Spear Phishing: Ce este?

Spear Phishing: o que é?

⌛ Reading Time: 3 minutes

Em 12 de janeiro de 2016, foi lançado um ataque cibernético que afetou 80.000 clientes de um fornecedor ucraniano de eletricidade (Prykarpattyaoblenergo). Esta foi a primeira vez que pudemos documentar e confirmar totalmente que uma queda de energia foi causada por hackers de um local remoto. Esses hackers nem sempre possuem os melhores equipamentos ou recursos. Em troca, eles têm uma atitude e um talento que confrontam as salvaguardas com um único princípio em mente: o elo mais fraco em um sistema de segurança é o ser humano que o usa.

Uma investigação do ataque acima chegou à conclusão de que foi um incidente de spear phishing. Embora esse tópico tenha sido discutido brevemente em um artigo anterior, suspeito que este seja um momento oportuno para expandir o assunto e oferecer o máximo possível de informações cruciais sobre esse tipo de ataque.

O que é Spear Phishing?

A mágica do spear phishing envolve a coleta de informações sobre um indivíduo (data de nascimento, nome, outras informações relevantes) antes de realizar o ataque. O próprio ataque irá incorporar essas informações para convencer o indivíduo de que o remetente é uma entidade legítima que “conhece” a vítima. O spear phishing é perigoso porque usa o relacionamento entre um indivíduo e uma organização para cumprir seu propósito, que geralmente envolve a obtenção de informações importantes e úteis (muitas vezes de natureza financeira, mas nem sempre, como é o caso do roubo de identidade) sobre a vítima.

O site do FBI usa o exemplo hipotético de hackers imitando uma empresa de telecomunicações e enviar a seus clientes um link para uma página falsa onde inseririam suas datas de nascimento e números de previdência social. Este é um exemplo clássico do que descrevi acima. Normalmente, as vítimas de spear phishing geralmente estão conectadas de alguma forma. Geralmente são clientes da mesma empresa, colegas de trabalho ou de classe.

Diferença entre Spear Phishing e Plain Old Phishing

O estilo típico e tradicional de phishing envolve o envio de e-mails aleatoriamente para uma longa lista de pessoas. Os hackers esperam obter algumas respostas, mas a maioria das pessoas não será vítima desse ataque. Por causa da sofisticação por trás do spear phishing, é muito mais eficaz e mais provável de produzir vítimas, mesmo entre pessoas que deveriam saber mais do que confiar em tais emails. Alguns ataques de spear phishing usam até mesmo endereços oficiais das empresas que estão imitando (uma prática conhecida como spoofing), o que os torna extremamente perigosos.

Hackers inteligentes, em vez de olhar para um grande vazamento de banco de dados (como a única meta sofrida em março de 2014) como uma lista de e-mails aleatórios para os quais eles podem disparar por diversão, veja essa lista como uma oportunidade de usar as informações coletadas para vitimizar os clientes, usando sua confiança na empresa como isca. Perverso? Sim. Pernicioso? Absolutamente. Elegante? Ai sim!

Como se Armar Contra Isso

Para combater o spear phishing, a prevenção é fundamental. Você precisa operar sob o princípio de que nenhuma empresa solicitará informações pessoais por meio de uma mensagem de e-mail. Nunca ligue para o número de telefone de uma empresa usando o fornecido no e-mail, pois ele pode pertencer e ser operado por hackers, e não por uma entidade corporativa. Você deve sempre pesquisar o número de telefone oficial da empresa e ligar para eles se receber um e-mail de phishing em potencial.

Se o e-mail veio de um amigo ou parente, ligue de volta para ele em vez de responder por e-mail. O endereço pode ser falsificado.

Alguma outra dica para evitar que as pessoas sejam vítimas de spear phishing? Conte-nos sobre eles em um comentário!