.png?width=1214&name=Group%201%20(1).png "Group 1 (1)")
Imagine que você recebe, em seu e-mail profissional, um e-mail de um órgão governamental ou de um dos serviços que sua empresa utiliza. Nele, há um link para uma página que parece ser da organização pedindo para que você troque sua senha ou preencha com informações pessoais. Ou você pode receber um e-mail com a assinatura do CEO da sua empresa com arquivos para download. Ambos os casos parecem legítimos e confiáveis, certo? Errado!
E-mails como esses podem esconder um golpe conhecido como spear phishing. Trata-se de um ataque personalizado, enviado por e-mail, que tem como alvo uma organização ou indivíduo específico.
O objetivo dos invasores é obter acesso a informações confidenciais, dados sensíveis da empresa ou instalar um malware através do download de arquivos. E pode ser tão simples quanto pedir seu cadastro na Microsoft ou no G Suite. Em um clique, é possível expor dados importantes que sua empresa tanto protege.
O spear phishing entra na categoria de Advanced Persistent Threat (APT), ciberataques extremamente personalizados com o objetivo de se infiltrar na rede interna de uma empresa ou organização para obter informações confidenciais. O spear phishing nada mais é do que um atalho para atingir essas informações.
Logo, enquanto o phishing comum usa mensagens genéricas para atingir uma base ampla de vítimas, o spear phishing é direcionado particularmente, e por isso é muito mais difícil de detectar do que o phishing comum.
Como é feito um spear phishing?
Através de estratégias de engenharia social, os cibercriminosos buscam informações para personalizar o ataque. Ao fazer uma pesquisa sobre os funcionários que desejam atingir e sobre o executivo pelo qual tentam se passar, os fraudadores conseguem descobrir endereços de e-mail, cargos e outras informações pessoais. Muitas vezes, essas informações podem estar disponíveis nas redes sociais da vítima ou no site da empresa.
Assim, o fraudador consegue fazer com que o e-mail pareça ter um remetente confiável, como o governo ou a própria empresa. De acordo com o relatório Spear Phishing: Top Threats and Trends, da Barracuda, o uso da marca da empresa acontece em mais de 80% dos ataques de spear phishing. Muitas vezes, é alguém em posição de autoridade ou que o alvo conhece pessoalmente, ou até mesmo um administrador de rede, o que faz com que a solicitação de informações confidenciais pareça razoável. Além disso, o autor do e-mail pode se dirigir à vítima por nome ou cargo, e tratar de um assunto relacionado ao contexto ou interesse da vítima, o que também aumenta sua credibilidade.
Então, o invasor escreve o e-mail direcionado a um funcionário solicitando informações pessoais, enviando um link de acesso ou um arquivo malicioso. Segundo o relatório da TrendMicro, em empresas ou organizações governamentais, recebem spear phishing com anexos em 94% dos casos. Isso se deve ao fato de que as pessoas normalmente compartilham arquivos (como relatórios, documentos, e currículos) por e-mail, já que downloads na internet são vistos como mais arriscados. As extensões de arquivo mais usadas nesses ataques são .RTF (38%), .XLS (15%), .TIF (13%), . RAR (11%) e .PDF (8%), ou seja, tipos de arquivo geralmente utilizadas pelas empresas.
Quando o funcionário é fisgado
Basta que apenas um funcionário da empresa caia no truque do spear phishing para que o ataque gere danos à empresa. O invasor também pode se passar por essa pessoa a fim de acessar outros níveis de dados confidenciais e até mesmo gerar outro spear phishing em nome desse funcionário.
Quando os ataques são bem-sucedidos e as informações desejadas são roubadas, elas podem ser usadas para os mais diversos fins. Realizar transferências bancárias, fraudar identidades, revelar segredos empresariais, paralisar atividades ou até iniciar um ataque de extorsão.
Como evitar?
A melhor maneira de evitar que sua empresa seja invadida por spear phishing é através da conscientização e treinamento de seus funcionários. Dicas simples como verificar o endereço de e-mail do remetente, suspeitar de links e arquivos em anexo e sempre desconfiar de solicitações de informações confidenciais ou pessoais podem impedir vazamentos críticos. E, claro, não divulgar informações sensíveis da empresa por e-mail, a menos que a fonte seja segura.
No entanto, é difícil evitar que os fraudadores utilizem o nome da sua empresa para aplicar esse tipo de golpe nos seus clientes, parceiros ou fornecedores. Neste caso, o monitoramento através de inteligência artificial pode detectar domínios similares, perfis falsos e phishings 24x7, sendo a melhor escolha para bloquear indícios de fraudes antes mesmo que isto afete a sua empresa e a relação com o consumidor.
