A história de quase todos os grandes incidentes de segurança nos últimos anos se inicia basicamente da mesma forma: em algum momento, uma pessoa foi vítima de um spear phishing… Seja uma empresa governamental ou uma grande enterprise, o spear phishing é uma ameaça gravíssima, com perdas que passam da casa dos 675 milhões de dólares só nos Estados Unidos.

Os ataques de spear phishing que iniciam os incidentes de segurança possuem diversas formas. Algumas vezes a raiz do incidente é um link malicioso dentro do email enviado pelo hacker. Em outras ocasiões, a vítima pode fazer alguma transferência eletrônica ou divulgar dados confidenciais para o hacker, pensando que o atacante é algum colega ou parceiro de negócios.

O spear phishing é um dos modelos mais bem sucedidos de ciberataques. É uma forma confiável que os criminosos possuem para acessar ativos digitais protegidos. Uma contra medida envolve aumentar a consciência dos funcionários para esses ataques por meio de treinamentos. Essa é uma boa ideia, contudo muitas vezes esses programas focam apenas nos executivos mais sênior. Na realidade, existem outros alvos comuns de spear phishing dentro das empresas. Para tornar o treinamento anti-spear phishing o mais eficiente possível, é bom explorar quem são os alvos preferenciais e adaptar os controles de segurança para estarem a par do nível de risco.

 

Spear Phishing: uma breve recapitulação

O Spear Phishing é uma forma de phishing altamente personalizada e direcionada. Ao passo em que um ataque de phishing é genérico no escopo e sem diferenciação (lembre dos golpes clássicos “você esqueceu de pagar o boleto” por exemplo) visando atingir o maior número de pessoas possível, o spear phishing é todo construído com apenas um alvo em mente. O atacante sabe o nome, onde trabalha, o que ela faz, quais os interesses e hobbies, de forma que elas podem se passar por um conhecido ou colega de trabalho.

Por exemplo, um spear phishing pode pesquisar as redes sociais e outras fontes de informação a respeito de um alvo, de forma a determinar o papel dele dentro da empresa e as relações pessoais com os colegas de trabalho. O criminoso também pode aprender as responsabilidades de cada um desses colegas de trabalho. Munido dessas informações, o spear phishing pode ser enviado na forma de um email que requisita uma transferência fraudulenta, ou pedindo para contar uma informação que seja considerada sigilosa.

Normalmente, pessoas com bom-senso não vão prosseguir e cair no golpe, mas os atacantes inserem informações falsas que conferem um senso de urgência ao email. eles podem mandar a mensagem no final de semana, fingindo não estarem perto do pc corporativo e outras técnicas similares. Eles podem também fingir ser um diretor sênior, usando a estrutura de comando da empresa para pressionar o alvo a revelar alguma informação sensível que ele não deveria divulgar.

 

O atacante também pode usar técnicas de spoofing, levando o alvo a acreditar que a mensagem realmente foi originada de dentro da empresa. Em alguns casos, esse tipo de ataque pode usar links parecidos, mas com ortografia diferente, ou uma letra a mais, para confundir o alvo.

 

Grupo de Alvos: pessoas com acesso a dados valiosos

Pessoas com privilégio de acesso a dados valiosos são naturalmente os alvos preferenciais dos ataques de spear phishing. Esse grupo inclui executivos senior, assim como seus assistentes, já que eles podem acabar gerenciando os emails do executivo, assim como seu calendário, tornando-se assim alvos tão valiosos quanto o próprio executivo.

É interessante notar que os spear phishing costumam ser realizados em ataques sequenciais. Por exemplo, o atacante pode fingir ser o CEO e pedir a sua assistente “Lembra daquele meu login de email? Sempre me esqueço…” Então, eles usam o email verdadeiro do CEO e enganam algum membro da TI a revelar uma informação de acesso privilegiado à rede.

Membros de finança e área jurídica também são alvos ideais para esse tipo de ataque. Alguns spear phishing buscam até descobrir segredos de negócio como futuras aquisições ou fusões. COm essas informações eles podem ter ganhos no mercado financeiro. Eles também pode ter interesse em roubar designs de produtos, planos estratégicos e outras informações do tipo.

Se passar por executivos de finanças ou jurídico é uma boa forma de enganar os funcionários a enviar remessas de dinheiro para contas de laranjas. Por exemplo, se um hacker sabe que um determinado negócio está em trâmite no departamento jurídico, ele pode se passar pelo CEO e requisitar uma transferência confidencial para “completar o negócio”. O alvo provavelmente vai assumir que a requisição é legítima.

 

Grupo de Alvos: Comportamento de Risco e Perfil não-técnico

Em alguns casos, são os funcionários não-executivos em maior risco de serem alvos de spear phishing. Uma pessoa que não está familiarizada com as políticas de cibersegurança é um candidato forte a cair no golpe. Mas como o atacante sabe quem são essas pessoas? Uma forma é minerar essa informação em vazamentos de dados anteriores, como já ocorreu com o Facebook por exemplo. O atacante então usa essa informação para identificar os alvos e se passar por colegas de trabalho. Alternativamente, o criminoso pode simplesmente buscar nas redes sociais, muitas pessoas acabam compartilhando diversas informações de forma pública.

Políticas de BYOD também acabam criando oportunidades de spear phishing para os criminosos. Se ele sabe que a empresa possui uma política de BYOD, ele pode utilizar algo como “estou pelo meu telefone e não consigo logar” para conseguir credenciais de acesso de outras pessoas. Uma falta de políticas claras só auxilia o lado dos atacantes. Uma empresa com controles frouxos sobre transferências bancárias, por exemplo, está exposta a ser vítima de spear phishing, onde o atacante se passa por executivo requisitando uma transferência de urgência.

 

Grupos Alvo: Pessoas Externas e Entidades

Pessoas que não são funcionários também estão suscetíveis a se tornarem alvos de spear phishing. Por não estarem dentro da proteção, a verdade é que funcionários de parceiros, terceirizados e serviços pontuais são mais vulneráveis ainda a serem enganados a ponto de revelarem informações sigilosas. Um terceirizado de infraestrutura de Ti, por exemplo, pode fornecer a um criminoso uma série de credenciais de login, tornando-se um alvo valioso para o golpe.

O spear phishing é de fato uma ameaça séria. Diversos incidentes devastadores mostram que essa ameaça é eficiente na invasão de um sistema corporativo. Políticas e soluções anti-phishing devem estar bem afiadas para as nuances oferecidas por esse tipo de ataque. Contudo, nem todos os funcionários possuem o mesmo nível de vulnerabilidade. Por isso é uma boa prática determinar a suscetibilidade de cada nível de funcionário e ajustar as contramedidas de acordo.

Além disso, em adição ao treinamento dos usuários, as empresas devem aumentar as capacidades de proteção de email e filtragem, de forma a implementar também um scanning de emails internos. A razão para isso é que os hackers estão investindo na conquista de credenciais de Office 365 (seja por phishing ou comprando na dark web) de forma que podem mandar spear phishing por meio de contas totalmente legítimas. Nesses cenários, é virtualmente impossível que o alvo detecte a fraude, não importa o quão vigilante ou atento esteja.