Identificando e prevenindo ataques de Spear Phishing
Publicado em: 27 Set 2022
Última modificação em: 24 Jul 2025
O Spear phishing é uma ameaça séria para as organizações em todo o mundo, mas este tipo de phishing altamente direcionado pode ser difícil de evitar.
Um relatório da empresa de segurança Ivanti destaca a taxa de sucesso do spear phishing: quase três quartos (73%) das organizações disseram à Ivanti que o pessoal de TI é alvo de spear phishing, e quase metade das tentativas (47%) são bem sucedidas.
O que é Spear Phishing?
O spear phishing é uma forma de phishing altamente direcionada. Uma campanha de phishing envia normalmente um e-mail em massa a muitas pessoas, mas as campanhas de spear phishing concentram-se num ou em alguns indivíduos; estes indivíduos trabalham normalmente para uma organização específica ou estão associados a ela.
O spear phishing chega frequentemente por correio eletrónico, mas também pode ser phishing por telefone (Vishing) ou por mensagem móvel (SMShing).
O spear phishing utiliza tácticas avançadas de engenharia social para criar uma campanha eficaz de spear phishing com base em informações recolhidas sobre um alvo. As informações necessárias para aperfeiçoar um e-mail de spear phishing são recolhidas através de qualquer meio, incluindo publicações nas redes sociais, sites de empresas, contas online pirateadas, etc.
Os cibercriminosos são mesmo conhecidos por estabelecerem uma relação com o seu alvo através de correio eletrónico ou telefone, ganhando a confiança do empregado e encorajando-o a partilhar detalhes pessoais ou da empresa. Quando o cibercriminoso tem informações suficientes sobre um alvo, cria um e-mail personalizado que parece legítimo.
O objetivo de uma tentativa de spear phishing é, normalmente, roubar credenciais de início de sessão. Estas credenciais podem então ser utilizadas para obter acesso a uma rede empresarial. O resultado da engenharia social de um empregado é uma infeção por malware, incluindo ransomware, roubo de dados, Business Email Compromise (BEC) e outras formas de ataque cibernético.
Embora a utilização da autenticação multifactor (MFA) possa ajudar a reduzir o risco de um ataque, não é uma garantia: uma recente campanha de phishing dirigida a utilizadores do Office 365 conseguiu contornar qualquer MFA utilizada pelos funcionários.
Como é que os cibercriminosos utilizam os ataques de Spear Phishing
Os cibercriminosos utilizam o spear phishing para centrar um ataque numa empresa específica. Estas campanhas podem visar diretamente (um empregado) ou indiretamente, ou seja, centrar-se num fornecedor da cadeia de abastecimento para atacar uma organização mais a montante na cadeia de abastecimento.
Muitas vezes, os ataques de spear phishing fazem parte de um ciclo de ataques em que os dados, incluindo as palavras-passe, são roubados, o que leva à infeção por malware, a mais roubo de credenciais e a dados roubados. O processo começa com um e-mail, Vishing ou SMShing. O spear phishing envolve frequentemente um planeamento estratégico de alto nível, que pode exigir várias etapas coreografadas para atingir o objetivo do hacker.
Exemplos de ataques de Spear Phishing
Spear Vishing: a Em 2020, um ataque de phishing no Twitter fez manchetes quando os hackers conseguiram enviar tweets de várias contas de alto perfil, incluindo Joe Biden, Barack Obama, Bill Gates e Elon Musk. O ataque ao Twitter centrou-se numa chamada telefónica de phishing (Vishing) para os funcionários visados, até que um deles deu aos atacantes as credenciais de acesso às ferramentas internas. Estas credenciais foram depois utilizadas para aumentar os privilégios para um nível superior.
E-mail de spear phishing: um e-mail de spear phishing fez-se passar pelo Departamento do Trabalho dos EUA (DoL) para atingir várias organizações. O objetivo da mensagem de correio eletrónico falsa era roubar as credenciais de início de sessão do Office 365. O e-mail baseava-se em domínios habilmente disfarçados para fazer com que o e-mail parecesse ser legitimamente do DoL.
Além disso, o e-mail fingia ser de um funcionário sénior do DoL, convidando a organização destinatária a apresentar uma proposta para um projeto governamental. Ao clicar no “botão de licitação”, o funcionário era levado para um site de phishing onde as credenciais de login do Office 365 eram roubadas.
Como detetar um e-mail de Spear Phishing
Estes e-mails são notoriamente difíceis de detetar, simplesmente porque a sua criação envolveu muito trabalho. No entanto, há alguns pontos a verificar que podem ajudar os empregados a identificar sinais reveladores.
- Muitas vezes, os e-mails de spear phishing aproveitam posições de autoridade, por exemplo, suporte de TI, para forçar uma ação por parte de um funcionário, por exemplo, introduzir uma palavra-passe numa página Web falsa. Verifica o endereço de e-mail do remetente. Pode ser parecido com o verdadeiro, mas com algumas diferenças subtis.
- O formato da mensagem corresponde ao que estás habituado? Por exemplo, se o e-mail for supostamente do suporte de TI, a forma como está escrito e formatado reflecte e-mails anteriores do suporte de TI?
- O e-mail exige a introdução de demasiados dados ou informações que parecem desnecessários? Por exemplo, é-te pedido que inicies sessão numa aplicação na nuvem da empresa depois de clicares numa ligação num e-mail sem qualquer razão convincente – parece-te suspeito?
Outra coisa de baixa tecnologia que podes fazer para ajudar a evitar um incidente de spear phishing é verificar novamente com o suposto remetente do e-mail: liga-lhe para verificar se o e-mail é realmente dele.
Proteger-te de um ataque
As camadas de proteção são a melhor forma de lidar com a ameaça do spear phishing. Aqui estão as seis principais formas de te protegeres a ti e à tua empresa de um ataque:
Não partilhes demasiado nas redes sociais
Os cibercriminosos recolhem as informações necessárias para criar e-mails credíveis a partir de muitas fontes, incluindo as redes sociais. Por isso, implementa uma política que explique os perigos da partilha excessiva de dados nas redes sociais.
Não cliques em links suspeitos em e-mails de phishing
Isto deve tornar-se o mantra de todos os locais de trabalho. Mesmo que um funcionário não introduza as credenciais depois de clicar numa ligação maliciosa, o hacker terá provavelmente uma auditoria de quem clicou e continuará a enviar e-mails de phishing cada vez mais sofisticados para essa organização.
Utiliza uma autenticação robusta
Embora não seja à prova de falhas, ter uma autenticação robusta ajuda numa abordagem em camadas ao phishing. Cria palavras-passe fortes e únicas e adiciona MFA quando suportado.
Nunca partilhes informações sensíveis online
Escusado será dizer que a partilha de informações pessoais ou empresariais sensíveis não deve ser feita publicamente e em linha, uma vez que será recolhida e utilizada para phishing de funcionários ou fornecedores associados da cadeia de abastecimento.
Sê cauteloso e vigilante
Dá formação a todos os membros do pessoal e associados sobre as tácticas utilizadas pelos cibercriminosos. Assegura-te de que esta formação é realizada regularmente e utiliza uma plataforma de phishing simulado para enviar mensagens de phishing simuladas aos empregados em maior risco.
Incentiva os funcionários a comunicar incidentes
Depois de ter formado o pessoal para detetar os sinais de phishing, incentiva os funcionários a comunicar os incidentes. Isto ajuda a criar ciber-resiliência, a manter a conformidade regulamentar e oferece as informações necessárias para agir rapidamente antes de um incidente se tornar um ataque cibernético completo.
