Enquanto alguns golpes de phishing são enviados para milhões de pessoas na esperança de que alguém caia, um ataque de spear phishing se concentra em um único alvo e pode ser muito convincente.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Ataque de phishing
O que é uma ameaça interna?
Segurança Zero Trust
O que é IAM?
Autenticação em dois fatores
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Embora phishing seja um termo amplo para ataques que visam induzir uma vítima a compartilhar informações confidenciais, o spear phishing é um ataque de phishing que persegue um único alvo, que pode ser um indivíduo, organização ou empresa.
Os ataques de spear phishing são particularmente eficazes porque o invasor pode usar informações sobre a vítima, muitas vezes informações públicas encontradas on-line, para criar um ardil convincente.
Uma tática comum de spear phishing é o invasor se passar por alguém em uma posição de autoridade, porque as pessoas são muito mais propensas a responder a uma figura de autoridade.
Aqui está um exemplo:
Joe é assistente executivo de uma CEO chamada Mary. Um dia, quando Mary está de férias no exterior, Joe recebe um e-mail urgente dela. O e-mail informa que sua bagagem e telefone foram roubados. Ela diz que não tem dinheiro ou passaporte e precisa que ele envie suas credenciais do PayPal o quanto antes para que ela possa reservar um hotel e comprar um voo para casa. Joe vê essa mensagem angustiante de sua superior e envia imediatamente as informações solicitadas.
Esse tipo de solicitação "estou com problemas e preciso de dinheiro" de um superior é um script comum de spear phishing. O invasor pode estar falsificando o e-mail de Mary, bem como enviando o e-mail para dezenas de combinações diferentes do nome e iniciais de Joe na esperança de encontrar o correto. O invasor também pode ter sabido sobre os planos de férias de Mary seguindo-a no Twitter. Combinando todas essas ferramentas, o invasor pode criar um golpe muito convincente.
Um exemplo notável na vida real disso aconteceu em 2016, quando um invasor se passou por CEO do Snapchat e conseguiu convencer um funcionário a entregar informações confidenciais da folha de pagamento.
Ataques de spear phishing também podem se aproveitar de informações de violações de dados. Outro exemplo:
O Steve compra um computador em um grande varejista on-line, mas algumas semanas depois o varejista sofre uma violação de dados. Embora dados confidenciais como números de cartões de crédito e senhas tenham sido protegidos contra hash, os endereços de e-mail dos clientes e o histórico de pedidos vazaram.
Alguns dias depois, Steve recebe um e-mail do fabricante de seu novo computador anunciando que seu modelo está sendo recolhido e fornecendo um link para receber um reembolso. O link leva Steve a uma versão falsa do site do fabricante e fornece um formulário para Steve inserir o número do cartão de crédito para o reembolso. O invasor usou alguns dados bastante inofensivos para ganhar a confiança de Steve e induzi-lo a entregar suas informações financeiras.
Whaling é um ataque de spear phishing que tem como alvo uma vítima importante, geralmente um alto executivo de uma empresa ou uma celebridade. Os ataques whaling tendem a ser mais sofisticados e, em muitos casos, os invasores primeiro realizam ataques de spear phishing em alvos menores, como funcionários da "whale", para obter acesso à sua vítima final.
Por exemplo:
Durante as férias, Mary, a CEO, recebe um e-mail ou ligação de alguém que ela conhece em sua equipe de TI informando que está sofrendo um ataque cibernético e solicitando acesso ao computador de trabalho e às contas para garantir que os dados da empresa possam ser protegidos. É possível que um invasor tenha comprometido sua equipe de TI para ganhar a confiança de Mary, na esperança de convencê-la a entregar suas credenciais.
Como o spear phishing envolve engenharia social, não há maneiras infalíveis de proteção contra esses tipos de ataques. No entanto, várias precauções podem ser tomadas para evitar e mitigar tentativas de spear phishing. Incluindo: