O Spear phishing é uma séria ameaça para organizações em todo o mundo, mas este phishing altamente direccionado pode ser difícil de prevenir.
Um relatório da empresa de segurança Ivanti destaca a taxa de sucesso do phishing com lança: quase três quartos (73%) das organizações disseram à Ivanti que o pessoal de TI é alvo do phishing com lança, e quase metade das tentativas (47%) são bem sucedidas.
O que é a Spear Phishing?
O Spear phishing é uma forma altamente orientada de phishing. Uma campanha de phishing envia normalmente um email em massa a muitas pessoas, mas as campanhas de spear phishing centram-se num ou alguns indivíduos; estes indivíduos trabalham normalmente para uma organização específica ou estão associados a uma organização específica.
O Spear phishing chega frequentemente em correio electrónico mas também pode ser phishing por telefone (Vishing) ou phishing por mensagem móvel (SMShing).
Spear phishing utiliza tácticas avançadas de engenharia social para elaborar uma campanha eficaz de spear phishing com base na inteligência recolhida sobre um alvo. A informação necessária para aperfeiçoar uma campanha de spear phishing é recolhida através de qualquer meio, incluindo mensagens nos meios de comunicação social, websites de empresas, contas online hackeadas, etc.
Sabe-se mesmo que os cibercriminosos estabeleceram uma relação com o seu alvo através de e-mail ou telefone, ganhando a confiança do funcionário e encorajando-o a partilhar dados pessoais ou da empresa. Quando o cibercriminoso tem informação suficiente sobre um alvo, cria um e-mail personalizado que parece legítimo.
O objectivo de uma tentativa de phishing de lança é tipicamente roubar credenciais de login. Estas credenciais podem então ser utilizadas para obter acesso a uma rede corporativa. O resultado da engenharia social de um empregado é uma infecção por malware, incluindo o resgate, roubo de dados, Business Email Compromise (BEC), e outras formas de ataque cibernético.
Embora a utilização da autenticação multi-factor (AMF) possa ajudar a reduzir o risco de um ataque, não é nenhuma garantia: uma recente campanha de phishing dirigida aos utilizadores do Office 365 foi capaz de contornar qualquer AMF utilizada pelos funcionários.
Como os cibercriminosos utilizam ataques de phishing de lança
Os cibercriminosos utilizam o phishing de lança para focalizar um ataque a uma empresa específica. Estas campanhas podem ter como alvo directo (um empregado) ou indirecto, ou seja, concentrar-se num fornecedor da cadeia de abastecimento para atacar uma organização mais acima na cadeia de abastecimento.
Muitas vezes, os ataques de phishing de lança fazem parte de um ciclo de ataques onde dados, incluindo senhas, são roubados; isto leva à infecção por malware, roubo de mais credenciais e dados roubados. O processo começa com um e-mail, Vishing ou SMShing. O phishing de alto nível envolve frequentemente planeamento estratégico de alto nível, o que pode exigir vários passos coreografados para alcançar o objectivo do hacker.
Exemplos de ataques de Spear Phishing
Spear Vishing: um ataque de spear phishing no Twitter em 2020 fez as manchetes quando os hackers conseguiram enviar tweets de vários relatos de alto nível, incluindo Joe Biden, Barack Obama, Bill Gates, e Elon Musk. O ataque ao Twitter centrou-se em torno de uma chamada telefónica de phishing (Vishing) para funcionários alvo até que um deles deu aos atacantes as credenciais de login para ferramentas internas. Estas credenciais foram então utilizadas para aumentar os privilégios para um nível superior.
Email de phishing de lança: um email de phishing de lança imitava o Departamento do Trabalho dos EUA (DoL) para visar múltiplas organizações. O objectivo do e-mail falsificado era roubar as credenciais de login do Office 365. O e-mail baseava-se em domínios inteligentemente disfarçados para fazer com que o e-mail parecesse legitimamente proveniente do DoL.
Além disso, o e-mail fingia ser de um funcionário superior do DoL convidando a organização beneficiária a apresentar uma proposta para um projecto governamental. Ao clicar no "botão de licitação", o funcionário foi levado a um site de phishing onde as credenciais de login do Office 365 foram depois roubadas.
Como detectar um email de phishing de lança
Estes e-mails são notoriamente difíceis de detectar simplesmente porque tanto trabalho foi feito na sua criação. No entanto, há alguns pontos a verificar que podem ajudar os empregados a identificar os sinais dos contos.
- Muitas vezes, os e-mails de phishing spear alavancam posições de autoridade, por exemplo, apoio informático, para forçar uma acção de um empregado, por exemplo, para introduzir uma palavra-passe numa página web falsificada. Verificar o endereço de e-mail do remetente. Pode parecer o verdadeiro, mas com algumas diferenças subtis.
- O formato do e-mail corresponde ao que está habituado a receber? Por exemplo, se o e-mail é supostamente do suporte informático, a forma como é escrito e formatado reflecte os e-mails anteriores do suporte informático?
- O correio electrónico exige a introdução de demasiados dados ou informações que parecem desnecessários? Por exemplo, está a ser-lhe pedido que inicie sessão numa aplicação de nuvem da empresa depois de clicar num link numa mensagem de correio electrónico sem qualquer razão convincente - parece-lhe apenas suspeito?
Outra coisa de baixa tecnologia que pode fazer para ajudar a evitar um incidente de phishing com uma lança é verificar duas vezes com o suposto remetente do e-mail: telefonar-lhes para verificar se o e-mail é realmente deles.
Proteger-se de um Ataque
As camadas de protecção são a melhor forma de lidar com a ameaça de phishing com lanças. Aqui estão as seis melhores formas de se proteger a si e à sua empresa de um ataque:
Não sobrepor-se às redes sociais
Os cibercriminosos reúnem a inteligência necessária para criar e-mails credíveis de muitas fontes, incluindo as redes sociais. Por isso, ponha em prática uma política que explique os perigos da partilha excessiva de dados sobre os meios de comunicação social.
Não Clique em Links Suspeitos dentro de E-mails de Phishing
Isto deve tornar-se o mantra de todos os locais de trabalho. Mesmo que um empregado não siga, introduzindo credenciais após clicar num link malicioso, o hacker terá provavelmente uma auditoria de quem clicou e continuará a enviar e-mails cada vez mais sofisticados de phishing para essa organização.
Utilizar Autenticação Robusta
Embora não seja à prova de falhas, ter uma autenticação robusta ajuda numa abordagem estratificada ao phishing. Criar palavras-passe fortes e únicas e adicionar no AMF onde for suportado.
Nunca Partilhe Informações Sensíveis Online
Escusado será dizer que a partilha de informação pessoal ou empresarial sensível não deve ser feita pública e online, uma vez que será recolhida e utilizada para phish empregados ou vendedores associados da cadeia de fornecimento.
Seja Cauteloso e Vigilante
Formar todos os membros do pessoal e associados sobre as tácticas utilizadas pelos cibercriminosos. Assegurar que esta formação é realizada regularmente e utilizar uma plataforma de phishing simulada para enviar mensagens simuladas de phishing aos empregados mais em risco.
Encorajar os empregados a denunciar os incidentes
Depois de ter treinado o pessoal em formas de detectar os sinais de phishing, encoraje os funcionários a denunciar incidentes. Isto ajuda a construir a ciber-resiliência, manter a conformidade regulamentar, e oferece a informação necessária para agir rapidamente antes que um incidente se torne um ataque cibernético completo.