O spear phishing é um ataque de phishing, mas direcionado. Isto é, enquanto que um ataque de phishing visa, de forma geral, roubar dados pessoais (logins, passwords, informações bancárias, entre outras informações), independentemente de quem é afetado, o spear phishing é um ataque focado numa pessoa, grupo ou organização específica.
É executado após um processo de pesquisa sobre o alvo em questão e pretende fazer com que esse mesmo alvo empreenda uma ação contra seus próprios interesses (como clicar num link, fazer o download de um ficheiro malicioso ou até realizar transferências bancárias).
Por norma, neste tipo de ataque, o hacker faz-se passar por uma fonte de confiança do alvo – através de um endereço de e-mail conhecido ou por uma página online com a qual a vítima tem por hábito interagir.
Spear phishing: como funciona?
Num ataque de phishing comum pode receber um e-mail ou uma mensagem com a seguinte indicação: “é o utilizador número X do nosso serviço, clique aqui e insira seus dados para obter seu prémio” – uma mensagem genérica, que, normalmente, é enviada a um sem número de pessoas.
Já no spear phishing, por ser um ataque direcionado e que envolve uma investigação profunda sobre o alvo, o texto do e-mail ou da mensagem costuma dirigir-se à vítima por nome e/ou cargo, sendo que o assunto é sempre algo do interesse desta. Ou seja, é muito mais difícil para o alvo detetar a fraude.
Ataques como estes visam roubar informações pessoais (como dados bancários, passwords ou cartões de crédito) ou mesmo dados sensíveis de uma empresa, nomeadamente informações sobre clientes.
Quando um ataque de spear phishing é bem sucedido e os dados são efetivamente roubados, estas mesmas informações podem ser utilizadas para manipular preços de ações, efetuar transferências bancárias, assumir identidades, revelar segredos empresariais, espiar a concorrência, entre muitas outras ações criminosas.
Qual é o perfil habitual dos alvos?
Os alvos mais comuns de spear phishing são os funcionários ou equipas com níveis de acesso elevados a informação empresarial confidencial. Departamentos de Recursos Humanos, Relações Públicas e Vendas ou Tesouraria são alguns dos exemplos de grupos mais apetecíveis para os cibercriminosos.
Como evitar este tipo de ameaça?
Um dos principais procedimentos de segurança em relação a ataques de spear phishing é, sem dúvida alguma, a educação e sensibilização dos funcionários para este tipo de ameaça. Além disso, é necessário adotar algumas das boas práticas de cibersegurança, nomeadamente:
1. Instalar antivírus e outros programas que identifiquem malware nos computadores e dispositivos;
2. Instalar uma boa firewall;
3. Não ter a mesma password para serviços diferentes e incluir nas passwords símbolos alfanuméricos e sinais de pontuação. Além disso, é aconselhável desativar o preenchimento automático para utilizadores e senhas;
4. Estabelecer permissões para restringir acessos ao sistema;
5. Proteger redes Wi-Fi;
6. Investir numa Virtual Private Network (VPN). Este software cria uma conexão segura e privada na Internet para poder conectar-se a partir de qualquer lugar;
7. Reforçar cuidados com ataques de phishing, de pharming e e-mails de spam. Por exemplo, desconfie de e-mails com as extensões .co, .exe, .scr, .pif, .cmd, cpl, .bat, .vir e .zip – mesmo que tenham sido enviados por pessoas que conhece ou que sejam da sua confiança;
8. Reforçar a proteção de dados existentes na cloud. Mantenha sempre os dados encriptados, de forma a que possam ser vistos apenas por quem possui acesso à cloud;
9. Fazer com alguma regularidade backups dos dados da cloud;
10. Encriptar dados;
11. Analisar a necessidade de contratar um Chief Security Officer (CISO);
12. Contratar um seguro contra os ciberataques. Este tipo de seguro pode incluir cobertura para alguns dos seguintes incidentes:
- Intrusão de terceiros nos sistemas informáticos;
- Incumprimento do dever de custódia de dados de caráter pessoal;
- Responsabilidades informáticas do segurado;
- Violação do direito à honra e intimidade pessoal de terceiro;
- Perda de lucros pela interrupção da atividade do segurado (cobertura opcional).
Recorde-se que, na era da transformação digital, os ciber-riscos são mais frequentes e bastante sofisticados. A questão já não passa por saber se vai ser alvo de um ciberataque, mas sim, quando será. E os efeitos de um ataque podem ser verdadeiramente devastadores para qualquer empresa.