Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
O que é spear phishing?
Spear phishing é um tipo de ataque de phishing que tem como alvo um indivíduo ou grupo específico de indivíduos dentro de uma organização, e tenta enganá-los para divulgar informações confidenciais, fazer o download de malware ou enviar inconscientemente nossos pagamentos autorizados ao invasor.
Como todos os golpes de phishing, o spear phishing pode ser conduzido por e-mails, mensagens de texto ou chamadas telefônicas. A diferença é que, em vez de atingir milhares ou milhões de vítimas em potencial com táticas genéricas de "phishing em massa", os spear phishers visam indivíduos ou grupos específicos de indivíduos, por exemplo, diretores regionais de vendas de uma empresa, com golpes personalizados com base em uma extensa pesquisa.
De acordo com o relatório Cost of a Data Breach de 2023 (O Custo da Violação de dados), da IBM , o phishing foi a segunda causa mais comum de violações de dados em 2022. McKinsey observa que o número de ataques spear phishing aumentou quase sete vezes após o início da pandemia. Os cibercriminosos estão aproveitando o número crescente de trabalhadores remotos, que podem ser mais suscetíveis a golpes de phishing devido à higiene de segurança frouxa e ao hábito de colaborar com colegas e chefes, principalmente por meio de aplicativos de e-mail e bate-papo.
O relatório da IBM também descobriu que, embora os ataques de phishing tivessem o maior custo médio por violação, de US$ 4,91 milhões, os custos dos ataques de spear phishing podem exceder consideravelmente até mesmo esse valor. Por exemplo, em um ataque de alto perfil, os spear phishers roubaram mais de US$ 100 milhões do Facebook e do Google, fazendo-se passarem por fornecedores legítimos e enganando funcionários para que pagassem faturas fraudulentas.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Num clássico ataque de phishing em massa, os hackers criam mensagens fraudulentas que parecem vir de empresas, organizações ou até mesmo celebridades conhecidas. Depois, eles "pulverizam e rezam", enviando essas mensagens de phishing indiscriminadamente para o maior número de pessoas possível e esperando que pelo menos algumas delas sejam enganadas e forneçam informações valiosas, como números de seguridade social, números de cartão de crédito ou senhas de contas.
Os ataques de spear phishing, por outro lado, são ataques direcionados a indivíduos específicos que têm acesso a ativos específicos.
Definição de um objetivo
A maioria dos ataques de spear phishing tem como objetivo roubar grandes somas de dinheiro das organizações, induzindo alguém a fazer um pagamento ou transferência bancária para um fornecedor ou conta bancária fraudulenta, ou induzindo-a a divulgar números de cartão de crédito, números de contas bancárias ou outros dados confidenciais ou sensíveis.
Mas as campanhas de spear phishing podem ter outros objetivos prejudiciais:
Espalhar ransomware ou outro malware, por exemplo, o agente de ameaça pode enviar um anexo de e-mail malicioso, como um arquivo do Microsoft Excel que instala malware quando aberto.
Roubo de credenciais, como nomes de usuário e senhas, que o hacker pode usar para realizar um ataque maior. Por exemplo, o hacker pode enviar ao alvo um link malicioso para uma "atualização de senha" fraudulenta de uma página da web.
Roubo de dados pessoais ou informações confidenciais, como dados pessoais de clientes ou funcionários, finanças corporativas ou segredos comerciais.
Escolha de um ou mais alvos
Em seguida, o spear phisher identifica um alvo adequado. Uma pessoa ou grupo de pessoas com acesso direto aos recursos que os hackers desejam, ou que pode fornecer esse acesso indiretamente baixando malware.
Muitas vezes, as tentativas de spear phishing têm como alvo funcionários de nível médio, baixo ou novos com privilégios elevados de acesso à rede ou ao sistema, que podem ser menos rigorosos em seguir as políticas e procedimentos da empresa. As vítimas típicas incluem gerentes financeiros autorizados a fazer pagamentos, administradores de TI com acesso à rede em nível de administrador e gerentes de RH com acesso aos dados pessoais dos funcionários. (Outros tipos de ataques de spear phishing têm como alvo exclusivamente funcionários de nível executivo; consulte "Spear phishing, whaling e BEC" abaixo.)
Pesquisa do alvo
O invasor pesquisa o alvo em busca de informações que possa usar para se passar por alguém próximo ao alvo, que é uma pessoa ou organização na qual o alvo confia ou alguém a quem o alvo é responsável.
Graças ao número de informações que as pessoas compartilham livremente nas redes sociais e em outros lugares on-line, os cibercriminosos podem encontrar essas informações sem precisar cavar muito. De acordo com um relatório da Omdia, os hackers podem criar um e-mail de phishing convincente após cerca de 100 minutos de pesquisa geral no Google. Alguns hackers conseguem invadir contas de e-mail da empresa ou aplicativos de mensagens e passar ainda mais tempo observando conversas para reunir informações mais detalhadas.
Elaboração e envio da mensagem
Usando essa pesquisa, os spear phishers podem criar mensagens de phishing direcionadas que parecem críveis, de uma fonte ou pessoa confiável.
Por exemplo, imagine que "Jack" é um gerente de contas a pagar na ABC Industries. Ao simplesmente olhar para o perfil público de Jack no LinkedIn, um invasor pode encontrar o cargo de Jack, responsabilidades, endereço de e-mail da empresa, nome do departamento, nome e cargo do chefe e nomes e cargos de parceiros de negócios. Eles então usam esses detalhes para enviar a ele um e-mail crível de seu chefe ou chefe de departamento:
Oi, Jack,
Sei que você processa as faturas da XYZ Systems. Eles acabaram de me informar que estão atualizando seu processo de pagamento e precisam que todos os pagamentos futuros sejam enviados para uma nova conta bancária. Essa é a fatura mais recente, com os detalhes da nova conta. Você pode enviar o pagamento ainda hoje?
O e-mail normalmente inclui dicas visuais que reforçam rapidamente a identidade do remetente personificado, como um endereço de e-mail falsificado, por exemplo, mostrando o nome de exibição do remetente personificado, mas ocultando o endereço de e-mail fraudulento, ccs para e-mails de colegas falsificados semelhantes ou uma assinatura de e-mail com o logotipo da empresa ABC Industries. Alguns golpistas podem invadir a conta de e-mail real do remetente personificado e enviar a mensagem a partir dela, obtendo a última palavra em autenticidade.
Outra tática é combinar e-mail com phishing por mensagem de texto, chamado de SMS phising ou smishing, ou phishing por voz, chamado de vishing. Por exemplo, em vez de anexar uma fatura, o e-mail pode instruir Jack a ligar para o departamento de contas a pagar da XYZ Systems, em um número de telefone que será atendido por um fraudador.
Os ataques de spear phishing fazem uso intenso de técnicas de engenharia social. Existem táticas que usam pressão psicológica ou motivação para enganar ou manipular as pessoas para que tomem ações que não deveriam e normalmente não tomariam.
Personificar um funcionário de alto nível da empresa, como no e-mail de spear phishing acima, é um exemplo. Os funcionários são condicionados a respeitar a autoridade e, inconscientemente, têm medo de não seguir as ordens de um executivo, mesmo que as ordens sejam fora do comum. Os ataques de spear phishing dependem de outras técnicas de engenharia social, incluindo:
Pretexto: Fabricar uma história ou situação realista que o alvo reconhece e com a qual pode se relacionar, por exemplo, "sua senha está prestes a expirar....
Criar um senso de urgência: Por exemplo, fazer-se passar por um fornecedor e alegar que o pagamento de um serviço essencial está atrasado.
Apelar para motivadores emocionais ou subconscientes: tentar desencadear medo, culpa ou ganância no alvo, referenciar uma causa ou evento com o qual o alvo se preocupa, ou mesmo apenas ser útil. Por exemplo, 'aqui está um link para um site que vende as peças de computador que você estava procurando'.
A maioria das campanhas de spear phishing combina várias táticas de engenharia social. Por exemplo, uma nota do gerente direto do alvo que diz: ' Estou prestes a embarcar em um avião e minha bateria está acabando, me ajude e apresse esta transferência bancária para a XYZ Corp. para que não tenhamos que pagar uma multa por atraso.'
Embora qualquer ataque de phishing que tenha como alvo um indivíduo ou grupo específico seja um ataque de spear phishing, existem alguns subtipos notáveis.
O whaling (às vezes chamado de whale phishing) é um spear phishing que tem como alvo as vítimas de maior perfil e de maior valor. Geralmente, são membros da diretoria ou gerentes de nível C, mas também alvos não corporativos, como celebridades e políticos. Os "caça-baleias" estão atrás de uma presa que somente esses alvos podem oferecer, que são grandes somas de dinheiro ou acesso a informações altamente valiosas ou confidenciais. Portanto, não é nenhuma surpresa que os ataques de whaling normalmente exigem uma pesquisa mais detalhada do que outros ataques de spear phishing.
O comprometimento de e-mail comercial (BEC) é um spear phishing voltado especificamente para roubar organizações. Duas formas comuns de EBC incluem:
Fraude de CEO: O golpista simula a conta de e-mail de um executivo de nível C, ou entra diretamente nela, e envia uma mensagem para um ou mais funcionários de nível inferior instruindo-os a transferir fundos para uma conta fraudulenta ou a fazer uma compra de um fornecedor fraudulento.
Comprometimento da conta de e-mail (EAC): o golpista obtém acesso à conta de e-mail de um funcionário de nível inferior. Por exemplo, um gestor de finanças, vendas ou investigação e desenvolvimento utiliza-os para enviar faturas fraudulentas a fornecedores, instruir outros funcionários a efetuar pagamentos ou depósitos fraudulentos ou solicitar acesso a dados confidenciais.
Ataques de BEC bem-sucedidos estão entre os cibercrimes mais caros. Em um dos exemplos mais conhecidos do BEC, hackers que fingiam ser um CEO convenceram o departamento financeiro da empresa a transferir 42 milhões de euros para uma conta bancária fraudulenta.
Os ataques de phishing estão entre os ciberataques mais difíceis de combater, porque nem sempre podem ser identificados pelas ferramentas tradicionais de cibersegurança (baseadas em assinaturas); muitas vezes, o invasor só precisa passar pelas defesas de segurança humana.
Ataques de spear phishing são especialmente desafiadores porque sua natureza direcionada e seu conteúdo personalizado os tornam ainda mais convincentes para as pessoas comuns. No entanto, há medidas que as organizações podem tomar para ajudar a mitigar o impacto do spear phishing, se não impedir totalmente os ataques de spear phishing:
Treinamento de conscientização de segurança. Como o spear phishing aproveita a natureza humana, o treinamento dos funcionários é uma importante linha de defesa contra esses ataques. O treinamento de conscientização de segurança pode incluir:
Ensinar aos funcionários técnicas para reconhecer e-mails suspeitos. Por exemplo, verificar nomes de remetentes de e-mail em busca de nomes de domínio fraudulentos.
Dicas sobre como evitar o compartilhamento excessivo em sites de redes sociais.
Bons hábitos de trabalho. Por exemplo, nunca abrir anexos não solicitados, confirmar pedidos de pagamento incomuns através de um segundo canal, telefonar para fornecedores para confirmar faturas, navegar diretamente para websites em vez de clicar em links dentro de e-mails.
Simulações de spear phishing nas quais os funcionários podem aplicar o que aprenderam.
Autenticação multifator e adaptativa. Implementar a autenticação de vários fatores (exigindo uma ou mais credenciais além de um nome de usuário e senha) e/ou autenticação adaptativa (exigindo mais credenciais quando os usuários fazem login em diferentes dispositivos ou locais) pode impedir que hackers obtenham acesso à conta de e-mail de um usuário, mesmo que eles possam roubar a senha de e-mail do usuário.
Software de segurança. Nenhuma ferramenta de segurança pode impedir completamente o spear phishing, mas várias ferramentas podem desempenhar um papel na prevenção de ataques de spear phishing ou na minimização dos danos que eles causam:
Algumas ferramentas de segurança de e-mail, como filtros de spam e gateways de e-mail seguros, podem ajudar a detectar e desviar e-mails de phishing.
O software antivírus pode ajudar a neutralizar infecções conhecidas por malware ou ransomware resultantes de spear phishing.
- Gateways da web seguros e outras ferramentas de filtragem da web podem bloquear os sites maliciosos vinculados a e-mails de spear phishing.
- Correções do sistema e de software podem eliminar vulnerabilidades técnicas comumente usadas por spear phishers.
As soluções de segurança corporativa podem ajudar as equipes de segurança e os centros de operações de segurança (SOCs) a detectar e interceptar tráfego malicioso e atividades de rede associadas a ataques de spear phishing.Essas soluções incluem (entre outras) orquestração, automação e resposta de segurança(SOAR), gerenciamento de incidentes de eventos de segurança (SIEM), detecção e resposta de endpoint (EDR), detecção e resposta de rede (NDR) e detecção e resposta estendidas (XDR).
Soluções relacionadas
Detecte ameaças avançadas que outras pessoas simplesmente não percebem. O QRadar SIEM usa a análise de dados e a IA para monitorar informações sobre ameaças, anomalias de comportamento da rede e dos usuários, e priorizar onde a atenção imediata e a remediação são necessárias.
O IBM Trusteer Rapport ajuda as instituições financeiras a detectar e prevenir infecções por malware e ataques de phishing, protegendo seus clientes de negócios e de varejo.
Proteja endpoints contra ciberataques, detecte comportamentos anômalos e corrija em tempo real com esta solução sofisticada, porém fácil de usar, de detecção e resposta de endpoints (EDR).
Recursos
Mantenha-se atualizado sobre notícias, tendências e técnicas de prevenção de phishing no Security Intelligence, o blog de liderança de pensamento hospedado pela IBM Security.
O ransomware é um malware que mantém os dispositivos e o refém de dados das vítimas, até que um resgate seja pago.
Esse relatório compartilha os mais recentes insights sobre o cenário de ameaças em expansão e oferece recomendações para economizar tempo e limitar as perdas.