing.
Você sabia: 71,4% dos ataques direcionados e violações de dados envolveram o uso de e-mails de spear phishing?
A partir dessa única estatística, fica claro que os usuários de e-mail são o principal alvo, bem como o elo mais fraco quando se trata de segurança da tecnologia da informação.
Essas mensagens são escritas para abordar especificamente a vítima individual e ninguém mais. O atacante se disfarça como uma entidade confiável, muitas vezes alguém que a vítima conhece pessoalmente, na tentativa de aumentar suas chances de obter informações pessoais da vítima. Essa técnica geralmente busca dados mais confidenciais, como processos de negócios, informações de identidade pessoal, segredos da empresa ou detalhes financeiros da empresa.
Embora os ataques de phishing tenham começado em meados da década de 1990 como golpes do príncipe nigeriano, ao longo do tempo eles evoluíram para campanhas incrivelmente detalhadas e direcionadas que são altamente eficazes e desafiadoras de parar.
Uma maneira de se proteger é implementar um software de prevenção de perda de dados (DLP). Este software é usado para garantir o controle e a conformidade das informações comerciais sensíveis. Um componente chave das soluções DLP é o controle de distribuição, que garante que os usuários não enviem informações privadas fora das redes comerciais corporativas.
Como funciona o spear phishing?
Spear phishing geralmente tem como alvo empresas, já que uma grande parte de seus dados está disponível online, o que pode ser facilmente minerado e sem suspeitas. Os atacantes podem navegar no site da empresa e encontrar seu jargão, suas parcerias, eventos que frequentam e o software que usam. Por outro lado, os atacantes podem encontrar detalhes mais pessoais, como a localização da vítima, responsabilidades de trabalho e seus colegas, olhando seus perfis sociais.
O processo de spear phishing
Não importa se o atacante está tentando roubar a identidade de alguém ou tentando obter acesso a dados empresariais, eles coletam o máximo de informações sobre sua vítima para serem o mais enganadores possível. Depois de fazer a pesquisa, o atacante pode polvilhar a mensagem com nomes, termos ou lugares específicos para torná-la mais convincente. O spear phishing é tão bem-sucedido porque parece familiar.
Um e-mail de spear phishing será enviado de uma fonte familiar e confiável, como Google ou PayPal. Se um atacante descobrir que sua vítima usa regularmente o PayPal para enviar dinheiro a amigos e familiares, ele pode se disfarçar como um bot do PayPal e pedir que a vítima altere sua senha. Uma vítima desavisada não pensará duas vezes e, de repente, seus dados de cartão de crédito estão comprometidos.
Para começar, os atacantes de spear phishing geralmente têm como alvo pessoas que compartilham voluntariamente informações pessoais na internet. Apenas navegando em um perfil social, os atacantes podem ser capazes de encontrar o endereço de e-mail de alguém, localização geográfica, toda a sua rede de conexões profissionais e qualquer postagem sobre compras recentes que fizeram. Com esses detalhes, os atacantes podem agir como um amigo ou uma marca familiar que a vítima confia e criar um e-mail personalizado que soa e parece estranhamente autêntico.
Além disso, para aumentar a chance de obter informações da vítima, essas mensagens geralmente terão explicações urgentes sobre por que precisam dessas informações. As vítimas-alvo podem ser incentivadas a clicar em um anexo malicioso ou clicar em um link falso que as leva a um site falsificado onde podem ser solicitadas a inserir senhas, nomes de usuário, números de conta ou PINs. Esses sites também podem conter malware que irá infiltrar-se no computador da vítima assim que ela clicar no link.
Um atacante agindo como um amigo pode enganar uma vítima pedindo senhas sociais (Ex: sua senha do Facebook) para obter acesso a certas fotos ou vídeos. Na realidade, quando a senha é fornecida, o atacante a usará (e variações dela) para tentar fazer login em outros sites que contêm informações sensíveis, como números de cartão de crédito ou registros de saúde. Uma vez que esses atacantes têm uma senha, é infinitamente mais fácil acessar outros sites e contas ou até mesmo criar uma identidade totalmente nova com as informações da vítima.
O processo geralmente é assim: Um e-mail é recebido, parecendo ser de uma fonte confiável. A mensagem é frenética, solicitando que você envie de volta informações pessoais ou até mesmo detalhes de conta bancária. Como o atacante fez sua pesquisa e incluiu informações como nomes de colegas ou um local frequentemente visitado, o destinatário acreditará que a mensagem é de uma pessoa confiável. Se tudo correr conforme o planejado, a mensagem direciona a vítima para um site falsificado repleto de malware. O atacante está dentro e agora tem acesso a dados confidenciais da empresa.
Você pode pensar que é esperto o suficiente para detectar quais e-mails são legítimos e quais são iscas, mas nunca se pode estar seguro demais. É importante se atualizar sobre as maneiras de identificar facilmente um e-mail de spear phishing.
O que é whaling?
Ao lidar com e-mails de spear phishing, você pode fazer uma pequena pesquisa e se deparar com o termo 'whaling'. Ataques de spear phishing que têm como alvo executivos de alto nível, políticos ou celebridades são comumente chamados de ataques de whaling. Esses e-mails geralmente envolvem o atacante se passando por um CEO (ou outro executivo importante) com o objetivo de usar esse título elevado para convencer a vítima a compartilhar informações confidenciais, discutir segredos da empresa ou fazer pagamentos sem questionar.
Os atacantes de whaling se disfarçarão com o título, posição ou número de telefone de um executivo, que podem ser encontrados em contas de mídia social, comunicados de imprensa ou no site da empresa.
Um experimento de whaling foi conduzido que teve como alvo apenas CEOs. Quando tudo foi dito e feito, uma impressionante três quartos deles foram enganados pelas mensagens simuladas.
Outros termos que você deve conhecer incluem smishing e vishing.
- Smishing: ataques enviados por mensagens de texto
- Vishing: ataques realizados por meio de chamadas telefônicas
4 maneiras de identificar e-mails de spear phishing
Embora os e-mails de spear phishing sejam extremamente direcionados e convincentes, há alguns fatores-chave que os diferenciam de seus e-mails normais do dia a dia.
1. Endereço de e-mail incorreto
O sinal de alerta mais óbvio é um endereço de e-mail incorreto (ou um que é próximo de um endereço familiar, mas ainda diferente). O truque aqui é que os endereços de e-mail podem ser facilmente falsificados ou podem não ser visivelmente diferentes sem uma inspeção super cuidadosa. Normalmente, o e-mail terá um erro tipográfico ou uma letra/número fora do lugar que não se destaca à primeira vista. Por exemplo, em vez de um "L" minúsculo, um atacante pode usar um "i" maiúsculo.
2. Um senso de urgência
Outro sinal de alerta comum em e-mails de spear phishing é um senso de urgência. O remetente pode precisar de acesso instantâneo a uma conta da empresa, alegando algo como "Eu precisarei de acesso à conta (x) até as 11h de hoje. Se você puder enviar os detalhes de login, eu realmente apreciaria."
Esse senso de urgência é frequentemente acompanhado pelo desejo de quebrar as regras da empresa. O remetente pode querer obter acesso ao software da empresa e esquecer todas as políticas e procedimentos normais.
3. Eles instilam medo
Os atacantes podem seguir uma rota mais maligna e instilar medo no coração de sua vítima usando linguagem emotiva. Eles podem agir como um executivo de nível C e dizer que precisam de credenciais para uma determinada conta ou dinheiro para uma despesa comercial, e se você não cumprir, estará decepcionando-os.
4. Terminologia desconhecida
Muitas empresas têm terminologia ou jargão comum que usam internamente. Seja uma frase comum em um departamento ou o termo que os funcionários usam para se referir à alta administração, o jargão da empresa é altamente pessoal e geralmente só é usado naquela empresa.
Uma maneira útil de determinar se você recebeu um e-mail de spear phishing é se esse jargão está ausente quando normalmente estaria presente. Claro, nem todo e-mail comercial conterá terminologia personalizada, mas se seu departamento sempre usa o termo "extrato de conta" e o remetente usa "extrato financeiro" em vez disso, não custa ser cauteloso e verificar com o remetente.
Outro exemplo disso é quando você recebe um e-mail de toda a empresa do CEO. Se eles sempre se despedem com "Tudo de bom" e de repente usam "Saudações", isso deve acionar alarmes.
Exemplos de spear phishing
Um atacante pode estar atrás de uma pessoa (como um CEO) ou de uma empresa inteira. Existem várias táticas que o spear phishing usa e algumas das mais comuns incluem a personificação de CEO e a inclusão de um link malicioso. O primeiro exemplo de spear phishing que veremos é um e-mail de fraude de CEO.
Fraude de CEO
Este funcionário recebeu um e-mail de um atacante fingindo ser seu CEO. Frequentemente, esses e-mails são projetados para enganar os funcionários a entregar dados ou outras informações sensíveis. O medo que o funcionário tem de irritar alguém mais alto na empresa é o que torna esse golpe tão eficaz.
O tom profissional e a linha de assunto deste e-mail poderiam enganar qualquer funcionário desavisado. Se não forem cuidadosos, o funcionário poderia ter enviado para seu gerente ou até mesmo para o CFO e agravado o problema. É por isso que educar sua equipe sobre e-mails de phishing é tão importante.
Link de e-mail malicioso
A maioria dos e-mails de phishing contém um link malicioso. Neste exemplo, um funcionário recebeu um e-mail de um atacante se passando por alguém do departamento de TI da empresa. O atacante fez uma pesquisa minuciosa e conseguiu descobrir quais serviços eles usam e como melhor se passar por "Amy Lee".
A primeira vista, o endereço de e-mail parece legítimo e o tom da mensagem é bastante profissional. O atacante diz ao funcionário que a empresa estará transferindo dados de um programa para outro. Se clicassem no link, o funcionário seria direcionado para um site falso onde seria solicitado a criar uma conta e inserir informações pessoais.
No final do dia, a melhor maneira de impedir que os atacantes obtenham acesso às suas informações sensíveis é evitar clicar em qualquer link dentro de e-mails.
Como evitar spear phishing
Não importa se você é um associado ou o diretor financeiro, os atacantes de spear phishing podem escolher você como sua próxima vítima para obter acesso aos seus dados pessoais ou às informações sensíveis da sua empresa. Aqui estão algumas dicas principais para se defender e proteger sua empresa contra ataques de spear phishing:
Seja cauteloso antes de clicar
- Evite clicar em links ou baixar anexos de e-mails desconhecidos.
- Para estar seguro, sempre verifique o e-mail do remetente para confirmar que você está falando com alguém em quem confia.
- Tenha cuidado com e-mails (de colegas ou estranhos) que usam um tom urgente. Se você quiser confirmar que o e-mail é da pessoa correta, ligue ou envie uma mensagem para ela em outra rede social para verificar a validade da mensagem.
- Incentive todos os funcionários a relatar qualquer e-mail potencial de phishing ou spear phishing para que sua equipe possa interromper os ataques em seu caminho.
- Nunca envie informações pessoais (especialmente financeiras ou confidenciais) por e-mail. Se você receber um e-mail solicitando essas informações, evite o risco e vá direto à fonte para verificar se a mensagem é real.
Prepare-se com antecedência
- Conte com a ajuda da autenticação de dois fatores. Ao fazer isso, você ajudará a proteger logins para aplicativos sensíveis, exigindo que os usuários insiram duas peças de dados em vez de uma. Isso geralmente é a senha normal e um código que é enviado para o telefone ou computador do usuário. Quando você usa 2FA, mesmo que a senha de um funcionário seja comprometida, ela não será útil para o atacante sem o segundo código que será enviado apenas para o funcionário.
Se você está procurando proteção extra contra potenciais hackers, fazer backup frequente dos seus dados é a sua melhor aposta. O software de backup oferece proteção para dados empresariais, armazenando dados em caso de erro do usuário, arquivos corrompidos ou desastres físicos. Dê uma olhada nas principais ferramentas de software de backup e encontre a melhor opção para as necessidades da sua empresa. - Tenha senhas inteligentes. Cada senha que você criar (especialmente para contas empresariais) deve ser completamente diferente das outras. Os atacantes podem decifrar o código muito mais facilmente se todos os seus logins forem variações de uma senha.
Relacionado: Um pouco assustado? Repensando todas aquelas senhas do ensino médio? Descubra como criar uma senha forte e durma tranquilo esta noite.
- Envie uma mensagem para a empresa sobre os perigos dos e-mails de phishing. Além disso, você pode realizar uma sessão que explique o que deve e o que não deve ser compartilhado online para manter a empresa o mais protegida possível.
- Implemente uma ferramenta de prevenção de perda de dados para sua empresa.
- Instale segurança de e-mail hospedada e proteção anti-spam para estabelecer a primeira linha de defesa.
Não morda a isca
A primeira linha de defesa para se proteger contra golpistas e hackers é se educar sobre as melhores práticas em cibersegurança. Se você é um executivo de nível C, é especialmente importante que você reconheça os sinais de alerta, e rapidamente. Sua segurança depende de sua dedicação em fazer sua própria pesquisa.
Se sua empresa for alvo, pode levar meses, até anos para se recuperar de um ataque cibernético. Agora que você leu sobre o que é spear phishing, viu alguns exemplos e descobriu como pode se proteger melhor, está bem equipado para prevenir quaisquer ataques futuros.
Quer aprender mais? Descubra as melhores práticas que você pode usar para aumentar a segurança de dados da sua empresa.
Alexa Drake
Alexa is a former content associate at G2. Born and raised in Chicago, she went to Columbia College Chicago and entered the world of all things event marketing and social media. In her free time, she likes being outside with her dog, creating playlists, and dabbling in Illustrator. (she/her/hers)
