O que é spear phishing? Exemplos, táticas e técnicas

Spear phishing é um ataque de e-mail direcionado que parece ser de um remetente confiável.

Em ataques de spear phishing, os invasores geralmente usam informações obtidas de pesquisas para deixar o destinatário à vontade. O objetivo final é infectar dispositivos com malware, convencendo o destinatário a clicar em um link ou baixar um anexo, ou induzir o destinatário a tomar alguma outra ação que beneficie o invasor, geralmente entregando informações ou dinheiro.

As mensagens de Spear phishing são muitas vezes elaboradas com cuidado usando técnicas perniciosas de engenharia social e são difíceis de se defender com meros meios técnicos.

“O que é importante notar sobre o spear phishing é que o indivíduo que sofre o spear phishing nem sempre é o alvo real”, diz J.R. Cunningham, CSO da Nuspire, um MSSP sediado em Michigan. “Em vez disso, seu ambiente corporativo é provavelmente o objetivo final do invasor”.

Phishing vs. spear phishing vs. whaling

Phishing, spear phishing e whaling são todos os tipos de ataques de e-mail, sendo o phishing uma categoria mais ampla de ataque cibernético que engloba praticamente qualquer uso de e-mail ou outras mensagens eletrônicas para enganar as pessoas, e o spear phishing e o whaling são apenas dois de um punhado de diferentes tipos de ataques de phishing.

A maioria dos ataques de phishing assume a forma de mensagens genéricas enviadas automaticamente para milhares de destinatários. Eles são escritos para serem um pouco tentadores – o anexo pode ter um nome como “relatório de salário” ou o link pode ser um site falso vencedor de loteria – mas nenhuma tentativa é feita para combinar o conteúdo da mensagem com qualquer pessoa em particular que possa estar recebendo. O nome deriva de “fishing” [“pesca”] (com o “ph” – de “phishing” – sendo parte da tradição da ortografia caprichosa dos hackers), e a analogia é de um pescador jogando um anzol com isca (o e-mail de phishing) e esperando que alguma vítima nade e morda.

Spear phishing, como o nome indica, envolve a tentativa de pegar um peixe específico. Um e-mail de spear phishing inclui informações específicas do destinatário para convencê-lo a realizar a ação que o invasor deseja que ele execute. Isso começa com o nome do destinatário e pode incluir informações sobre seu trabalho ou vida pessoal que os invasores podem obter de várias fontes.

Outra frase que você pode ouvir neste contexto é whaling, que é um tipo específico de spear phishing, especificamente aquele que persegue peixes realmente grandes. “Whaling é um tipo de spear phishing focado em figuras públicas, altos executivos ou outros grandes alvos, daí o nome pouco lisonjeiro”, diz Jacob Ansari, Advogado de Segurança e Analista de Tendências Cibernéticas Emergentes da Schellman. “Todo o spear phishing é direcionado, mas às vezes focado em alvos menos proeminentes com uma função importante: alguém em TI ou finanças que tenha uma função essencial para conceder acesso ao usuário ou aprovar faturas, por exemplo”.

Como funcionam os ataques de spear phishing

Como os invasores obtêm as informações pessoais de que precisam para criar um e-mail de spear phishing é uma técnica crítica de spear phishing, pois todo o processo do ataque depende da credibilidade das mensagens para o destinatário.

Existem várias maneiras pelas quais um invasor pode fazer isso. Um envolve comprometer um e-mail ou sistema de mensagens por outros meios – por meio de phishing comum, por exemplo, ou por meio de uma vulnerabilidade na infraestrutura de e-mail. Mas esse é apenas o primeiro passo do processo. “O e-mail de alguém dentro da organização alvo é comprometido e o invasor fica na rede por um tempo para monitorar e rastrear conversas interessantes”, explica Ori Arbel, CTO da CYREBRO, um provedor de plataforma de operações de segurança com sede em Tel Aviv. “Quando chega a hora, eles enviam um e-mail para o alvo usando um contexto crível com informações privilegiadas, como trazer conversas anteriores ou fazer referência a valores específicos para uma transferência de dinheiro anterior”.

Se eles não puderem invadir o sistema de comunicações, um invasor também poderá recorrer à inteligência de código aberto (OSINT), vasculhando mídias sociais ou comunicações corporativas para formar uma imagem de seu alvo. Jorge Rey, Diretor de Segurança Cibernética e Conformidade da Kaufman Rossin, uma empresa de consultoria com sede em Nova York, explica um vetor de ataque comum que ele viu. “Quando as pessoas fazem uma alteração no LinkedIn e identificam que se conectaram à Kaufman Rossin, em questão de horas ou até minutos, elas recebem um e-mail do nosso CEO – não de seu e-mail de Kaufman Rossin, mas algo em gmail.com – pedindo-lhes para comprar cartões-presente e coisas assim”. Claro, este e-mail não vem do CEO, mas sim de um invasor que espera pegar um novo funcionário desprevenido. “Todos esses bots estão monitorando o LinkedIn, monitorando tudo por meio de scripts e enviando informações esperando que alguém caia nessa”, explica ele.

Se os invasores conseguirem obter informações pessoais de sua presença on-line, eles também tentarão usar isso a seu favor. Cunningham, da Nuspire, dá um exemplo de cliente experiente em segurança que, no entanto, quase foi enganado por spear phishing. “Eles receberam um e-mail supostamente de sua seguradora informando que tinham uma atualização sobre sua reivindicação de seguro automóvel e clicaram no link, apenas para perceber imediatamente que era um ataque de phishing”, diz ele. “Acontece que esse indivíduo sofreu recentemente um acidente de carro e publicou fotos do naufrágio nas mídias sociais, juntamente com um comentário de que seu provedor de seguros (a quem eles nomearam) foi muito rápido em responder à reclamação. Isso deu as informações do invasor sobre o provedor de seguros da vítima, que foi usado para criar o spear phish”.

Sinais de spear phishing

Os golpistas se concentram em novos funcionários porque eles ainda precisam encontrar o caminho para um novo ambiente corporativo. Provavelmente, o principal sinal de um e-mail de spear phishing (supondo que o invasor tenha todas as suas informações pessoais corretas) é que ele solicitará que você faça algo incomum ou fora dos canais corporativos. Afinal, essa é a única maneira de separar você do seu dinheiro (ou da sua empresa). Os novos funcionários podem ter dificuldade em perceber que as solicitações são fora do comum, mas, na medida em que você puder, deve ouvir seu instinto.

“Um e-mail foi enviado para várias pessoas em uma empresa, para a qual eu trabalhava, de um remetente desconhecido que estava imitando o CEO”, diz Wojciech Syrkiewicz-Trepiak, Engenheiro de Segurança da spacelift.io, uma plataforma de gerenciamento de infraestrutura como código baseada em Redwood City, Califórnia. “Eles passaram por todos os mecanismos de segurança, pois usaram um endereço de e-mail real. No entanto, o domínio do endereço de e-mail era o Gmail (não o domínio da empresa), e eles estavam nos pedindo para realizar tarefas com urgência, ou seja, ignorar toda e qualquer política da empresa e pressionar o destinatário a cometer um erro”.

A urgência aqui é outra bandeira vermelha. Sim, em um ambiente profissional, muitas vezes recebemos solicitações legítimas para agir rapidamente; mas quando alguém tenta te fazer correr, é sinal de que não está te dando a chance de parar e pensar. “Minha experiência pessoal vem com a campanha de spear phishing de cartões-presente fraudulentos”, diz Massimo Marini, Analista Sênior de Segurança e Conformidade da consultoria Kuma LLC, com sede na Virgínia. “Esse golpe exige que o alvo compre cartões-presente sob a suposta direção de seu supervisor. O alvo compra os cartões-presente e, em seguida, por e-mail de acompanhamento, fornece o código ao invasor. Já vi isso acontecer com um executivo assistente que se sentiu apressado por seu ‘chefe’ para comprar rapidamente os cartões para um presente secreto. Esse evento foi interrompido no último minuto quando ela falou com seu chefe real, que, é claro, não sabia nada sobre isso”.

Exemplos de Spear Phishing

Se você está curioso para saber como podem ser os e-mails de spear phishing, temos alguns exemplos do mundo real para você. A primeira vem de William Mendez, Diretor Administrativo de Operações da consultoria CyZen, com sede em Nova York. “Este é um e-mail direcionado a uma empresa de contabilidade”, diz ele. “Os invasores estão se referindo a uma tecnologia ‘CCH’, que é comumente usada por essas empresas”.

“Este e-mail é cronometrado durante a temporada de impostos (geralmente a época mais movimentada do ano para as empresas de contabilidade), o que implica que os usuários estão ocupados e não prestam atenção aos e-mails recebidos”, explica ele. “O e-mail também usa o medo ao afirmar que o acesso da vítima será encerrado a menos que ela tome algum tipo de ação. Nesse caso, a ação é clicar em um link, que provavelmente direcionará o usuário para um site onde o invasor poderá coletar nomes de usuário e senhas ou outras informações confidenciais”.

Tyler Moffitt, Analista de Segurança Sênior da consultoria OpenText Security Solutions, com sede em Ontário, apresenta outro exemplo, que se parece com um alerta de segurança do Twitter.

Esta mensagem tenta puxar o movimento clássico de fazer você pensar que está protegendo sua conta e enganá-lo a desistir de sua senha no processo. “O indivíduo aqui, que é jornalista, foi especificamente visado, provavelmente por sua cobertura sobre os acontecimentos na Ucrânia/Rússia”, explica Moffitt. (A localização do suposto login aumenta a verossimilhança.) “A mensagem informa ao usuário que sua conta foi acessada na Rússia e ele deve redefinir sua senha usando o link. Esse link leva a uma redefinição de senha falsa, onde o atacante apenas coletará credenciais atuais e, em seguida, roubará a conta”.

Ao receber uma mensagem como essa, você deve ter muito cuidado para garantir que a página da Web em que você está seja o domínio real para onde você pensa que está indo. Nesse caso, você notará que ele está tentando enviar a vítima para “twitter-supported.com”, que não é um domínio real que o Twitter usa.

Como prevenir o spear phishing

Seria ótimo se houvesse medidas técnicas que você pudesse tomar para parar completamente os ataques de spear phishing. Existem alguns que podem ajudar. “Quando se trata de segurança cibernética, o mesmo princípio de proteger sua carteira física se aplica à sua atividade on-line”, diz Nick Santora, fundador do provedor de treinamento de segurança Curricula, com sede em Atlanta, Geórgia. “Você não quer se tornar uma vítima e por isso temos que explicar a todos por que é importante fazer coisas como ativar a autenticação de dois fatores ou multifator (2FA/MFA), usar senhas fortes que são exclusivas para cada conta, e utilizar um cofre de proteção por senha para conter credenciais on-line”.

Rey, da Kaufman Rossin, também acha que as soluções técnicas são importantes – ele pede que você acrescente soluções de segurança de e-mail, complementando o que vier do seu provedor de e-mail com uma solução de terceiros para ajudar a filtrar spam e anexos prejudiciais. Mas a melhor defesa contra ataques de engenharia social, como spear phishing, é a inteligência humana, e isso requer treinamento que mantenha os usuários alertas.

“Uma simulação de phishing faz uma grande diferença”, diz ele. “Uma coisa é ir a um PowerPoint e mostrar um e-mail de phishing. Outra coisa é receber algo no e-mail, você clicar nele e ser enviado para o treinamento. Vimos que as pessoas ficam melhores no reconhecimento de ataques, porque as pessoas odeiam a sensação de clicar em um link e receber uma mensagem que diz: ‘Você foi alvo de phishing’. É muito mais poderoso do que um treinamento anual de conformidade”. Como esperamos que este artigo tenha deixado claro, é melhor ficar envergonhado como parte de uma simulação não anunciada do que ser vítima da coisa real.

No final, a melhor maneira de evitar o spear phishing é apenas manter sua mente suspeita ocupada. “Os golpes de phishing geralmente vêm de contatos confiáveis cujas contas de e-mail foram comprometidas ou clonadas”, diz Eric Florence, Analista de Segurança Cibernética. “Nosso desejo de confiar nas pessoas, de acreditar que a maioria das pessoas é decente, é o que se aproveita em cada ataque de phishing, e esse desejo deve ser suspenso, pelo menos durante o horário comercial”.