O spear phishing é uma forma sofisticada de ciberataque em que os atacantes visam indivíduos ou organizações específicas, utilizando frequentemente informações personalizadas para aumentar as suas hipóteses de sucesso. Ao contrário das tentativas de phishing genéricas, que lançam uma rede alargada, o spear phishing é altamente direcionado e personalizado, o que o torna mais perigoso. Os atacantes podem fazer-se passar por contactos de confiança ou utilizar uma linguagem familiar para enganar as vítimas e levá-las a revelar informações sensíveis, como palavras-passe ou dados financeiros. Compreender as tácticas utilizadas no spear phishing e implementar medidas preventivas é crucial para salvaguardar a segurança pessoal e organizacional.

O que é Spear Phishing? Tal como o phishing, mas um pouco mais direto

Todos nós já ouvimos falar do termo phishing e de como funciona, em que um e-mail genérico é enviado com um URL ou anexo encriptado e quando se clica nele “BOOM”… foste apanhado. Mas o que estamos a ver agora é um aumento do spear phishing.

O Spear phishing é tecnicamente o mesmo, mas com uma abordagem mais direta e orientada. Os hackers passam algum tempo a investigar a vida, os interesses e as funções de um indivíduo ou de um pequeno grupo de pessoas e criam um e-mail que parece legítimo e interessante, suficientemente interessante para ser clicado. E se essa pessoa clicar e ativar o malware, este pode espalhar-se e causar efeitos prejudiciais na empresa
.

O Federal Bureau of Investigation realizou uma pesquisa detalhada sobre spear phishing e informou que a maior parte do spear phishing é dirigida a empresas que utilizam “transferências electrónicas como método comum de transferência de fundos para fins comerciais”. Isto também é conhecido como BEC Scam, que é definido como um “…esquema sofisticado que visa empresas que trabalham com fornecedores estrangeiros e/ou empresas que efectuam regularmente pagamentos por transferência eletrónica. A burla é levada a cabo comprometendo contas de correio eletrónico de empresas legítimas através de engenharia social ou técnicas de intrusão informática para efetuar transferências de fundos não autorizadas”.

Aqui está uma rápida olhada em como os “pescadores de arpão” visam e capturam

Spear Phishing no Facebook

As tuas actualizações podem revelar muito sobre ti enquanto pessoa. Os teus hábitos de consumo, o nome do teu cão, uma fotografia tua recentemente de férias na Grécia ou a compra do teu lindo carro novo. Os phishers podem criar um e-mail credível pedindo-te para reveres as tuas férias recentes ou para comprares comida de cão com desconto que tenha o nome do teu cão, o que incluiria um link cheio de malware. Não estamos a dizer que nunca mais deves atualizar nada, mas tem cuidado e pensa antes de publicar ou clicar!

Spear Phishing no Twitter

O teu twitter está cheio de hashtags, #sister #bestfriend #family… e normalmente ligadas a estas estão etiquetas com nomes de pessoas, localizações e até imagens. Isto faz com que seja fácil para os phishers criarem uma persona “hide behind”. Se recebesses um e-mail com o nome da tua irmã, pensarias automaticamente que está tudo bem e nunca pensarias que se trata de um e-mail de phishing, mas, infelizmente, às vezes são.

Spear Phishing no LinkedIn

Tens a tua imagem, o título da tua empresa, o nome da empresa, todos os empregados ligados e tudo o que te interessa é visível. Os phishers podem usar isto contra ti e para
manipular-te. Não achas que é um pensamento assustador? Tudo o que fazes online e com o que interages são basicamente blocos de construção para o teu próprio ataque de spear phishing.
Se juntares tudo isto, és o alvo principal de um escândalo de spear phishing que, se for clicado, pode ser enviado para os teus colegas, o que se torna um efeito de bola de neve. Tem cuidado e não comeces a bola de neve
.

O que é Spear Phishing? Tal como o phishing, mas um pouco mais direto

Spear Phishing: Como evitar e reduzir as hipóteses de ser vítima

1) Como evitar o Spear Phishing? Fica atento

Com todos os teus dados online agora, a tua informação pode ser obtida e utilizada muito facilmente. Não dês demasiadas informações e nunca publiques dados pessoais como a morada, o número de telefone ou os dados bancários. Mesmo assim, diverte-te, publica fotos engraçadas, diz aos teus amigos que tiveste o melhor dia na praia com a tua família, até diz a toda a gente que comeste um burrito ao almoço… mas tem cuidado. Se receberes um e-mail sobre um “burrito grátis” do teu takeaway preferido à beira-mar, provavelmente não é coincidência! Fica atento e mantém-te vigilante.

2) Como evitar o Spear Phishing? Verifica as ligações

Os e-mails de spear phishing têm normalmente links, pedindo-te para clicares para alterar uma palavra-passe, verificar detalhes ou inscreveres-te em algo novo e exclusivo. Mas antes de clicares, a melhor coisa a fazer é verificar o URL passando o cursor do rato sobre a ligação. Se for um esquema de phishing, podes apostar que o URL será algo completamente irrelevante para o e-mail e, por vezes, seguido de uma linha de números e dígitos aleatórios.

3) Como evitar o Spear Phishing? Usa a lógica

Por que razão o teu colega de trabalho quereria saber os teus dados bancários? Porque é que o teu chefe te enviaria um link para clicares numa ligação para veres a tua conta telefónica? O mais provável é que não o faça, por isso, em caso de dúvida, contacta a pessoa diretamente e verifica se foi ela que enviou o e-mail. E se receberes um e-mail de phishing, elimina-o imediatamente! Mais vale prevenir do que remediar.

Como evitar o Spear Phishing? MetaCompliance

Descobre mais sobre como proteger os teus funcionários contra Spear Phishing

Melhora a tua sensibilização para a cibersegurança através dos programas de formação da MetaCompliance, em particular o MetaPhish, a nossa plataforma avançada de simulação de phishing.