As notícias estão cheias de relatos de “ataques de spear-phishing” usados contra governos, grandes corporações e ativistas políticos. Os ataques de spear-phishing são agora a forma mais comum de comprometimento de redes corporativas, de acordo com muitos relatórios.
Spear-phishing é uma forma mais recente e perigosa de phishing. Em vez de lançar uma ampla rede na esperança de pegar alguma coisa, o spear-phisher realiza um ataque cuidadoso e o aponta para pessoas individuais ou um departamento específico.
Índice
Phishing Explicado
Phishing é a prática de se passar por alguém de confiança para tentar obter suas informações. Por exemplo, um phisher pode enviar e-mails de spam fingindo ser do Bank of America pedindo que você clique em um link, visite um site falso do Bank of America (um site de phishing) e insira seus dados bancários.
Phishing não se limita apenas a e-mail, entretanto. Um phisher poderia registrar um nome de bate-papo como “Skype Support” no Skype e contatá-lo por meio de mensagens do Skype, dizendo que sua conta foi comprometida e que eles precisam de sua senha ou número de cartão de crédito para verificar sua identidade. Isso também é feito em jogos online, em que golpistas se fazem passar por administradores de jogo e enviam mensagens pedindo sua senha, que eles usariam para roubar sua conta. Phishing também pode acontecer por telefone. No passado, você pode ter recebido chamadas telefônicas alegando ser da Microsoft e dizendo que você tem um vírus que deve pagar para removê-lo.
Os phishers geralmente lançam uma rede muito ampla. Um e-mail de phishing do Bank of America pode ser enviado a milhões de pessoas, até mesmo pessoas que não têm contas no Bank of America. Por causa disso, o phishing costuma ser bastante fácil de detectar. Se você não tiver um relacionamento com o Bank of America e receber um e-mail alegando ser dele, deve ficar bem claro que o e-mail é uma farsa. Os phishers dependem do fato de que, se entrarem em contato com um número suficiente de pessoas, alguém acabará caindo no golpe. Este é o mesmo motivo pelo qual ainda temos e-mails de spam – alguém deve estar se apaixonando por eles ou não seria lucrativo.
Dê uma olhada na anatomia de um e – mail de phishing para obter mais informações.
Como o spear phishing é diferente
Se o phishing tradicional é o ato de lançar uma rede ampla na esperança de pegar algo, o spear phishing é o ato de mirar cuidadosamente um indivíduo ou organização específica e direcionar o ataque para eles pessoalmente.
Embora a maioria dos e-mails de phishing não sejam muito específicos, um ataque de spear-phishing usa informações pessoais para fazer o golpe parecer real. Por exemplo, em vez de ler “Prezado senhor, para clicar neste link para riquezas e riquezas fabulosas”, o e-mail pode dizer “Olá, Bob, leia este plano de negócios que elaboramos na reunião de terça-feira e diga-nos o que você pensa”. O e-mail pode parecer vir de alguém que você conhece (possivelmente com um endereço de e-mail forjado , mas possivelmente com um endereço de e-mail real depois que a pessoa foi comprometida em um ataque de phishing) em vez de alguém que você não conhece. O pedido é elaborado com mais cuidado e parece que pode ser legítimo. O e-mail pode se referir a alguém que você conhece, uma compra que você fez ou outra informação pessoal.
Ataques de spear phishing em alvos de alto valor podem ser combinados com um exploit de dia zero para dano máximo. Por exemplo, um golpista pode enviar um e-mail para um indivíduo em uma determinada empresa dizendo “Olá, Bob, você poderia dar uma olhada neste relatório de negócios? Jane disse que você nos daria algum feedback. ” com um endereço de e-mail de aparência legítima. O link pode levar a uma página da web com conteúdo Java ou Flash embutido que aproveita o dia zero para comprometer o computador. ( Java é particularmente perigoso , pois a maioria das pessoas tem plug-ins Java desatualizados e vulneráveis instalados.) Depois que o computador é comprometido, o invasor pode acessar sua rede corporativa ou usar seu endereço de e-mail para lançar ataques de spear-phishing direcionados contra outros indivíduos no organização.
Um scammer também pode anexar um arquivo perigoso que está disfarçado para olhar como um arquivo inofensivo . Por exemplo, um e-mail de spear-phishing pode ter um arquivo PDF que, na verdade, é um arquivo .exe anexado.
Quem realmente precisa se preocupar
Ataques de spear-phishing estão sendo usados contra grandes corporações e governos para acessar suas redes internas. Não sabemos sobre todas as corporações ou governos que foram comprometidos por ataques de spear phishing bem-sucedidos. As organizações geralmente não divulgam o tipo exato de ataque que as comprometeu. Eles nem mesmo gostam de admitir que foram hackeados.
Uma rápida pesquisa revela que organizações como a Casa Branca, Facebook, Apple, o Departamento de Defesa dos Estados Unidos, The New York Times, o Wall Street Journal e o Twitter provavelmente foram comprometidas por ataques de spear-phishing. Essas são apenas algumas das organizações que sabemos que foram comprometidas – a extensão do problema é provavelmente muito maior.
Se um invasor realmente deseja comprometer um alvo de alto valor, um ataque de spear-phishing – talvez combinado com um novo exploit de dia zero adquirido no mercado negro – costuma ser uma maneira muito eficaz de fazer isso. Os ataques de spear-phishing são frequentemente mencionados como a causa quando um alvo de alto valor é violado.
Protegendo-se contra Spear Phishing
Como indivíduo, é menos provável que você seja o alvo de um ataque tão sofisticado do que governos e grandes corporações. No entanto, os invasores ainda podem tentar usar táticas de spear-phishing contra você, incorporando informações pessoais em e-mails de phishing. É importante perceber que os ataques de phishing estão se tornando mais sofisticados.
Quando se trata de phishing, você deve estar atento. Mantenha seu software atualizado para que você esteja melhor protegido contra comprometimentos se clicar em links em e-mails. Seja extremamente cauteloso ao abrir arquivos anexados a e-mails. Cuidado com solicitações incomuns de informações pessoais, mesmo aquelas que parecem legítimas. Não reutilize senhas em sites diferentes, apenas no caso de sua senha vazar.
Os ataques de phishing geralmente tentam fazer coisas que empresas legítimas nunca fariam. Seu banco nunca lhe enviará um e-mail pedindo sua senha, uma empresa da qual você comprou produtos nunca lhe enviará um e-mail pedindo o número do seu cartão de crédito e você nunca receberá uma mensagem instantânea de uma organização legítima solicitando sua senha ou outras informações confidenciais. Não clique em links em e-mails e forneça informações pessoais confidenciais, não importa o quão convincente seja o e-mail ou site de phishing.
Como todas as formas de phishing, o spear-phishing é uma forma de ataque de engenharia social que é particularmente difícil de se defender. Basta uma pessoa cometer um erro e os invasores estabelecerão um ponto de apoio em sua rede.
Crédito da imagem: Florida Fish and Wildlife no Flickr
