Spear phishing versus phishing: qual é a diferença?

A resposta simples: spear phishing é um tipo especial de ataque de phishing.

Phishing é qualquer ataque cibernético que usa mensagens de e-mail, mensagens de texto ou chamadas de voz mal-intencionadas para induzir as pessoas a compartilhar dados confidenciais (por exemplo, números de cartão de crédito ou números de previdência social), baixar malware, visitar sites maliciosos, enviar dinheiro para as pessoas erradas ou caso contrário, a si mesmos, seus associados ou seus empregadores. O phishing é o vetor ou método de ataque de crimes cibernéticos mais comum; 300.479 ataques de phishing foram relatados ao FBI em 2022.

A maioria das formas de phishing é de phishing em massa — mensagens impessoais que parecem ser de um remetente amplamente conhecido e confiável (por exemplo, uma marca global), enviadas em massa para milhões de pessoas na esperança de que uma pequena porcentagem de destinatários morda a isca.

Spear phishing é um phishing direcionado. Especificamente, as mensagens de spear phishing são

• enviado a um indivíduo ou grupo específico de indivíduos
• altamente personalizada, baseadas em pesquisas
• criadas para parecerem vir de um remetente que tem algum relacionamento com o destinatário; digamos, um colega de trabalho ou colega que o destinatário conhece, ou alguém a quem o destinatário é responsável, como um gerente ou executivo da empresa.

Ataques de spear phishing são muito mais raros do que ataques de phishing, mas buscam recompensas muito maiores ou mais valiosas e, quando bem-sucedidos, têm um impacto muito maior do que os golpes de phishing em massa. De acordo com um relatório recente, os e-mails de spear phishing representaram apenas 0,1% de todos os e-mails durante um período de 12 meses, mas foram responsáveis por 66% das violações de dados durante esses mesmos 12 meses. Em um ataque de spear phishing de alta visibilidade, golpistas roubaram mais de US$ 100 milhões do Facebook e do Google, passando-se por fornecedores legítimos e enganando funcionários para que pagassem faturas fraudulentas.

Os ataques de spear phishing empregam várias estratégias que os tornam mais difíceis de identificar e mais convincentes do que ataques de phishing em massa.

Para tornar seus ataques direcionados mais críveis, os spear phishers pesquisam seus remetentes e seus alvos, para que possam se passar pelos remetentes de forma eficaz e para que possam apresentar uma história confiável aos alvos.

Muitos spear phishers conhecem seus remetentes e suas vítimas através das mídias sociais. Com as pessoas compartilhando informações de forma tão livre nas redes sociais e em outros lugares online, os cibercriminosos agora podem encontrar informações relevantes e detalhadas sem precisar procurar muito. Por exemplo, estudar a página do LinkedIn de uma vítima pode ajudar um golpista a entender melhor as responsabilidades de trabalho de um funcionário e aprender quais fornecedores sua organização usa, para que ele possa se passar por um remetente confiável de uma fatura fictícia.

De acordo com um relatório da Omdia, hackers podem criar e-mails de spear phishing convincentes em muito pouco tempo após uma pesquisa geral no Google. Alguns hackers podem até invadir contas de e-mail da empresa ou aplicativos de mensagens e passar mais tempo observando conversas para reunir um contexto mais detalhado sobre os relacionamentos.

Táticas de engenharia social usam manipulação psicológica para enganar as pessoas para que acreditem em premissas falsas ou tomem ações imprudentes. Com base em suas pesquisas, os golpistas de spear phishing podem criar situações críveis, ou pretextos, como parte de suas mensagens. Por exemplo, Decidimos contratar um novo escritório de advocacia para o negócio de terras; por favor, pague a fatura anexa para cobrir sua taxa de retenção. Eles podem criar um senso de urgência para levar os destinatários a agirem de forma precipitada, como por exemplo: "O pagamento já está atrasado; envie fundos antes da meia-noite para evitar taxas de atraso". Alguns até usam engenharia social para manter o golpe em segredo, como por exemplo: "Seja discreto, mantenha isso em segredo até que o negócio seja anunciado no final desta semana".

Cada vez mais, os golpes de spear phishing combinam mensagens de várias mídias para aumentar a credibilidade. Por exemplo, as mensagens de spear phishing incluem números de telefone para os quais o alvo pode ligar para obter confirmação; os números são atendidos por representantes fraudulentos. Alguns golpistas acompanharam os e-mails de spear phishing com mensagens de texto SMS fraudulentas (chamadas de smishing). Mais recentemente, os golpistas acompanharam os e-mails de spear phishing com chamadas telefônicas falsas (chamadas de vishing), que usaram imitações baseadas em inteligência artificial da voz do alegado remetente.

Os ataques de spear phishing são divididos em subtipos, com base em quem os ataques têm como alvo ou em quem eles se passam.

Comprometimento de e-mail comercial , ou BEC, é um golpe de e-mail de spear phishing que tenta roubar dinheiro ou dados confidenciais de uma empresa.

Em um ataque de BEC, um cibercriminoso (ou quadrilha de cibercriminosos) envia e-mails aos funcionários da organização visada que parecem ser de um gerente ou colega de trabalho, ou de um fornecedor, parceiro, cliente ou outro associado conhecido do destinatário. Os e-mails são elaborados para enganar os funcionários, levando-os a pagar faturas fraudulentas, fazer transferências bancárias para contas bancárias falsas ou enviar informações sensíveis para alguém que supostamente precisa delas. Em casos mais raros, os golpistas de BEC podem tentar espalhar o ransomware ou o malware, pedindo às vítimas para abrir um anexo ou clicar em um link malicioso.

Alguns golpistas de BEC dão um passo extra de roubar ou obter as credenciais da conta de e-mail do remetente (nome de usuário e senha) e enviar o e-mail diretamente da conta real do remetente. Isso faz com que o golpe pareça mais autêntico do que aquele enviado até mesmo pela conta de e-mail mais cuidadosamente personificada ou falsificada.

Em um tipo especial de ataque de BEC, chamado de fraude de CEO, o golpista se disfarça como um executivo de alto escalão, pressionando os funcionários de nível inferior para transferir fundos ou divulgar dados confidenciais.

Whale phishing é um spear phishing que tem como alvo as vítimas de maior perfil e maior valor, ou "whales" (baleias), incluindo membros do conselho, gerentes de nível de diretoria e alvos não corporativos, como celebridades e políticos. Os whale phishers sabem que esses indivíduos têm coisas que somente alvos de alto valor podem fornecer, incluindo grandes somas de dinheiro, acesso a informações altamente valiosas ou altamente confidenciais e reputações que valem a pena proteger. Não é de surpreender que os ataques de whaling normalmente exijam uma pesquisa muito mais detalhada do que outros ataques de spear phishing.

Em agosto de 2022, a gigante de comunicações baseada na nuvem Twilio sofreu um sofisticado ataque de spear phishing que comprometeu sua rede.

Os phishers visavam os funcionários da Twilio usando mensagens de texto SMS falsas que pareciam vir do departamento de TI da empresa. As mensagens alegavam que as senhas dos funcionários haviam expirado ou seus horários haviam sido alterados e os direcionavam para um site falso, que exigia que eles digitassem novamente suas credenciais de login. Para tornar o golpe de phishing ainda mais realista, os hackers incluíram “Twilio”, “Okta” e “SSO” (abreviação de logon único) no URL do site falso para convencer ainda mais os funcionários a clicar no link malicioso.

Usando as credenciais de login dos funcionários que caíram nas mensagens, os golpistas invadiram a rede corporativa da Twilio.

O golpe de phishing ganhou as manchetes, não apenas por causa de sua sofisticação, com um especialista o chamando de “um dos hacks de formato longo mais sofisticados da história”, mas também por causa da posição única da Twilio como uma empresa B2B, atendendo a muitas outras empresas de tecnologia. Como resultado, várias outras empresas de tecnologia encontraram-se implicadas no golpe de phishing, incluindo a Authy, de propriedade da Twilio, um serviço de autenticação de dois fatores, e a Signal, um aplicativo de mensagens criptografadas que usava a Twilio para serviços de verificação por SMS.

No final das contas, o ataque à Twilio afetou mais de 163 de suas organizações clientes, incluindo 1.900 contas da Signal. Além disso, provou que ataques de spear phishing como o que a Twilio enfrentou estão se tornando cada vez mais comuns.

Ferramentas de segurança de e-mail, software antivírus e autenticação multifator são as primeiras linhas de defesa críticas contra spear phishing e phishing. As Organizações também dependem cada vez mais de treinamentos de consciência sobre segurança e simulações de phishing para educar melhor seus funcionários sobre os perigos e as Táticas de ataques de phishing e spear phishing.

No entanto, nenhum sistema de segurança está completo sem detecção e resposta de ameaças de última geração e recursos para capturar cibercriminosos em tempo real e mitigar o impacto de campanhas de phishing bem-sucedidas.

O IBM® QRadar SIEM aplica aprendizado de máquina e análise de dados de comportamento do usuário (UBA) ao tráfego de rede, juntamente com logs tradicionais, para uma detecção de ameaças mais inteligente e uma remediação mais rápida. Em um estudo recente da Forrester, o QRadar SIEM ajudou analistas de segurança a economizar mais de 14 mil horas ao longo de três anos, ao identificar falso positivos, reduzir em 90% o tempo gasto na investigação de incidentes e em 60% o risco de sofrer uma violação de segurança grave.* Com o QRadar SIEM, as equipes de segurança com recursos limitados têm a visibilidade e a análise de dados necessárias para detectar ameaças rapidamente e tomar medidas imediatas e informadas para minimizar os efeitos de um ataque.

*O Total Economic Impact do IBM QRadar SIEM é um estudo encomendado realizado pela Forrester Consulting em nome da IBM em abril de 2023. Baseado em resultados projetados de uma organização composta, modelada com base em quatro clientes entrevistados da IBM. Os resultados reais variam de acordo com as configurações e condições do cliente e, portanto, os resultados geralmente esperados não podem ser garantidos.