O que é spear phishing (com exemplos) e como você pode evitá-lo

O que é spear phishing

Os esquemas de phishing normalmente envolvem uma vítima que é enganada a fornecer informações que podem ser usadas posteriormente em algum tipo de golpe. As informações geralmente são procuradas por e-mail, telefonema (phishing ou vishing por voz) ou mensagem de texto (phishing ou smishing por SMS). O phishing é um elemento muito comum em muitos tipos de fraudes na Internet que podem atingir milhares de pessoas ao mesmo tempo, na esperança de que uma ou duas sejam enganadas..

Spear phishing é um tipo de phishing mais direcionado. O autor geralmente já conhece algumas informações sobre o alvo antes de fazer uma jogada. Quando você considera quantos detalhes pessoais alguém poderia descobrir sobre você na internet atualmente, não é tão difícil para alguém se apresentar como uma parte confiável e induzi-lo a entregar algumas informações adicionais.

Felizmente, se você conhece esses tipos de golpes e sabe o que procurar, você pode evitar se tornar a próxima vítima.

Nesta postagem, entraremos em mais detalhes sobre o que é spear phishing e forneceremos alguns exemplos de esquemas de phishing. Em seguida, ofereceremos algumas dicas para ajudar você a garantir que não seja pego de surpresa. Vamos começar!

O que é spear phishing

Como mencionado, o spear phishing é uma forma direcionada de phishing. Quase todos os golpes on-line começam com alguma forma de phishing, mas muitas dessas tentativas têm como alvo aleatório um grande público. Por exemplo, você pode receber um e-mail informando que está recebendo algum dinheiro e precisa fornecer alguns dados pessoais. Essa é uma forma de phishing, mas não é segmentada.

Uma seção de um email geral de phishing solicitando informações pessoais.Uma seção de um email geral de phishing solicitando informações pessoais.

Em uma tentativa de spear phishing, um criminoso precisa conhecer alguns detalhes sobre a vítima. Usando esses detalhes, o fraudador visa incutir confiança na vítima e chegar o mais longe possível com a fraude. Então, onde eles encontram esses detalhes? Eles podem ser obtidos de uma tentativa anterior de phishing, de uma conta violada ou de qualquer outro lugar em que possam encontrar informações pessoais. A mídia social, em particular, é um centro de informações sobre indivíduos e empresas.

As tentativas de spear phishing podem assumir muitas formas diferentes. Alguns tentam fazer com que você clique em um link que pode levar a um site que baixa malware, um site falso que solicita uma senha ou um site que contém anúncios ou rastreadores. Outras tentativas de phishing podem solicitar que você forneça seu número de segurança social, entregue informações bancárias ou de cartão de crédito ou simplesmente envie algum dinheiro.

Ataques a indivíduos

Em nível pessoal, os golpistas podem representar como um negócio em que você confia, por exemplo, um banco ou uma loja em que você comprou. Eles podem oferecer ótimas promoções, dizer que você deve ou deve dinheiro ou que uma conta está prestes a ser congelada. Eles podem até fingir ser alguém que você conhece, direta ou indiretamente. Por exemplo, fingir que alguém que frequentou sua escola antiga ou é membro de seu grupo religioso pode fazer com que você se abra.

Ataques a empresas

O spear phishing também é uma forma muito comum de ataque às empresas. Por ser tão direcionado, o spear phishing é sem dúvida o tipo mais perigoso de ataque de phishing. Segundo o Instituto SANS, 95% dos ataques à rede corporativa envolvem tentativas bem-sucedidas de spear phishing. Além disso, um relatório de 2023 da IRONSCALES revelou que o spear phishing é cada vez mais designado por laser (PDF), com 77% dos e-mails direcionados a dez caixas de correio ou menos. Além disso, o estudo deles descobriu que um terço dos ataques direcionados a apenas uma caixa de correio.

Um infográfico de spear phishing destacando as estatísticas mencionadas acima.Fonte: IRONSCALES

Um golpe comum de spear phishing nas empresas envolve o fraudador que se apresenta como executivo da empresa e solicita que um funcionário desavisado transfira dinheiro para uma conta pertencente ao fraudador. Isso geralmente é chamado de “caça às baleias” e é um tipo de fraude do CEO.

Uma seção de um infográfico sobre spear phishing da Symantec.Fonte: Symantec

Como você pode ver na seção acima de um infográfico da Symantec, a prevalência de tentativas de spear phishing aumentou rapidamente nos últimos anos. Enquanto os golpistas visam todos os tamanhos de empresas, ataques contra pequenas empresas estão se tornando cada vez mais populares.

Exemplos de spear phishing

As tentativas de spear phishing foram usadas para enganar indivíduos e empresas em milhões de dólares. Eles também podem causar danos em outras áreas, como roubar informações secretas das empresas ou causar estresse emocional aos indivíduos. Aqui estão alguns exemplos de ataques bem-sucedidos de spear phishing.

Spear phishing tenta segmentar empresas

Os golpistas estão mirando empresas o tempo todo, mas aqui estão alguns exemplos de alguns ataques de alto nível.

Ubiquiti Networks Inc

Em 2015, essa empresa entregou mais de US $ 40 milhões em um golpe de spear phishing envolvendo fraude de CEO. Aparentemente, os e-mails enviados por executivos seniores direcionaram os funcionários a enviar fundos de uma subsidiária em Hong Kong para contas pertencentes a terceiros. Os emails realmente vieram dos fraudadores e as contas de terceiros pertenceram a eles.

Epsilon

Essa empresa de marketing on-line foi direcionada em 2011 como parte de um esquema para coletar credenciais de clientes, possivelmente para uso em outras tentativas de spear phishing.

Uma seção da página inicial da Epsilon.Como os dados são a base dos negócios da Epsilon, é fácil ver por que seria um alvo ideal.

Os relatórios indicam que os emails de spear phishing podem ter um link para um site que baixou malware, que por sua vez desabilitou o software antivírus, forneceu acesso remoto ao sistema e pode ser usado para roubar senhas. Esses e-mails foram enviados para diferentes empresas de marketing, mas sempre direcionados aos funcionários responsáveis ​​pelas operações de e-mail.

Fundação da fronteira eletrônica

Em 2015, os golpistas usaram o disfarce de confiança da Electronic Frontier Foundation (EFF) para direcionar as vítimas para um site falso (Electronicfrontierfoundation.org). Ele foi usado para distribuir keyloggers e outros malwares, mas o EFF assumiu o controle do domínio desde então..

Uma atualização na postagem do blog da EFF sobre o domínio spear phishing.

Agora, ele simplesmente redireciona para uma postagem no blog da EFF detalhando a fraude.

RSA

A empresa de segurança RSA foi alvo de uma tentativa bem-sucedida de spear phishing no início de 2011. Dois grupos dentro da empresa receberam emails de spear phishing simplesmente intitulados “Plano de Recrutamento 2011”. Embora os emails tenham sido marcados como lixo eletrônico, um funcionário abriu um anexo de email levou a uma forma de malware sendo instalada no computador. O malware deu ao atacante acesso remoto e a capacidade de roubar dados confidenciais.

Alcoa

O exército chinês foi acusado de várias tentativas de spear phishing destinadas a roubar segredos comerciais de empresas americanas. Um deles foi apontado como alvo da empresa de alumínio Alcoa. Em 2008, suspeita-se que hackers entraram em contato com 19 funcionários seniores da Alcoa por e-mail, representando um membro do conselho da empresa. Depois de aberto, o correio instalava malware nos computadores dos destinatários, resultando no roubo de quase 3.000 e-mails e mais de 800 anexos.

Spear phishing tenta segmentar indivíduos

Enquanto as empresas vêem grandes perdas com esses ataques, direta e indiretamente, o impacto sobre um indivíduo pode ser ainda mais grave. Veja, por exemplo, a história perturbadora de um usuário do reddit que entrevistamos para um artigo anterior.

Ela foi alvo de um criminoso que usou a engenharia social para que ela entregasse uma senha a uma conta de e-mail. Isso acabou levando o golpista a assumir várias contas de mídia social e e-mail e a chantagear a vítima com o conteúdo.

Uma seção da conversa de texto em que a vítima entrega a senha.

Esse golpe foi particularmente prejudicial emocionalmente, enquanto outros são puramente motivados financeiramente. Alguns esquemas de spear phishing em larga escala atingem usuários de grandes empresas, como as abaixo:

PayPal

Os usuários do PayPal parecem ser alvo de inúmeras tentativas gerais de phishing. O grande número de usuários significa que e-mails gerais em massa terão uma chance maior de sucesso. No entanto, alguns usuários do PayPal foram atingidos por e-mails de spear phishing mais direcionados. Na verdade, eles abordam o cliente pelo nome, fazendo com que pareçam mais legítimos do que o seu email de phishing padrão.

Amazonas

A Amazon é outra empresa que tem tantos usuários; as chances de conectar um deles a uma tentativa geral de phishing valem a pena. Mas os usuários da Amazon também devem estar atentos a ataques de spear phishing. Um grande ataque direcionado ocorreu em 2015, quando até 100 milhões de e-mails foram enviados a clientes da Amazon que fizeram um pedido recentemente. Os e-mails pareciam reais, com um título de “Seu pedido da Amazon.com foi despachado”, seguido de um código de pedido. Mas, em vez de uma mensagem, o email incluía apenas um anexo. A abertura do anexo levou alguns destinatários a instalar o Locky ransomware, que envolvia um resgate de bitcoin.

Outros exemplos comuns de golpe de lança-phishing

Além desses casos específicos, aqui estão alguns exemplos de cenários mais gerais que você pode encontrar. Estes todos usam informações que podem ser coletadas de postagens de mídia social, especialmente se você está propenso a divulgar informações sobre onde compra, come, compra banco, etc..

  • Um email de uma loja online sobre uma compra recente. Pode incluir um link para uma página de login em que o fraudador simplesmente colhe suas credenciais.
  • Uma ligação telefônica ou mensagem de texto automatizada do seu banco informando que sua conta pode ter sido violada. Ele diz para você ligar para um número ou seguir um link e fornecer informações para confirmar que você é o titular da conta real.
  • Um e-mail informando que sua conta foi desativada ou está prestes a expirar e você precisa clicar em um link e fornecer credenciais. Casos envolvendo Apple e Netflix foram exemplos sofisticados recentes desse tipo de golpe.
  • Um e-mail que solicita doações a um grupo religioso ou instituição de caridade associado a algo em sua vida pessoal.

Quando você pensa sobre quantas informações podem ser encontradas nas mídias sociais, é fácil ver como alguém poderia rapidamente ganhar sua confiança, simplesmente declarando um interesse comum ou se apresentando como uma empresa com quem você tem um histórico.

Como evitar golpes de lança-phishing

Algumas estatísticas bastante preocupantes surgiram de um estudo da Intel de 2015, que revelou que 97% das pessoas não conseguiram identificar e-mails de phishing. De fato, em todo o setor de segurança cibernética, o principal conselho para prevenir contra tentativas bem-sucedidas de phishing é a educação.

Nesta seção, ofereceremos dicas para ajudar indivíduos e empresas proteger contra esses golpes. Abordaremos isso com mais detalhes abaixo, mas aqui está uma lista de etapas que você pode executar para combater tentativas bem-sucedidas de spear phishing:

  1. Aumentar a conscientização
  2. Use ferramentas para defesa
  3. Cuidado com e-mails falsos
  4. Evite clicar em links e anexos
  5. Procure sites de phishing
  6. Evite enviar informações pessoais
  7. Verificar solicitações suspeitas
  8. Use senhas fortes e um gerenciador de senhas

Agora, vamos dar uma olhada em cada uma dessas etapas.

Aumentar a conscientização

Como em qualquer golpe, uma das principais maneiras de evitá-lo é tomar consciência de como o golpe ocorre. Compartilhar as informações com seus amigos, familiares e colegas também pode ajudar a impedir que se tornem vítimas. Se você é proprietário de uma empresa, é crucial para garantir que seus funcionários sejam instruídos sobre o tópico ataques de phishing, particularmente spear phishing.

Você pode se manter atualizado sobre esses tópicos lendo blogs como o nosso e também os dos principais fornecedores de software de segurança, como McAfee e Norton.

Para as empresas, você pode realmente executar um teste gratuito para veja o quão “propensos a phishing” seus funcionários são. Com base nesses resultados, você pode decidir o melhor curso de ação a ser adotado para melhorar o treinamento e impedir tentativas bem-sucedidas de phishing. Empresas como a KnowBe4 oferecem treinamento de conscientização sobre segurança contra esses ataques.

Use ferramentas para defesa

Embora educação e conscientização sejam algumas das melhores defesas existentes, ferramentas estamos disponível para ajudar a se defender contra ataques de phishing. Isso é especialmente útil para empresas onde há muito em risco, caso uma tentativa seja bem-sucedida. Algumas das ferramentas disponíveis incluem PhishDefender da InfoSec e Cofense (anteriormente PhishMe).

Para os indivíduos, os principais provedores de e-mail estão intensificando seu jogo quando se trata de táticas anti-phishing. Com a ajuda de técnicas de aprendizado de máquina, O Gmail alega bloquear 99,9% dos emails de spam.

Cuidado com e-mails falsos

Temos uma postagem inteira dedicada a detectar e-mails de phishing, mas aqui estão os principais tópicos:

  • Não confie em nomes de exibição como estes podem ser qualquer coisa que um golpista quer que eles sejam.
  • Verifique domínios de email falsos; elas geralmente são versões ligeiramente diferentes da coisa real.
  • Olhe para o logotipo e outras imagens; imagens de baixa resolução podem ser uma oferta.
  • Revise os links cuidadosamente passando o mouse sobre o texto do link (sem clicar). Um link diferente daquele no texto do link é sinal de um link malicioso.
  • Cuidado com a ortografia e gramática ruins, pois isso pode ser um sinal revelador de que não é uma mensagem legítima.

Os e-mails e mensagens de spear phishing são altamente segmentados, por isso vale a pena o esforço por parte do criminoso de gastar tempo fazendo com que pareçam o negócio real. Como tal, eles estão se tornando cada vez mais sofisticados e difíceis de detectar. Você pode ter que fazer várias verificações e, mesmo assim, elas podem ter todas as bases cobertas.

Evite clicar em links e anexos

Como mencionado anteriormente, os links podem levar a sites que contêm malware, anúncios com spam e rastreadores. Da mesma forma, um anexo pode conter vírus ou malware e nunca deve ser aberto, a menos que você tenha certeza absoluta da fonte.

Um e-mail falso do Walmart contendo um link de phishing.Um e-mail falso do Walmart contendo um link de phishing.

Alguns e-mails conterão apenas um link ou anexo sem outra mensagem, possivelmente direcionando o senso de curiosidade do leitor para solicitar que ele clique.

O melhor conselho? Simplesmente não clique em links ou anexos se tiver alguma suspeita.

Procure sites de phishing

Se você clicar em um link em um email e acabar acessando um site, poderá fazer algumas verificações para detectar um impostor. Novamente, temos um post inteiro dedicado a detectar sites falsos, mas aqui estão os principais indicadores:

  • Verifique o URL para ver se corresponde ao que está na página.
  • Verifique se há um certificado SSL / TLS (um símbolo de cadeado verde e / ou “https” na barra de endereço).
  • Procure uma página de navegação ou rodapé, incluindo uma página “Sobre”, política de privacidade, termos de uso ou serviço e detalhes de contato.
  • Verifique a ortografia e gramática adequadas; Assim como nos e-mails, a falta de escrita pode ser um indicador de um site falso.
  • Desconfie de reivindicações de “bom demais para ser verdade”; eles são frequentemente apenas isso.
  • Pesquise em outros lugares por críticas sobre empresas desconhecidas.
  • Verifique os direitos autorais está atualizado; caso contrário, provavelmente é um site falso.

Em outros casos, clicar em um link pode simplesmente levar você a uma página em branco. Se você clicou em um link e suspeita que o malware pode ter sido baixado, várias ferramentas podem detectá-lo e removê-lo.

Evite enviar informações pessoais

Empresas legítimas raramente solicitam informações pessoais por e-mail. Se você receber um e-mail ou SMS solicitando que você forneça detalhes como seu endereço, número de segurança social ou informações bancárias no corpo de um e-mail ou mensagem de texto, é muito provável que seja uma tentativa de phishing.

Um email genuíno normalmente fornece o endereço de um site para acessar (sem link), fornece um link para clicar ou fornece um número para ligar. Tenha em mente, todos esses cenários também podem ser táticas de phishing mais sofisticadas, portanto, deve ser verificado (mais sobre isso abaixo).

Verificar solicitações suspeitas

Se você tem suspeitas sobre um email ou outra mensagem, não visite o site ou ligue para o número fornecido. Se você acha que pode ser autêntico, mas não tem certeza, tente verificar primeiro.

Uma maneira de fazer isso é simplesmente pesquisar o número de telefone ou e-mail fornecido. Se for um golpe conhecido, é provável que você veja resultados com o mesmo valor.

Outro método de verificação mais confiável é simplesmente ligar ou enviar um email à empresa para verificar se é uma solicitação real. No entanto, você deve entre em contato com a empresa por meio de um número de telefone ou e-mail em seu site real, não as informações de contato encontradas no email.

Use senhas fortes e um gerenciador de senhas

Se você suspeitar que foi vítima de uma tentativa de phishing ou for notificado como tal (por uma fonte definitivamente confiável), considere alterar sua senha. A utilização de uma senha forte é importante, pois pode ajudar a evitar outros ataques, como ataques de força bruta.

Se a lembrança de senhas parecer muito difícil, um gerenciador de senhas pode ajudar. Outro benefício dessas ferramentas é que elas pode ajudar a detectar um site de phishing por padrão. Os gerenciadores de senhas funcionam preenchendo automaticamente suas informações em sites conhecidos, para que não funcionem em domínios desconhecidos (incluindo falsos). Isso não é algo em que se deve confiar, mas pode atuar como um backup.

Se você já foi solicitado a alterar uma senha, nunca siga o link no email ou na mensagem de texto. Vá diretamente ao site e altere-o lá. Dessa forma, você cobre se a mensagem é legítima ou não.

Relacionado: mais de 70 golpes comuns (online e offline) e como evitá-los; Golpes comuns de phishing e como reconhecê-los e evitá-los.

Crédito da imagem principal: “Dardos” licenciado sob CC BY 2.0

1 thought on “O que é spear phishing (com exemplos) e como você pode evitá-lo

  1. um método eficaz para os criminosos obterem informações confidenciais de uma empresa. Eles podem se passar por um funcionário ou parceiro de negócios legítimo e solicitar informações financeiras ou de login. Eles também podem enviar e-mails com anexos maliciosos que, quando abertos, permitem que o malware se espalhe pela rede da empresa. É importante que as empresas treinem seus funcionários para reconhecer e evitar esses tipos de golpes, além de implementar medidas de segurança cibernética adequadas. Em resumo, o spear phishing é uma ameaça real e crescente na era digital. É importante estar ciente desses golpes e tomar medidas para proteger suas informações pessoais e empresariais.

Comments are closed.