O que é spear phishing: definição, identificação e proteção

O que é spear phishing?

O spear phishing é um tipo de phishing orientado que utiliza técnicas de engenharia social para atacar pessoas, instituições, empresas e organizações específicas através de e-mails maliciosos.

A principal diferença entre o phishing convencional e o spear phishing é que, no segundo caso, há um nível de personalização e de refinamento muito mais elevado nas mensagens que são criadas e enviadas pelos golpistas.

Enquanto o phishing convencional é mais direcionado às pessoas como um todo, o spear phishing é voltado principalmente para executivos de grandes empresas, funcionários governamentais e qualquer pessoa com um nível de poder maior. Ainda assim, ele pode atingir qualquer pessoa, como acontece com os golpes de phishing menos refinados.

Como o spear phishing funciona?

No spear phishing, os cibercriminosos não enviam milhares de e-mails genéricos para aplicar os golpes, como ocorre no phishing convencional. Em vez disso, eles criam mensagens detalhadas e personalizadas com informações pessoais das vítimas, como nome, número de CPF, identidade, endereço de e-mail, informações empresariais, entre outros dados sensíveis. Essas mensagens contêm um nível de identificação e uma capacidade de convencimento muito maiores do que o que se encontra em estratégias genéricas de phishing.

Os e-mails de spear phishing transmitem mais profissionalismo e credibilidade para as vítimas, que são levadas a crer que o conteúdo foi enviado por pessoas conhecidas e de confiança, como amigos, instituições bancárias, órgãos governamentais ou empresas sérias.

Dessa forma, elas clicam no link malicioso ou no arquivo enviado em anexo (que na verdade é um malware disfarçado), fornecem informações pessoais e ficam com o dispositivo comprometido.

Por meio dessas táticas, os cibercriminosos conseguem roubar dinheiro, dados e informações sigilosas, além de espionar as atividades da vítima através do malware instalado, comprometendo toda a privacidade e segurança digital de quem é afetado por este tipo de ataque.

Qual é a diferença entre o spear phishing e o phishing convencional?

Phishing e spear phishing podem parecer coisas idênticas, mas há várias diferenças entre essas duas formas de ataque online. Aqui, separamos as principais distinções entre phishing, spear phishing e também whaling:

Como os e-mails de spear phishing são estruturados?

As táticas de spear phishing são bastante variadas, mas geralmente são estruturadas a partir das seguintes características:

• Os cibercriminosos tentam atingir uma empresa ao enviar uma mensagem de golpe para um CEO, por exemplo, com o objetivo de roubar dados sensíveis da organização (como senhas de acesso ou dados bancários). Os ataques que têm como alvos principais funcionários de alto escalão também são chamados de whaling.
• Os golpistas fazem uma pesquisa detalhada sobre as informações de uma empresa para saber quem será o alvo. Neste tipo de busca, informações disponibilizadas em redes como LinkedIn ou Glassdoor são muito usadas pelos cibercriminosos. Estas pesquisas também ajudam no processo de roubo de identidade, como o uso de fotos, nomes e outros detalhes das vítimas (como se passar pelo presidente de uma determinada empresa, por exemplo).
• Há um alto nível de personalização nas mensagens usadas em ataques de spear phishing, quando em comparação com as mensagens mais genéricas enviadas em golpes de phishing convencionais.
• Nas mensagens falsas, os criminosos adotam um tom mais formal e corporativo para transmitir mais confiabilidade.
• Além disto, os cibercriminosos podem copiar todo o layout e até mesmo assinaturas dos e-mails corporativos das empresas, tudo para simular ao máximo que são pessoas confiáveis e que as mensagens são reais.

Quais são os exemplos reais de spear phishing?

Há inúmeros exemplos reais de spear phishing que merecem ser mencionados para reforçar a gravidade deste tipo de ciberameaça e a extensão dos danos que podem ser causados.

Um dos casos mais emblemáticos foi o do roubo de mais de $100 milhões de dólares do Facebook e da Google por meio de ataques feitos por Evaldas Rimasauskas de 2013 a 2015. Rimasauskas enviava e-mails de spear phishing para funcionários das gigantes de tecnologia acompanhados de contratos, recibos e ordens de pagamentos falsas. Com um nível refinado de personalização nas mensagens, ele conseguia a confiança das vítimas e, assim, elas enviavam os valores solicitados, acreditando que se tratavam de trâmites normais das empresas.

Em junho de 2017, através do malware NotPetya, cibercriminosos enviaram mensagens de spear phishing para atacar empresas ucranianas. Posteriormente, o spear phishing com malware NotPetya afetou mais de 60 países. Os ataques envolviam mensagens elaboradas para induzir as vítimas a instalar o malware em dispositivos e, depois, bloquear o acesso aos sistemas.

No Brasil, a multinacional espanhola de call center Atento sofreu ataques de spear phishing em 2021, o que comprometeu os sistemas internos e fez com que a companhia suspendesse grande parte dos serviços e operações. Os sistemas da empresa foram bloqueados por um ataque de ransomware. Braskem, Cosan, Embraer, Westwing, Grupo Fleury, Renner, JBS e Natura são algumas das empresas que foram afetadas pela onda de ciberataques realizados no Brasil em 2021.

Em 2016, a empresa aeroespacial austríaca FACC sofreu um ataque de spear phishing e teve prejuízos de 50 milhões de dólares. Os cibercriminosos se passaram pelo então CEO da empresa, Walter Stephan, e solicitaram uma transferência para um “projeto de aquisição”. Ao acreditar que o autor da mensagem era mesmo o CEO da empresa, os funcionários efetivaram a transferência.

Quem são as principais vítimas do spear phishing?

No geral, os golpes de spear phishing afetam alguns grupos de pessoas em específico:

• CEOs: executivos, principalmente de grandes empresas, costumam ser os principais alvos dos ataques de spear phishing.
• Funcionários com alto nível de acesso: funcionários com acesso a sistema de pagamentos, organização logística, redes e sistemas internos no geral também são fortes alvos de spear phishing.
• Funcionários do governo: servidores públicos e funcionários do governo em geral, assim como figuras políticas, também são alvos muito frequentes dos cibercriminosos.
• Personalidades: figuras de grande destaque social, político e financeiro também são afetadas pelo spear phishing.

Apesar de estes serem os principais alvos dos golpes de spear phishing, é importante ter em mente que as estratégias, malware (como um aplicativo espião, por exemplo) e outros recursos usados neste tipo de ciberameaça também podem afetar qualquer pessoa, organização ou empresa.

Como identificar golpes de spear phishing?

Os hackers maliciosos não usam um padrão específico nos e-mails de spear phishing. Como mencionamos, cada golpe é estruturado de forma detalhada e personalizada para atingir cada vítima específica.

Mas há alguns sinais importantes que ajudam a identificar mensagens de spear phishing. Aqui estão algumas das principais red flags que você precisa saber identificar:

• Tenha cuidado com mensagens com tom de urgência, ameaça ou culpa. O objetivo dos cibercriminosos também é manipular as emoções e sentimentos das vítimas e fazer com que elas tomem ações sem refletir. E-mails com mensagens como “transferência urgente”, “aquisição crucial” ou “parceria imperdível”, por exemplo, são muito comuns nos golpes de spear phishing.
• Apesar serem bastante convincentes, os e-mails de spear phishing apresentam algumas irregularidades, como remetentes com formatos de endereços de e-mail estranhos.
• Erros de digitação e de gramática também são um alerta de que a mensagem não é confiável. Apesar de apresentar um nível de profissionalismo maior do que o das mensagens de ataques comuns de phishing, os e-mails de spear phishing também podem apresentar estas inconsistências.
• Solicitações estranhas, como pedidos de credenciais de acesso, pagamentos ou instalação de programas para corrigir supostos problemas são fortes alertas de ataques de spear phishing.
• A presença de links e anexos suspeitos também representa um indício muito forte de mensagem de spear phishing. Estes links podem ser usados para redirecionar as vítimas para websites falsos, além de enviar malware disfarçado de conteúdo legítimo através dos anexos.

O que fazer se você for vítima de spear phishing?

Caso você seja vítima de um ataque de spear phishing, é fundamental adotar alguns procedimentos imediatamente:

• Entre em contato com a equipe de TI ou de cibersegurança caso você receba um e-mail de spear phishing ou tenha caído no golpe. Este passo é fundamental para proteger a sua rede e evitar danos ainda maiores.
• Denuncie o remetente ao provedor de serviço. Os provedores mais populares, como Gmail, Outlook e Yahoo contam com mecanismos de denúncia que ajudam a filtrar spam, evitar ataques semelhantes e bloquear remetentes que disseminam conteúdo malicioso.
• Entre em contato com as autoridades competentes. Em muitos países, há forças policiais, agências e setores de governo voltados especificamente para lidar com crimes cibernéticos.
• Caso os golpistas se passem por uma pessoa ou empresa específica, entre em contato com a organização ou o indivíduo em questão (através de canais oficiais e confiáveis) e alerte sobre o golpe. Dessa forma, essas pessoas e empresas podem tomar as ações necessárias para alertar clientes, funcionários e parceiros e evitar a propagação dos golpes.
• Mantenha sempre um backup dos seus arquivos mais importantes para evitar prejuízos ainda mais graves caso você sofra com um ataque de spear phishing que também use ransomware.

Como você pode se prevenir contra os golpes de spear phishing?

Apesar de ser um tipo bastante nocivo e destrutivo de ciberataque, há algumas medidas que você pode e deve adotar para se proteger da melhor forma possível contra os golpes de spear phishing:

• Se você receber uma mensagem suspeita de alguém que se passa por uma pessoa com um cargo importante na estrutura empresarial, confirme se o conteúdo é real e entre em contato com os setores adequados dentro da empresa, incluindo a própria chefia em questão.
• Aprenda sobre os diferentes tipos e métodos de spear phishing, spoofing, doxxing, tailgating e outras modalidades de ataques e golpes para adotar os melhores hábitos de segurança digital.
• Use softwares de cibersegurança. Além de um antivírus eficiente e um firewall sempre ativo, uma ferramenta VPN robusta como a NordVPN é fundamental para manter a integridade do seu ambiente corporativo e dos seus dispositivos pessoais. A funcionalidade de Proteção Contra Ameaças Pro da NordVPN conta com um recurso anti-phishing, que ajuda a identificar arquivos com malware, páginas web maliciosas e rastreadores intrusivos usados para monitorar suas atividades online.
• Verifique se seu dispositivo foi infectado. Ataques de spear phishing também podem disseminar malware. Confira o nosso guia Celular hackeado: Como Resolver para saber como limpar seu dispositivo se ele for invadido.
• Sempre verifique o endereço de e-mail do remetente para ter certeza de que o conteúdo não é malicioso. Por menor que seja uma inconsistência no e-mail, ela deve servir como alerta vermelho.
• Procure por erros de gramática e digitação nos e-mails que você receber.
• Use autenticação multifator sempre que possível para proteger suas contas e acessos. Além disto, use senhas fortes e armazene-as em um bom gerenciador de senhas, como o NordPass.

Como as empresas e organizações podem se proteger contra o spear phishing?

Para organizações e empresas, a responsabilidade na prevenção aos ciberataques como spear phishing é ainda mais séria e há alguns passos que ajudam a criar ambientes mais seguros:

• Não exiba o e-mail corporativo que você utiliza de forma pública. Em vez disso, use uma forma de contato online para se comunicar com clientes e parceiros.
• Treine e prepare toda a sua equipe para identificar, se prevenir e agir da melhor forma contra spear phishing e outros tipos de ciberameaças.
• Limite a quantidade de informações que você expõe nas redes sociais e jamais compartilhe dados internos sobre as atividades da sua empresa, hábitos de comunicação ou dados de funcionários. Compartilhe apenas o que for essencial e neutro, sem expor nenhum tipo de dado confidencial ou que possa ser usado pelos cibercriminosos.
• Invista em uma boa equipe de TI e de cibersegurança e também em soluções efetivas para identificar, bloquear e mitigar ciberameaças.
• Se você abrir um e-mail de phishing de forma acidental, não abra nenhum anexo nem clique em nenhum link. Além disso, é fundamental não fornecer nenhum tipo de dado pessoal ou informação sigilosa da organização.
• Mantenha um bom sistema de backup para evitar prejuízos com ataques de spear phishing que também empregam ransomware.
• Envie informações aos seus funcionários e clientes alertando-os sobre golpes que podem afetá-los e também sobre como adotar os melhores procedimentos para que eles possam se proteger.