O que é spear phishing?

Enquanto alguns golpes de phishing são enviados para milhões de pessoas na esperança de que alguém caia, um ataque de spear phishing se concentra em um único alvo e pode ser muito convincente.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir spear phishing
  • Explicar as diferenças entre phishing, spear phishing e whaling
  • Delinear estratégias para evitar o spear phishing e o whaling

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é spear phishing?

Embora phishing seja um termo amplo para ataques que visam induzir uma vítima a compartilhar informações confidenciais, o spear phishing é um ataque de phishing que persegue um único alvo, que pode ser um indivíduo, organização ou empresa.

Os ataques de spear phishing são particularmente eficazes porque o invasor pode usar informações sobre a vítima, muitas vezes informações públicas encontradas on-line, para criar um ardil convincente.

Como são os ataques de spear phishing?

Uma tática comum de spear phishing é o invasor se passar por alguém em uma posição de autoridade, porque as pessoas são muito mais propensas a responder a uma figura de autoridade.

Aqui está um exemplo:

Joe é assistente executivo de uma CEO chamada Mary. Um dia, quando Mary está de férias no exterior, Joe recebe um e-mail urgente dela. O e-mail informa que sua bagagem e telefone foram roubados. Ela diz que não tem dinheiro ou passaporte e precisa que ele envie suas credenciais do PayPal o quanto antes para que ela possa reservar um hotel e comprar um voo para casa. Joe vê essa mensagem angustiante de sua superior e envia imediatamente as informações solicitadas.

Esse tipo de solicitação "estou com problemas e preciso de dinheiro" de um superior é um script comum de spear phishing. O invasor pode estar falsificando o e-mail de Mary, bem como enviando o e-mail para dezenas de combinações diferentes do nome e iniciais de Joe na esperança de encontrar o correto. O invasor também pode ter sabido sobre os planos de férias de Mary seguindo-a no Twitter. Combinando todas essas ferramentas, o invasor pode criar um golpe muito convincente.

Um exemplo notável na vida real disso aconteceu em 2016, quando um invasor se passou por CEO do Snapchat e conseguiu convencer um funcionário a entregar informações confidenciais da folha de pagamento.

Ataques de spear phishing também podem se aproveitar de informações de violações de dados. Outro exemplo:

O Steve compra um computador em um grande varejista on-line, mas algumas semanas depois o varejista sofre uma violação de dados. Embora dados confidenciais como números de cartões de crédito e senhas tenham sido protegidos contra hash, os endereços de e-mail dos clientes e o histórico de pedidos vazaram.

Alguns dias depois, Steve recebe um e-mail do fabricante de seu novo computador anunciando que seu modelo está sendo recolhido e fornecendo um link para receber um reembolso. O link leva Steve a uma versão falsa do site do fabricante e fornece um formulário para Steve inserir o número do cartão de crédito para o reembolso. O invasor usou alguns dados bastante inofensivos para ganhar a confiança de Steve e induzi-lo a entregar suas informações financeiras.

Qual é a diferença entre o spear phishing e whaling?

Whaling é um ataque de spear phishing que tem como alvo uma vítima importante, geralmente um alto executivo de uma empresa ou uma celebridade. Os ataques whaling tendem a ser mais sofisticados e, em muitos casos, os invasores primeiro realizam ataques de spear phishing em alvos menores, como funcionários da "whale", para obter acesso à sua vítima final.

Por exemplo:

Durante as férias, Mary, a CEO, recebe um e-mail ou ligação de alguém que ela conhece em sua equipe de TI informando que está sofrendo um ataque cibernético e solicitando acesso ao computador de trabalho e às contas para garantir que os dados da empresa possam ser protegidos. É possível que um invasor tenha comprometido sua equipe de TI para ganhar a confiança de Mary, na esperança de convencê-la a entregar suas credenciais.

Como se proteger contra spear phishing e whaling

Como o spear phishing envolve engenharia social, não há maneiras infalíveis de proteção contra esses tipos de ataques. No entanto, várias precauções podem ser tomadas para evitar e mitigar tentativas de spear phishing. Incluindo:

  • nunca compartilhe informações financeiras, senhas ou quaisquer outros dados sensíveis por telefone, chat ou e-mail.
  • Não clique em links em e-mails, mesmo que pareçam ser de uma fonte confiável. Copiar e colar ou digitar manualmente o URL pode ajudar a proteger contra ataques de cross-site scripting
  • ative a autenticação com 2 fatores em todas as contas importantes, para que as credenciais de login roubadas não sejam suficientes.
  • ative as políticas de segurança Zero Trust para garantir que um invasor não tenha acesso aberto a uma rede.