O spear phishing é uma forma sofisticada de ciberataque em que os atacantes visam indivíduos ou organizações específicas, utilizando frequentemente informações personalizadas para aumentar as suas hipóteses de sucesso. Ao contrário das tentativas de phishing genéricas, que lançam uma rede alargada, o spear phishing é altamente direcionado e personalizado, o que o torna mais perigoso. Os atacantes podem fazer-se passar por contactos de confiança ou utilizar uma linguagem familiar para enganar as vítimas e levá-las a revelar informações sensíveis, como palavras-passe ou dados financeiros. Compreender as tácticas utilizadas no spear phishing e implementar medidas preventivas é crucial para salvaguardar a segurança pessoal e organizacional.
O que é Spear Phishing? Igual ao phishing, mas um pouco mais direto
Todos nós já ouvimos falar do termo phishing e de como funciona, em que um e-mail genérico é enviado com um URL ou anexo encriptado e quando se clica nele "BOOM"... foi apanhado. Mas o que estamos a ver agora é um aumento do spear phishing.
O Spear phishing é tecnicamente o mesmo, mas com uma abordagem mais direta e orientada. Os piratas informáticos passam algum tempo a investigar a vida, os interesses e as funções de um indivíduo ou de um pequeno grupo de pessoas e criam um e-mail que parece legítimo e interessante, suficientemente interessante para ser clicado. E se essa pessoa clicar e ativar o malware, este pode espalhar-se e causar efeitos prejudiciais na empresa
.
O Federal Bureau of Investigation efectuou uma investigação detalhada sobre spear phishing e informou que a maior parte do spear phishing é dirigida a empresas que utilizam "transferências electrónicas como método comum de transferência de fundos para fins comerciais". Este esquema é também conhecido como BEC Scam, que é definido como um "...esquema sofisticado que visa empresas que trabalham com fornecedores estrangeiros e/ou empresas que efectuam regularmente pagamentos por transferência eletrónica. A fraude é levada a cabo comprometendo contas de correio eletrónico de empresas legítimas através de engenharia social ou técnicas de intrusão informática para efetuar transferências de fundos não autorizadas."
Aqui está um rápido olhar sobre como os "Spear Phishermen" visam e capturam
Spear Phishing no Facebook
As suas actualizações podem revelar muito sobre si enquanto pessoa. Os seus hábitos de consumo, o nome do seu cão, uma fotografia sua recentemente de férias na Grécia ou a compra do seu belo carro novo. Os phishers podem criar um e-mail credível pedindo-lhe para rever as suas férias recentes ou para comprar comida de cão com desconto que tenha o nome do seu cão, o que incluiria um link cheio de malware. Não estamos a dizer que nunca mais deve atualizar nada, mas tenha cuidado e pense antes de publicar ou clicar!
Spear Phishing no Twitter
O seu twitter está cheio de hashtags, #sister #bestfriend #family... e normalmente ligadas a estas estão etiquetas com nomes de pessoas, localizações e até imagens. Isto torna mais fácil para os phishers criarem uma persona "hide behind". Se recebesse um e-mail com o nome da sua irmã, pensaria automaticamente que não há problema e nunca pensaria que se tratava de um e-mail de phishing, mas infelizmente, por vezes, são.
Spear Phishing no LinkedIn
Tem a sua imagem, o título da sua empresa, o nome da empresa, todos os empregados ligados e tudo o que lhe interessa é visível. Os phishers podem usar isto contra si e para
manipulá-lo. Não é um pensamento assustador? Tudo o que faz online e aquilo com que interage são basicamente blocos de construção para o seu próprio ataque de spear phishing.
Junte tudo isto e será o alvo principal de um escândalo de spear phishing que, se for clicado, pode ser enviado para os seus colegas, o que se torna um efeito de bola de neve. Tenha cuidado e não comece a bola de neve
.
Spear Phishing: Como evitar e reduzir as hipóteses de ser vítima
1) Como evitar o Spear Phishing? Esteja atento
Atualmente, com todos os seus dados em linha, as suas informações podem ser obtidas e utilizadas muito facilmente. Não dê demasiadas informações e nunca publique dados pessoais como a morada, o número de telefone ou os dados bancários. Mesmo assim, divirta-se, publique fotografias engraçadas, diga aos seus amigos que teve o melhor dia na praia com a sua família, até diga a toda a gente que comeu um burrito ao almoço... mas tenha cuidado. Se receber um e-mail sobre um "burrito grátis" do seu takeaway favorito à beira-mar, provavelmente não é coincidência! Esteja atento e mantenha-se vigilante.
2) Como evitar o Spear Phishing? Verificar as ligações
Os e-mails de spear phishing têm normalmente ligações, pedindo-lhe que clique para alterar uma palavra-passe, verificar detalhes ou inscrever-se em algo novo e exclusivo. Mas antes de clicar, a melhor coisa a fazer é verificar o URL passando o rato por cima da hiperligação. Se se tratar de um esquema de phishing, pode apostar que o URL será algo completamente irrelevante para o e-mail e, por vezes, seguido de uma linha de números e dígitos aleatórios.
3) Como evitar o Spear Phishing? Use a lógica
Porque é que o seu colega de trabalho quer saber os seus dados bancários? Porque é que o seu chefe lhe enviaria um link para clicar numa ligação para ver a sua conta telefónica? O mais provável é que não o fizesse, por isso, em caso de dúvida, contacte diretamente essa pessoa e verifique se foi ela que enviou a mensagem de correio eletrónico. E se receber um e-mail de phishing, apague-o imediatamente! Mais vale prevenir do que remediar.
Saiba mais sobre como proteger os seus funcionários contra o Spear Phishing
Melhore a sua consciencialização para a segurança cibernética através dos programas de formação da MetaCompliance, particularmente o MetaPhish, a nossa plataforma avançada de simulação de phishing.