Digital Fraud, Data Leakage

Spear phishing: uma ameaça que se esconde no e-mail da sua empresa

Por Júlia Provenzi em
COMPARTILHAR

Imagine que você recebe, em seu e-mail profissional, um e-mail de um órgão governamental ou de um dos serviços que sua empresa utiliza. Nele, há um link para uma página que parece ser da organização pedindo para que você troque sua senha. Ou então, que você recebe um e-mail com a assinatura do CEO de sua empresa com arquivos para download. Ambos os casos parecem legítimos e confiáveis, certo? Errado! 

E-mails como esses podem esconder um golpe apontado como uma das tendências em phishings para empresas em 2019, o spear phishing. Trata-se de um ataque personalizado, enviado por e-mail, que tem como alvo uma organização ou indivíduo específico. 

O objetivo dos invasores é obter acesso a informações confidenciais, dados sensíveis da empresa ou instalar um malware através do download de arquivos. E pode ser tão simples quanto pedir seu cadastro na Microsoft ou no G Suite. Em um clique, é possível expor dados importantes que sua empresa tanto protege.

O spear phishing entra na categoria de Advanced Persistent Threat (APT), ciberataques extremamente personalizados com o objetivo de se infiltrar na rede interna de uma empresa ou organização para obter informações confidenciais. O spear phishing nada mais é do que  um atalho para atingir essas informações.

Logo, enquanto o phishing comum usa mensagens genéricas para atingir uma base ampla de vítimas, o spear phishing é direcionado particularmente, e por isso é muito mais difícil de detectar do que o phishing comum.

 

Como é feito um spear phishing?


Através de estratégias de engenharia social, os cibercriminosos buscam informações para personalizar o ataque. Ao fazer uma pesquisa sobre os funcionários que desejam atingir e sobre o executivo pelo qual tentam se passar, os fraudadores conseguem descobrir endereços de e-mail, cargos e outras informações pessoais. Muitas vezes, essas informações podem estar disponíveis nas redes sociais da vítima ou no site da empresa!

Assim, o fraudador consegue fazer com que o e-mail pareça ter um remetente confiável, como o governo ou a própria empresa. De acordo com o relatório Spear Phishing: Top Threats and Trends, da Barracuda, o uso da marca da empresa acontece em 83% dos ataques de spear phishing. Muitas vezes, é alguém em posição de autoridade ou que o alvo conhece pessoalmente, ou até mesmo um administrador de rede, o que faz com que a solicitação de informações confidenciais pareça razoável. Além disso, o autor do e-mail pode se dirigir à vítima por nome ou cargo, e tratar de um assunto relacionado ao contexto ou interesse da vítima, o que também aumenta sua credibilidade.

Então, o invasor escreve o e-mail direcionado a um funcionário solicitando informações pessoais, enviando um link de acesso ou um arquivo malicioso. Segundo o relatório da TrendMicro, em empresas ou organizações governamentais, recebem spear phishing com anexos em 94% dos casos. Isso se deve ao fato de que as pessoas normalmente compartilham arquivos (como relatórios, documentos, e currículos) por e-mail, já que downloads na internet são vistos como mais arriscados. As extensões de arquivo mais usadas nesses ataques são .RTF (38%), .XLS (15%), .TIF (13%), . RAR (11%) e .PDF (8%), ou seja, tipos de arquivo geralmente utilizadas pelas empresas.

 

Quando o funcionário é fisgado


Basta que apenas um funcionário da empresa caia no truque do spear phishing para que o ataque gere danos à empresa. O invasor também pode se passar por essa pessoa a fim de acessar outros níveis de dados confidenciais e até mesmo gerar outro spear phishing em nome desse funcionário. 

Quando os ataques são bem-sucedidos e as informações desejadas são roubadas, elas podem ser usadas para os mais diversos fins. Realizar transferências bancárias, fraudar identidades, revelar segredos empresariais, ou até espionar concorrência e manipular preços de ações são algumas das possibilidades.  

 

Como evitar?


A melhor maneira de evitar que sua empresa seja afetada por spear phishing é através da conscientização e treinamento de seus funcionários. Dicas simples, como verificar o endereço de e-mail do remetente, suspeitar de links e arquivos em anexo e sempre desconfiar de solicitações de informações confidenciais ou pessoais podem impedir vazamentos críticos. E, claro, não divulgar informações sensíveis da empresa por e-mail, a menos que a fonte seja segura. 


Mas vale lembrar que um monitoramento eficiente deve ser feito em vários níveis. A Axur conta com o Digital Fraud Discovery para detectar phishings em nome da sua marca, e através do Data Leakage Discovery você pode monitorar vazamentos de dados e credenciais da sua empresa na internet. Confira também o Digital Brand Compliance e saiba tudo sobre o uso da sua marca na internet.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Júlia Provenzi

Estudante de Jornalismo na UFRGS e entusiasta das transformações digitais na comunicação. Ex-integrante da equipe de Brand Protection da Axur, onde são analisadas muitas das fraudes e ameaças sobre as quais falamos aqui no blog para proteger a imagem das empresas na internet.