Empresas hackeadas através de um único e-mail. Incríveis somas de dinheiro roubadas ou pagas em resgate. Tudo porque um funcionário clicou em um link malicioso. Infelizmente, os ataques de phishing afetam várias empresas todos os anos.
Eles são difíceis de prevenir, mas conhecer cada tipo de phishing ajudará você a detectá-lo antes que seja tarde demais. Então, vamos dar uma olhada no spear phishing.
Como funciona um ataque de spear phishing?
Quando um invasor deseja roubar dinheiro de uma empresa ou instalar malware em seus sistemas, é provável que tenha como alvo o elo mais fraco – seus funcionários. Eles selecionam uma pessoa que tem poder e acesso suficientes dentro da empresa e tentam descobrir o máximo possível sobre ela.
Isso pode ser feito através das mídias sociais deles ou de seus amigos. Tweets, histórias públicas do Instagram e geotags podem ser convenientes ao criar um perfil de alguém. Até o site da empresa pode ser uma fonte útil – sem mencionar o que um invasor pode descobrir espionando a comunicação online de seu alvo.
Uma vez que conheçam bem a pessoa, podem imitá-la em e-mails para seus colegas de trabalho. Eles também podem escrever para o alvo, fingindo ser um cliente importante e pedir favores ou pequenos trabalhos a serem feitos.
Essa segmentação seletiva é a razão pela qual esse tipo de ataque é chamado de spear phishing. Como um pescador que usa uma lança para pegar um único peixe grande, o atacante usa engenharia social sob medida para induzir uma pessoa a fazer algo.
Spear phishing vs. phishing
Phishing é o ataque de engenharia social mais comum que existe. Um ataque de phishing regular é direcionado ao público em geral, pessoas que usam um serviço específico, etc. Os invasores enviam centenas e até milhares de e-mails, esperando que pelo menos algumas pessoas respondam. A maioria deles é mal escrita, tem fontes estranhas e vários erros de digitação.
Spear phishing envolve pesquisa e muita preparação. Os invasores têm como alvo uma pessoa específica, de modo que passam mais tempo fazendo com que seus e-mails de phishing pareçam reais. Essas falsificações são tão bem elaboradas que podem ser difíceis de identificar até mesmo para um profissional, sem mencionar as pessoas que precisam passar por dezenas de e-mails todos os dias.
Essa tática é mais difícil de executar do que as tentativas regulares de phishing. Mas se o hacker for bem-sucedido, ele obterá todas as informações e acesso de que precisa para finalizar o ataque.
Exemplo de Spear Phishing
Imagine receber um e-mail de trabalho que diz: “Ei, Susie, você poderia cuidar dessa fatura para mim? Obrigado!” Se seu nome é Susie, você costuma lidar com faturas na empresa e seu chefe sempre termina seus e-mails com um “Obrigado!”, você baixa a fatura anexada e transfere o dinheiro.
Você pode descobrir que era um e-mail falso em algumas horas ou até no dia seguinte, mas isso não trará o dinheiro da empresa de volta. O invasor monitorou os e-mails do seu chefe, descobriu quem é o responsável pelas faturas, seu e-mail, seu nome e escreveu uma carta, copiando perfeitamente o tom de voz usual. Eles até falsificaram o nome do remetente e o enviaram. A única coisa que poderia ter dado era o endereço de e-mail. No entanto, as pessoas geralmente não verificam isso em todas as mensagens que recebem.
Como prevenir o spear phishing?
Empresas e organizações são os alvos mais comuns de spear phishing. Há várias coisas que qualquer empresa pode fazer para mitigar o risco de spear phishing. No entanto, a maior parte se concentra na educação da equipe.
Se você terceiriza suas operações de TI ou tem um departamento de TI interno, converse com as pessoas responsáveis por seus sistemas de e-mail. Analise as medidas padrão, como filtros de spam, antivírus e filtros de navegador. Não clicar, não baixar e recomendações semelhantes não são uma opção se você estiver lidando com várias faturas todos os dias. Portanto, tente mudar o processo. Por exemplo, peça a pelo menos duas pessoas que confirmem qualquer transação financeira antes de enviar o dinheiro.
Da mesma forma, as empresas devem incentivar seus funcionários a usar a autenticação de dois fatores sempre que possível. Dessa forma, mesmo que uma senha seja divulgada, a conta associada a ela permanece segura porque o invasor não poderá acessá-la sem o segundo fator. Pode levar algum tempo para se acostumar, especialmente para funcionários menos experientes em tecnologia, mas vale a pena a longo prazo. Você pode ter certeza de que, mesmo que alguém seja enganado por um e-mail de phishing, as contas da empresa permanecem seguras.
Outra coisa importante a ter em mente é a cultura de trabalho em sua empresa. Muitos funcionários acham difícil desafiar seus chefes. Portanto, se eles receberem um e-mail de spear phishing, eles farão o que for dito sem questionar os motivos por trás disso. Esse hábito é difícil de quebrar, pois exige mudar a forma como as pessoas da empresa se comunicam. Mas se você trabalha com informações confidenciais, pode ser uma boa estratégia.
Medidas pessoais de segurança cibernética
Se os hackers quiserem atacar a empresa para a qual você trabalha, eles podem tentar entrar em contato com você por meio de seu endereço de e-mail pessoal. Quando se trata de dicas pessoais de segurança cibernética, há algumas coisas que as pessoas podem fazer para evitar ser vítima de um ataque de spear phishing:
Tenha cuidado com e-mails — mesmo que sejam de um colega de trabalho ou amigo. Se eles estão pedindo informações pessoais do nada, certifique-se de que são eles antes de enviar qualquer coisa. Você usa linguagem casual em seus e-mails de trabalho? Nesse caso, um e-mail do seu colega de trabalho mais oficial do que o normal é uma bandeira vermelha. Inspecione-o cuidadosamente antes de fazer qualquer outra coisa.
Não compartilhe demais online. Se puder, torne suas contas privadas, para que apenas as pessoas que você conhece possam ver o que você publica. Mesmo assim, não compartilhe muitas informações pessoais. Não use geotags, divulgue planos de férias ou revele informações de identificação pessoal, como seu número de telefone, detalhes do cartão de crédito, data de nascimento etc. Isso tornará mais difícil para o invasor criar um perfil seu.
Use software atualizado e verifique seus dispositivos em busca de malware de tempos em tempos. Há muitas maneiras de entrar em seu laptop ou smartphone sem você perceber, portanto, verifique e atualize seus dispositivos regularmente.
Use senhas completamente diferentes e complicadas para cada conta. Dessa forma, mesmo que uma delas seja comprometida, o restante de suas contas fica seguro. Obtenha um gerenciador de senhas para armazenar todas as suas senhas com segurança. Dessa forma, você não terá que lembrar ou anotar nenhum deles. Precisa de ajuda para criar novas senhas? Tente usar nosso gerador de senhas para obter os melhores resultados.
