POST02_BLOG01-BLOG

Crescente ameaça de ataques spear phishing: Técnicas combinadas de Phishing e Engenharia Social

Quando a internet surgiu ninguém saberia dizer o quanto progrediríamos em número de ameaças virtuais. Mas, era de se esperar que num mundo de conectividade generalizada com atividades online 24 horas, surgissem indivíduos  de toda parte motivados a tirar proveito do potencial da nova tecnologia.

Enquanto empresas e pessoas físicas fazem uso da internet para mudar a maneira como trabalham, os cibercriminosos fazem uso da mesma para reinventar seu modus operandi, ficando mais perigosos.

Os ataques de Phishing continuam sendo o método preferido de ataque entre os criminosos da web, porque é mais fácil persuadir um usuário com uma mensagem e explorar a vulnerabilidade humana do que contar com protocolos e fatores técnicos de segurança frágeis.

“As pessoas estão interagindo com sua última postagem no Facebook! Clique aqui para ver.”

O golpe está aí, cai quem quer! Já dizia o meme fenômeno de “viralização” nas redes sociais. Todos nós em algum momento já recebemos e-mails suspeitos com links chamativos nos convidando a clicar imediatamente, fazer o download de um arquivo ou preencher algum formulário. No exemplo acima, se o destinatário não é adepto do Facebook ou não possui postagens recentes vai desconfiar que existe algo de errado com a mensagem.

Os ataques de phishing em massa costumam ser facilmente detectáveis porque as mensagens não se direcionam a alguém em particular e o conteúdo da mensagem além de ser generalizado, nem sempre será relevante para o destinatário. Por consequência, os criminosos desenvolveram uma versão mais robusta do ataque: os phishings direcionados.

 Essa variante, conhecida pela comunidade de cibersegurança como spear phishing, têm se tornado o ataque mais comum e devastador especialmente para as empresas. Consiste numa combinação entre técnicas de golpes de phishing e engenharia social focados num indivíduo ou organização específicos.

A primeira coisa que somos orientados a fazer para identificar um golpe de phishing é atentar-se ao remetente. E é por essa razão que a engenharia social torna o spear phishing uma ameaça muito mais refinada e complexa. A técnica para enganar o usuário desavisado vai muito além do “lança a isca, senta e espera” que acontece com a técnica de phishing de e-mail em massa. No primeiro caso, o criminoso estudou sobre a vítima. A isca é preparada cuidadosamente com mensagens que parecem familiares e remetentes críveis já que houve uma análise prévia das informações sobre o alvo.

Você já ouviu falar em Business E-mail Compromise (BEC) ou fraude do CEO?  Essa é a submodalidade queridinha em ataques de spear phishing. O alvo em foco é o meio corporativo. Os cibercriminosos se passam por executivos de uma determinada organização para enganar especialmente as pessoas responsáveis pelo financeiro da empresa através de e-mails ou outros canais de comunicação, como SMS, mensageiros instantâneos e telefone clonados ou ainda contas de redes sociais hackeadas. O objetivo é o mais óbvio: persuadir a vítima a fazer transferências bancárias ou conseguir informações fiscais que possam ser revertidas em golpes ainda mais elaborados.

O golpe costuma ser bem sucedido porque os fraudadores possuem um conhecimento preliminar sobre a estrutura interna da empresa, sobre a equipe e processos da organização. E engana-se quem pensa que essas informações são conseguidas a partir de métodos sofisticados de engenharia social. Com um perfil falso e uma busca rápida no LinkedIn pode-se obter  informações importantes sobre indivíduos e organizações: funções que desempenham, conexões, contatos diretos e mais frequentes, hobbies, interesses, softwares que são utilizados na empresa e etc.. 

Assim como acontece com o phishing por e-mail, a melhor dica de prevenção para usuários físicos ou corporativos é:  pense antes de agir. Mensagens com aparência legítima instruindo sobre transferências financeiras, pedindo informações de login, informações contábeis ou outras informações confidenciais merecem sempre serem analisadas com o máximo de perícia. Seja ainda mais cauteloso se a mensagem tiver um apelo para ação imediata.

Outras práticas para não dar margem a aplicação de golpes de phishing e variantes incluem:

  • Revise suas configurações de privacidade e segurança nas redes sociais. Tome cuidado com as pessoas com as quais você se conecta e com as informações compartilhadas como públicas;

  • Configure a autenticação em dois fatores das suas redes sociais e mantenha-as ativadas;

  • Invista numa arquitetura de segurança de e-mail com antiphishing, antispam, antimalware. E lembre-se que e-mail é apenas um dos vetores de ataque, os fraudadores podem e vão usar outros tipos de iscas. Esteja alerta!

A sabedoria popular nos ensina que o peixe morre pela boca. No mundo digital, onde nada-se em águas escuras, essa máxima também é verdadeira. Um funcionário desavisado pode engolir um anzol que o lançaram, comprar a história aparentemente verossímil de um vigarista e abrir as portas para violações de dados que podem trazer impactos significativos que vão de danos financeiros e a imagem da marca até o encerramento definitivo das atividades.

É aquele clichê que não cansamos de repetir:  combinar as melhores tecnologias de segurança, conscientização de colaboradores, políticas internas cuidadosamente pensadas, cautela e canja de galinha nunca fizeram mal a ninguém.

Referências:  

https://www.ic3.gov/Media/PDF/AnnualReport/2019_IC3Report.pdf

https://www.kaspersky.com/resource-center/definitions/spear-phishing

https://www.phishingbox.com/news/phishing-news/internet-security-threat-report-irst-2019

Compartilhar este Post

Logotipo Tecnews.net

Tecnews.NET

A Tecnews possui infraestrutura para suportar as mais variadas situações adversas sem que a prestação do serviço seja impactada, gerando confiança e disponibilidade para seus clientes

Categorias

Gerenciamento Antivírus

Preencha os campos abaixo. Em breve entraremos em contato.

Plano TecMail Zimbra

Preencha os campos abaixo. Em breve entraremos em contato.