Spear phishing é um tipo de ataque de phishing que tem como alvo um indivíduo ou grupo específico de indivíduos dentro de uma organização, e tenta enganá-los para divulgar informações confidenciais, fazer o download de malware ou enviar inconscientemente nossos pagamentos autorizados ao invasor.

Como todos os golpes de phishing, o spear phishing pode ser conduzido por e-mails, mensagens de texto ou chamadas telefônicas. A diferença é que, em vez de atingir milhares ou milhões de vítimas em potencial com táticas genéricas de "phishing em massa", os spear phishers visam indivíduos ou grupos de indivíduos específicos (por exemplo, diretores regionais de vendas de uma empresa) com golpes personalizados com base em uma extensa pesquisa.

De acordo com o relatório Cost of a Data Breach 2022 (O Custo da Violação de dados) da IBM, o phishing foi a segunda causa mais comum de violações de dados em 2022. McKinsey observa que o número de ataques spear phishing aumentou quase sete vezes após o início da pandemia. Os cibercriminosos estão aproveitando o número crescente de trabalhadores remotos, que podem ser mais suscetíveis a golpes de phishing devido à higiene de segurança frouxa e ao hábito de colaborar com colegas e chefes, principalmente por meio de aplicativos de e-mail e bate-papo.

O relatório da IBM também descobriu que, embora os ataques de phishing tivessem o maior custo médio por violação, de US$ 4,91 milhões, os custos dos ataques de spear phishing podem exceder consideravelmente até mesmo esse valor. Por exemplo, em um ataque de alto perfil, os spear phishers roubaram mais de US$ 100 milhões do Facebook e do Google, fazendo-se passarem por fornecedores legítimos e enganando funcionários para que pagassem faturas fraudulentas.

Num clássico ataque de phishing em massa, os hackers criam mensagens fraudulentas que parecem vir de empresas, organizações ou até mesmo celebridades conhecidas. Depois, eles “pulverizam e rezam”, enviando essas mensagens de phishing indiscriminadamente para o maior número de pessoas possível e esperando que pelo menos algumas delas sejam enganadas e forneçam informações valiosas, como números de seguridade social, números de cartão de crédito ou senhas de contas.  

Os ataques de spear phishing, por outro lado, são ataques direcionados a indivíduos específicos que têm acesso a ativos específicos.

Definição de um objetivo

A maioria dos ataques de spear phishing tem como objetivo roubar grandes somas de dinheiro das organizações, induzindo alguém a fazer um pagamento ou transferência bancária para um fornecedor ou conta bancária fraudulenta, ou induzindo-a a divulgar números de cartão de crédito, números de contas bancárias ou outros dados confidenciais ou sensíveis.

Mas as campanhas de spear phishing podem ter outros objetivos prejudiciais:

• Espalhar ransomware ou outro malware — por exemplo, o agente de ameaça pode enviar anexos de e-mail maliciosos, como um arquivo do Microsoft Excel, que instala malware quando aberto.
   

• Roubo de credenciais, como nomes de usuário e senhas, que o hacker pode usar para realizar um ataque maior. Por exemplo, o hacker pode enviar ao alvo um link malicioso para uma "atualização de senha" fraudulenta de uma página da web.
   

• Roubo de dados pessoais ou informações confidenciais, como dados pessoais de clientes ou funcionários, finanças corporativas ou segredos comerciais.

Escolha do(s) alvo(s)

Em seguida, o spear phisher identifica um alvo adequado: uma pessoa ou grupo de pessoas com acesso direto aos recursos que os hackers desejam, ou que pode fornecer esse acesso indiretamente, baixando malware.

Muitas vezes, as tentativas de spear phishing têm como alvo funcionários de nível médio, baixo ou novos com privilégios elevados de acesso à rede ou ao sistema, que podem ser menos rigorosos em seguir as políticas e procedimentos da empresa. As vítimas típicas incluem gerentes financeiros autorizados a fazer pagamentos, administradores de TI com acesso à rede em nível de administrador e gerentes de RH com acesso aos dados pessoais dos funcionários. (Outros tipos de ataques de spear phishing têm como alvo exclusivamente funcionários de nível executivo; consulte "Spear phishing, whaling e BEC" abaixo.)

Pesquisa do alvo

O invasor pesquisa o alvo em busca de informações que possa usar para se passar por alguém próximo ao alvo — uma pessoa ou organização na qual o alvo confia ou alguém perante o qual o alvo é responsável.

Graças à quantidade de informações que as pessoas compartilham livremente nas redes sociais e em outros lugares on-line, os cibercriminosos podem encontrar essas informações sem precisar procurar muito. De acordo com um relatório da Omdia, os hackers podem criar um e-mail de phishing convincente após cerca de 100 minutos de pesquisa geral no Google. Alguns hackers conseguem invadir contas de e-mail da empresa ou aplicativos de mensagens e passar ainda mais tempo observando conversas para reunir informações mais detalhadas.

Elaboração e envio da mensagem

Usando essa pesquisa, os spear phishers podem criar mensagens de phishing direcionadas que parecem críveis, de uma fonte ou pessoa confiável.

Por exemplo, imagine que "Jack" é um gerente de contas a pagar na ABC Industries. Ao simplesmente olhar para o perfil público de Jack no LinkedIn, um invasor pode encontrar o cargo, as responsabilidades, o endereço de e-mail da empresa, o nome do departamento, o nome e o cargo do chefe e os nomes e títulos dos parceiros de negócios de Jack — e usar esses detalhes para enviar a ele um e-mail muito crível de seu chefe ou chefe de departamento:

Oi, Jack,

Sei que você processa as faturas da XYZ Systems. Eles acabaram de me informar que estão atualizando seu processo de pagamento e precisam que todos os pagamentos futuros sejam enviados para uma nova conta bancária. Essa é a fatura mais recente, com os detalhes da nova conta. Você pode enviar o pagamento ainda hoje?

O e-mail normalmente inclui dicas visuais que reforçam instantaneamente a identidade do remetente personificado, como um endereço de e-mail falsificado (por exemplo, mostrando o nome de exibição do remetente personificado, mas ocultando o endereço de e-mail fraudulento), CCs para e-mails de colegas falsificados semelhantes ou uma assinatura de e-mail com o logotipo da empresa ABC Industries. Alguns golpistas podem invadir a conta de e-mail real do remetente personificado e enviar a mensagem a partir dela, obtendo a última palavra em autenticidade.

Outra tática é combinar e-mail com phishing por mensagem de texto (chamado de SMS phising ou smishing) ou phishing por voz (chamado de vishing). Por exemplo, em vez de anexar uma fatura, o e-mail pode instruir Jack a ligar para o departamento de contas a pagar da XYZ Systems, em um número de telefone que será atendido por um fraudador.

Os ataques de spear phishing fazem uso pesado de técnicas de engenharia social – táticas que usam pressão psicológica ou motivação para enganar ou manipular as pessoas a realizar ações que elas não deveriam e normalmente não realizariam.

Personificar um funcionário de alto nível da empresa, como no e-mail de spear phishing acima, é um exemplo. Os funcionários são condicionados a respeitar a autoridade e, inconscientemente, têm medo de não seguir as ordens de um executivo, mesmo que as ordens sejam fora do comum. Os ataques de spear phishing dependem de outras técnicas de engenharia social, incluindo:

• Pretexto—criação de uma história ou situação realista que o alvo reconhece e com a qual pode estar relacionado, como por exemplo, "sua senha está prestes a expirar...".
   

• Criar um senso de urgência — por exemplo, se passar por um fornecedor e alegar que o pagamento por um serviço crítico está atrasado

• Apelar à emoção ou aos motivadores subconscientes, como tentar provocar medo, culpa ou ganância no alvo, fazendo referência a uma causa ou evento que interessa ao alvo, ou até mesmo sendo útil (por exemplo,"aqui está um link para um site que vende as peças de computador que você está procurando").

A maioria das campanhas de spear phishing combina várias táticas de engenharia social — por exemplo, uma nota do gerente direto do alvo que diz: "Estou prestes a entrar em um avião e minha bateria está acabando; por favor, me ajude e apresse essa transferência bancária para a XYZ Corp. para que não tenhamos que pagar uma taxa de atraso".

Embora qualquer ataque de phishing que tenha como alvo um indivíduo ou grupo específico seja um ataque de spear phishing, existem alguns subtipos notáveis.

Whaling (às vezes chamado de whale phishing) é o spear phishing que tem como alvo as vítimas de maior perfil e maior valor – geralmente membros do conselho ou gerentes de nível de diretoria, mas também alvos não corporativos, como celebridades e políticos. Os whalers estão atrás de benefícios que só esses alvos podem fornecer: somas muito grandes de dinheiro ou acesso a informações altamente valiosas ou altamente confidenciais. Portanto, não é nenhuma surpresa que os ataques de whaling normalmente exigem uma pesquisa mais detalhada do que outros ataques de spear phishing.

O comprometimento de e-mail comercial (BEC) é um spear phishing voltado especificamente para roubar organizações. Duas formas comuns de EBC incluem:

• Fraude de CEO. O golpista personifica (ou invade diretamente) a conta de e-mail de um executivo de nível de diretoria e envia uma mensagem para um ou mais funcionários de nível inferior instruindo-os a transferir fundos para uma conta fraudulenta ou a fazer uma compra de um fornecedor fraudulento.
   

• Comprometimento de conta de e-mail (EAC). O golpista obtém acesso à conta de e-mail de um funcionário de nível inferior, por exemplo, um gerente financeiro, de vendas, P&D, e a usa para enviar faturas fraudulentas aos fornecedores, instruir outros funcionários a fazer pagamentos ou depósitos fraudulentos ou solicitar acesso a dados confidenciais.

Ataques de BEC bem-sucedidos estão entre os cibercrimes mais caros. Em um dos exemplos mais conhecidos do BEC, hackers que fingiam ser um CEO convenceram o departamento financeiro da empresa a transferir 42 milhões de euros para uma conta bancária fraudulenta.

Os ataques de phishing estão entre os ciberataques mais difíceis de combater, porque nem sempre podem ser identificados pelas ferramentas tradicionais de segurança cibernética (baseadas em assinaturas); em muitos casos, o invasor só precisa passar pelas defesas de segurança "humanas". Os ataques de spear phishing são especialmente desafiadores porque sua natureza direcionada e seu conteúdo personalizado os tornam ainda mais convincentes para as pessoas comuns.

No entanto, há medidas que as organizações podem tomar para ajudar a mitigar o impacto do spear phishing, se não impedir totalmente os ataques de spear phishing:

Treinamento de conscientização sobre segurança. Como o spear phishing tira proveito da natureza humana, o treinamento de funcionários é uma importante linha de defesa contra esses ataques. O treinamento de conscientização sobre segurança pode conter

• Ensinar aos funcionários técnicas de reconhecimento de e-mails suspeitos (por exemplo, verificação de nomes de remetentes de e-mail em busca de nomes de domínio fraudulentos)
   

• Dicas sobre como evitar o "compartilhamento excessivo" em sites de redes sociais
   

• Bons hábitos de trabalho, como por exemplo, nunca abrir anexos não solicitados, confirmar solicitações de pagamento incomuns por meio de um segundo canal, ligar para os fornecedores para confirmar faturas, navegar diretamente para sites em vez de clicar em links dentro de e-mails
   

• Simulações de spear phishing em que os funcionários podem aplicar o que aprenderam

Autenticação multifator e adaptativa. A implementação da autenticação multifator (que exige uma ou mais credenciais além do nome de usuário e da senha) e/ou da autenticação adaptativa (que exige credenciais adicionais quando os usuários fazem login em dispositivos ou locais diferentes) podem impedir que os hackers obtenham acesso à conta de e-mail de um usuário, mesmo que consigam roubar a senha do e-mail do usuário.

Software de segurança. Nenhuma ferramenta de segurança pode impedir completamente o spear phishing, mas várias ferramentas podem desempenhar um papel na prevenção de ataques de spear phishing ou na minimização dos danos que eles causam:

• Algumas ferramentas de segurança de e-mail, como filtros de spam e gateways de e-mail seguros, podem ajudar a detectar e desviar e-mails de phishing.
   

• O software antivírus pode ajudar a neutralizar infecções conhecidas por malware ou ransomware resultantes de spear phishing.

• Gateways da web seguros e outras ferramentas de filtragem da web podem bloquear os sites maliciosos vinculados a e-mails de spear phishing.
  
  
• As correções do sistema e de software podem fechar vulnerabilidades técnicas normalmente exploradas por spear phishers.

• As soluções de segurança corporativa podem ajudar as equipes de segurança e os centros de operações de segurança (SOCs) a detectar e interceptar tráfego malicioso e atividades de rede associadas a ataques de spear phishing.Essas soluções incluem (entre outras) orquestração, automação e resposta de segurança(SOAR), gerenciamento de incidentes de eventos de segurança (SIEM), detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e detecção e resposta estendidas (XDR).