O que é spear phishing?

Como todos os esquemas de phishing, o spear phishing envolve a manipulação de vítimas por meio de histórias falsas e cenários fraudulentos. Os ataques de spear phishing podem ser realizados por meio de mensagens de e-mail, mensagens de texto, aplicativos de bate-papo ou chamadas telefônicas.

De acordo com o relatório do custo das violações de dados da IBM, o phishing é a causa mais comum de violações de dados. Spear phishing é uma das formas mais eficazes de phishing porque os cibercriminosos adaptam seus golpes para serem o mais convincentes possível para seus alvos.

Em um relatório da Barracuda que analisou 50 bilhões de e-mails, os pesquisadores descobriram que o spear phishing representou menos de 0,1% dos e-mails, mas levou a 66% das violações bem-sucedidas.¹ Enquanto a violação média causada por phishing custa US$ 4,76 milhões, de acordo com o relatório do custo das violações de dados, os ataques de spear phishing podem chegar a US$ 100 milhões.²

Spear phishing, uma forma de ataque de engenharia social, explora a natureza humana em vez de vulnerabilidades da rede. Para combatê-lo de forma eficaz, as equipes de cibersegurança devem combinar a educação dos funcionários com ferramentas avançadas de detecção de ameaças, formando uma defesa robusta contra essa ameaça insidiosa.

Phishing é uma categoria ampla que inclui qualquer ataque de engenharia social que utilize mensagens fraudulentas para manipular as vítimas. Spear phishing é um subconjunto de phishing que se concentra em um alvo cuidadosamente escolhido.

Um ataque de phishing clássico, também chamado de "phishing em massa", é um jogo de números. Os hackers criam mensagens fraudulentas que parecem vir de empresas, organizações ou até celebridades confiáveis.

Os hackers enviam essas mensagens de phishing para centenas ou milhares de pessoas, esperando enganar algumas delas para que acessem sites falsos ou forneçam informações valiosas, como números da previdência social.

No entanto, os ataques de spear phishing são ataques direcionados a indivíduos específicos que têm acesso a ativos que os cibercriminosos desejam.

Os spear phishers miram em uma pessoa ou grupo específico, como um executivo corporativo ou diretores regionais de vendas de uma empresa. Eles conduzem pesquisas extensas sobre a vida pessoal e profissional de seus alvos e usam suas descobertas para criar mensagens fraudulentas altamente confiáveis.

A maioria dos ataques de spear phishing segue um processo de quatro etapas:

1. Definição de um objetivo 
2. Escolha de um alvo
3. Pesquisa do alvo 
4. Elaboração e envio da mensagem de phishing

Muitos golpes de spear phishing têm como objetivo roubar grandes somas de dinheiro das organizações. Os spear phishers podem fazer isso de algumas maneiras. Alguns enganam suas vítimas para que façam um pagamento ou uma transferência eletrônica para um fornecedor fraudulento. Outros manipulam os alvos para que compartilhem números de cartões de crédito, números de contas bancárias ou outros dados financeiros.

As campanhas de spear phishing também podem ter outros objetivos nocivos:

• Espalhar ransomware ou outro malware. Por exemplo, um agente de ameça pode enviar um anexo de e-mail malicioso disfarçado como um documento inofensivo do Microsoft Word. Quando a vítima abre o arquivo, ela instala automaticamente o malware em seu dispositivo.
  
  
• Roubo de credenciais de login, como nomes de usuário e senhas que o hacker pode usar para realizar um ataque maior. Por exemplo, o hacker pode enviar ao alvo um link malicioso para uma página fraudulenta de "atualize sua senha". Esse site falso envia todas as credenciais que as vítimas inserem diretamente para o hacker.
  
  
• Roubo de informações confidenciais, como dados pessoais de clientes ou funcionários, propriedade intelectual ou segredos comerciais. Por exemplo, o spear phisher pode fingir ser um colega e pedir à vítima que compartilhe relatórios confidenciais.

Em seguida, o spear phisher identifica um alvo adequado. O alvo é alguém que pode dar aos hackers acesso aos recursos que eles desejam, seja diretamente (como fazendo um pagamento) ou indiretamente (como baixando spyware).

As tentativas de spear phishing geralmente têm como alvo funcionários de nível médio, baixo ou novos com privilégios elevados de rede ou sistema. Esses funcionários podem ser menos rigorosos ao seguir as políticas da empresa do que alvos de nível mais alto. Eles também podem ser mais suscetíveis a táticas de pressão, como um golpista fingindo ser um líder sênior.

As vítimas típicas incluem gerentes financeiros autorizados a fazer pagamentos, profissionais de TI com acesso de nível de administrador à rede e gerentes de RH com acesso a dados pessoais dos funcionários.

Outros tipos de ataques de spear phishing visam exclusivamente funcionários de nível executivo. Para obter mais informações, consulte a seção "Spear phishing, whaling e BEC".

O invasor pesquisa o alvo, procurando informações que lhe permitam se passar por uma fonte confiável próxima ao alvo, como um amigo, colega ou chefe.

Graças à quantidade de informações que as pessoas compartilham livremente nas redes sociais e em outros lugares online, os cibercriminosos podem encontrar essas informações sem muita pesquisa. Muitos hackers podem criar um e-mail de spear phishing convincente após apenas algumas horas de pesquisa no Google.

Alguns hackers vão ainda mais longe. Eles invadem contas de e-mail ou aplicativos de mensagens da empresa e passam tempo observando seu alvo para coletar informações ainda mais detalhadas.

Usando suas pesquisas, os spear phishers criam mensagens de phishing direcionadas que parecem altamente confiáveis. O importante é que essas mensagens contenham detalhes pessoais e profissionais que o alvo acredita erroneamente que somente uma fonte confiável poderia saber.

Por exemplo, imagine que Jack é um gerente de contas a pagar na ABC Industries. Ao examinar o perfil público de Jack no LinkedIn, um invasor pode encontrar seu cargo, responsabilidades, endereço de e-mail da empresa, nome e cargos do chefe e de parceiros de negócios.

O hacker pode usar esses detalhes para enviar um e-mail confiável alegando ter sido enviado pelo chefe de Jack:

Oi, Jack,

Sei que você processa as faturas da XYZ Systems. Eles acabaram de me informar que estão atualizando seu processo de pagamento e precisam que todos os pagamentos futuros sejam enviados para uma nova conta bancária. Essa é a fatura mais recente, com os detalhes da nova conta. Você pode enviar o pagamento ainda hoje?

A fatura anexada é falsa e a "nova conta bancária" é aquela que o fraudador possui. Jack entrega o dinheiro diretamente ao invasor quando faz o pagamento.

Um e-mail de phishing normalmente inclui pistas visuais que dão ainda mais autenticidade ao golpe. Por exemplo, o invasor pode usar um endereço de e-mail falso que mostra o nome de exibição do chefe de Jack, mas oculta o endereço de e-mail fraudulento usado pelo invasor.

O invasor também pode enviar como CC o e-mail de um colega de trabalho falsificado e inserir uma assinatura com o logotipo da empresa ABC Industries.

Um fraudador habilidoso pode até mesmo invadir a conta de e-mail do chefe de Jack e enviar a mensagem de lá, sem dar a Jack nenhum motivo para suspeitar.

Alguns fraudadores realizam campanhas híbridas de spear phishing que combinam e-mails de phishing com mensagens de texto (chamadas de "SMS phishing" ou "smishing") ou chamadas telefônicas (chamadas de "voice phishing" ou "vishing").

Por exemplo, em vez de anexar uma fatura falsa, o e-mail pode instruir Jack a ligar para o departamento de contas a pagar da XYZ Systems em um número de telefone secretamente controlado por um fraudador.

Como usam vários modos de comunicação, os ataques híbridos de spear phishing costumam ser ainda mais eficazes do que os ataques de spear phishing padrão.

Além de ganhar a confiança das vítimas, os ataques de spear phishing geralmente usam técnicas de engenharia social para pressionar psicologicamente seus alvos a adotar ações que não deveriam e normalmente não adotariam.

Um exemplo é se passar por um funcionário de alto nível da empresa, como no e-mail de spear phishing na seção anterior. Os funcionários são condicionados a respeitar a autoridade e têm medo de não seguir as ordens de um executivo, mesmo que as ordens sejam fora do comum.

Outras táticas comuns de engenharia social incluem:

• Pretexto: Fabricar uma história ou situação realista que o alvo reconheça e com a qual possa se relacionar. Por exemplo, um spear phisher pode se passar por um funcionário de TI e dizer ao alvo que é hora de uma atualização de senha agendada regularmente.

• Criação de um senso de urgência: por exemplo, um phisher pode se passar por um fornecedor e alegar que o pagamento de um serviço crítico está atrasado.

• Apelo a emoções fortes: desencadear medo, culpa, gratidão ou ganância ou fazer referência a algo com que o alvo se preocupa pode obscurecer o julgamento da vítima e torná-la mais suscetível ao golpe. Por exemplo, um fraudador que se faz passar pelo chefe de um alvo pode prometer uma "recompensa" por "ajudar com uma solicitação de última hora".

A crescente disponibilidade de inteligência artificial (IA), especificamente IA generativa (IA gen), está facilitando para os spear phishers realizarem ataques sofisticados e altamente eficazes.

De acordo com o X-Force Threat Intelligence Index da IBM, um fraudador leva 16 horas para criar um e-mail de phishing manualmente. Com a IA, os fraudadores podem criar essas mensagens em apenas cinco minutos.

Especificamente para spear phishers, a IA pode simplificar algumas das partes mais complicadas do golpe. Por exemplo, os fraudadores podem usar a IA para automatizar a extração de informações dos perfis de redes social dos alvos. Eles podem alimentar ferramentas de IA generativa escrevendo amostras das pessoas que procuram representar, permitindo que a IA gere mensagens de phishing mais confiáveis.

Os fraudadores também podem usar a IA para criar documentos falsos convincentes, como faturas, modelos de e-mail, relatórios e outros materiais falsos. Os hackers podem até mesmo usar vídeos e gravações de voz gerados por IA para tornar ainda mais difícil diferenciar entre golpes e comunicações reais.

Existem dois subtipos notáveis de ataques de spear phishing: whaling  (ou “whale phishing”) e comprometimento de e-mail corporativo (BEC).

A principal diferença entre o whaling e o spear phishing comum é que os ataques de whaling têm como alvo específico as vítimas de maior perfil e de maior valor. Pense em membros do conselho, administração de nível de diretoria, celebridades ou políticos. Os whalers estão atrás da presa que somente esses alvos podem fornecer, como grandes somas de dinheiro ou acesso a informações altamente confidenciais.

Os ataques BEC são golpes de spear phishing que visam especificamente roubar organizações. Duas formas comuns de BEC incluem:

• Fraude do CEO: o fraudador se faz passar por um executivo de nível de diretoria falsificando ou sequestrando uma conta de e-mail, aplicativo de bate-papo ou outro canal de comunicação. O fraudador envia mensagens a um ou mais funcionários de nível inferior instruindo-os a transferir fundos para uma conta fraudulenta ou a fazer uma compra de um fornecedor fraudulento.
  
  

• Comprometimento de conta de e-mail (EAC): o fraudador obtém acesso à conta de e-mail de um funcionário de nível inferior, como um gerente de finanças ou vendas. O fraudador usa a conta para enviar faturas fraudulentas aos fornecedores, instruir outros funcionários a fazer pagamentos fraudulentos ou solicitar acesso a dados confidenciais.

Os ataques bem-sucedidos de BEC estão entre as ameaças cibernéticas mais caras, representando um total de US$ 2,9 bilhões em perdas relatadas em 2023, de acordo com o Federal Bureau of Investigation (FBI) Internet Crime Report.³

Os ataques de phishing estão entre os ataques cibernéticos mais difíceis de combater porque as ferramentas tradicionais de cibersegurança nem sempre conseguem detectá-los. Os ataques de spear phishing são especialmente difíceis de interceptar porque sua natureza direcionada e conteúdo personalizado os tornam ainda mais convincentes para uma pessoa comum.

No entanto, há medidas que as organizações podem adotar para fortalecer suas defesas contra spear phishing e reduzir a chance de um ataque bem-sucedido: 

• Treinamento de conscientização de segurança
• Controles de gerenciamento de acesso e identidade
• Controles de cibersegurança

Como os ataques de spear phishing têm como alvo pessoas, não vulnerabilidades do sistema, o treinamento de funcionários é uma importante linha de defesa. O treinamento de consciência de segurança pode incluir:

• Técnicas para reconhecer e-mails suspeitos, como lidar com endereços de e-mail falsos, erros de ortografia e gramática, riscos anormalmente altos e solicitações estranhas.
  
  
• Dicas sobre como evitar o compartilhamento excessivo em sites de redes sociais.
  
  
• Políticas e processos organizacionais para combater golpes, como não abrir anexos não solicitados e confirmar solicitações de pagamento incomuns por meio de um segundo canal antes de agir em relação a elas.
  
  
• Simulações de spear phishing e testes de penetração, que podem ajudar os funcionários a aplicar o que aprenderam e auxiliar as equipes de segurança na identificação de vulnerabilidades para remediação.

Ferramentas de IAM, como o controle de acesso baseado em função e a autenticação multifator (MFA), podem impedir que os hackers obtenham acesso a contas de usuários e dados confidenciais. Por exemplo, se os executivos ativarem a MFA em suas contas de e-mail, os hackers precisarão de mais do que apenas uma senha para assumir o controle dessas contas.

Nenhum controle de segurança isolado pode impedir totalmente o spear phishing, mas várias ferramentas podem ajudar a evitar ataques de spear phishing ou minimizar os danos que eles causam.

• Ferramentas de segurança de e-mail, como filtros de spam e gateways de e-mail seguros, podem ajudar a detectar e desviar e-mails de spear phishing em tempo real.

• Software antivírus pode ajudar a neutralizar infecções por malware ou ransomware que resultam de spear phishing.

• Gateways seguros da web, firewalls e outras ferramentas de filtragem da web podem bloquear os sites maliciosos para os quais os e-mails de spear phishing direcionam os usuários.

• Patches do sistema e de software podem fechar vulnerabilidades técnicas comumente usadas por spear phishers.

• Ferramentas de proteção de endpoint, como soluções de detecção e resposta de endpoint (EDR) e unified endpoint management (UEM) , podem impedir que fraudadores assumam o controle de dispositivos, se passem por usuários ou plantem malware.

• Soluções de segurança empresarial, como plataformas de gerenciamento de incidentes e eventos de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR) , podem ajudar a detectar e interceptar atividades maliciosas de rede vinculadas a ataques de spear phishing.