O aumento vertiginoso nas ocorrências (e na lucratividade) dos crimes virtuais está fazendo com que grupos criminosos atuem cada vez mais e com maior precisão em seus ataques.
Existem diversas formas de realizar ataques contra empresas, sendo um dos mais comuns o phishing. Se você ainda não sabe o que é phishing, vamos à um rápido resumo (você também pode ler sobre este assunto aqui).
O phishing é uma tática de cibercrime que consiste em encaminhar e-mails e mensagens com conteúdos maliciosos no intuito de atrair a atenção do destinatário e fazer com que ele acesse à mensagem. Uma vez que o acesso é feito, há a possibilidade de roubo de dados, invasão do sistema e infecção com vírus.
Um relatório emitido pela Verizon em 2016 apontou que 30% dos usuários pesquisados já abriram e-mails de phishing enquanto 12% abriram até os anexos dessas mensagens (o que aumenta as chances de sucesso dos criminosos, já que os anexos costumam ser arquivos executáveis ou cavalos de tróia).
Junto com essa estatística há outra bem preocupante. Segundo relatório emitido pela Gartner, 95% dos ataques virtuais tem início com táticas de phishing.
Continue lendo para saber mais informações sobre o que é o spear phishing e como se precaver desse tipo de ataque.
Entendendo a lógica do spear phishing
Em termos de modus operandi, o spear phishing funciona como um ataque de phishing convencional, ou seja, trata-se de uma mensagem/e-mail enviado para um destinatário, na tentativa de atrair sua atenção e fazer com que ele abra a mensagem e os anexos.
A diferença reside no remetente. Enquanto alguns e-mails de phishing são encaminhados por destinatários desconhecidos e enviados para milhões de pessoas, o spear phishing é segmentando e construído com o objetivo de impactar uma pessoa, um grupo ou uma empresa específica.
Saem de cenas os e-mails genéricos e entram nomes verdadeiros, remetentes que parecem muito reais e mensagens que chegam a copiar a estética e o estilo adotado pelo remetente.
Não há dúvidas aqui: os criminosos fizeram seu dever de casa, estudaram a fundo a(s) vítima(s) e lançam um ataque refinado, com menos chances de desconfiança. Os ataques se baseiam muito em engenharia social, ou seja, contam com a interação das pessoas para obter sucesso, e, de fato, conseguem cumprir seus objetivos em muitas oportunidades.
Diante de remetentes confiáveis, as pessoas ficam mais inclinadas a ceder informações como logins, senhas, documentos e relatórios, e isso torna a tática ainda mais perigosa.
Dicas para identificar o spear phishing
Antes de enumerarmos as dicas, vale ressaltar que o spear phishing se baseia fortemente na engenharia social, e não há antivírus ou firewall que consiga impedir um ser humano de clicar voluntariamente em um conteúdo malicioso. Diante dessa situação, a primeira dica é:
Conscientização sobre os perigos
Nem todos os colaboradores de uma equipe possuem o hábito de se informar e atualizar seus conhecimentos sobre ameaças virtuais, ainda mais se esse assunto não faz parte da rotina deles (e aqui entram colaboradores de setores muito visados, como o financeiro).
Cabe à empresa e seus gestores analisarem a necessidade de conscientizar as equipes e produzir materiais ou eventos educativos com o intuito de aprimorar os conhecimentos e ampliar a noção sobre os ataques virtuais.
Senhas demandam alta cautela
Senhas e logins sempre serão pontos críticos para a segurança. Uma vez na posse dessas informações, os infratores podem cometer diversas irregularidades e prejudicar uma empresa em diversas plataformas, como sistemas de gerenciamento, CRMs, perfis de redes sociais, etc.
Em relação às senhas, segue-se a mesma lógica do phishing comum:
- Não utilizar senhas fáceis;
- Alterar a senhas de tempos em tempos;
- Não conceder informações de login;
- Utilizar softwares de gerenciamento e criação de senhas;
- Não usar a mesma senha para mais de um aplicativo, site, etc.
O gerenciador de senhas é ainda mais eficaz quando se precisa gerenciar passwords de maneira segura, portanto, não deixe de apostar em soluções como essa para fortificar ainda mais a segurança da informação.
Mantenha processos de comunicação bem desenhados
Empresas que possuem uma hierarquia bem definida e processos de comunicação claros (e que sejam de conhecimento de todos) tem maiores chances de não cair em golpes mais simples.
Se todo o time de atendimento sabe que o presidente da companhia nunca vai mandar um e-mail para eles requerendo acesso à uma plataforma, a probabilidade de eles não caírem em uma armadilha como essa é muito maior.
Quando os colaboradores sabem como funciona a comunicação interna, as chances de serem alvos de spear phishing diminuem, já que eles não serão eficazes quando houver uma tentativa de simular uma comunicação interna.
Fique atento aos detalhes
Não se apegue ao layout do e-mail. Mesmo que exista uma arte inserida nas mensagens ou algo desse tipo, saiba que replicar esse material é muito simples, portanto, a atenção deve ficar nos detalhes.
Analise a linguagem adotada, os termos utilizados (exemplo: algumas empresas não utilizam a palavra funcionários, apenas colaboradores, logo, se ela estiver presente na mensagem, já se torna um ponto de desconfiança) e a forma de se comunicar.
Em alguns casos, pequenos erros de português ou na grafia de nomes podem atestar que a mensagem não veio de um remetente confiável. Analise também outros fatores, como e-mail do remetente, assinatura utilizada e data e hora do envio, tudo isso pode lhe auxiliar a identificar um golpe.
Cuidado com as redes sociais
O spear phishing exige estudos, sendo assim, você pode estar sendo observado, não no trabalho, mas no ambiente virtual. Cuidado com os pedidos de amizade que você aceita, evite aceitar convites e pedidos de estranhos pois eles podem estar apenas com a intenção de observar seus hábitos e conteúdos a fim de encontrar uma oportunidade de enganar.
Vamos à um exemplo: imagine que você trabalha em uma empresa de tecidos e confirmou presença em uma Feira da Indústria Têxtil na cidade de São Paulo. A confirmação é feita pelo Facebook, e seus amigos conseguem enxergar que você confirmou sua participação.
Do nada, uma pessoa lhe adiciona no Facebook (após analisar qual a empresa que você trabalha, algo que pode ser ocultado nas políticas de privacidade) e lhe encaminha via chat uma mensagem dizendo “olá {seu nome}, vi que você vai participar da Feira Têxtil, quer ganhar 25% de desconto na praça de alimentação? É só clicar aqui e preencher os dados”.
A pessoa pode nem desconfiar da atitude e achar aquela abordagem muito simpática e estratégica, porém, ela pode ser um golpe, e todas as informações necessárias para criar o problema foram “concedidas” por você, via redes sociais, sem nenhuma necessidade de atividade ilegal.
Tome muito cuidado com as redes, principalmente com abordagens de pessoas estranhas, links maliciosos e conteúdos muito apelativos (geralmente são os famosos clickbaits).
Lembre-se: não são apenas as empresas que estão se modernizando e aproveitando das facilidades da internet, os criminosos também já descobriram formas de lucrar com ataques cibernéticos, e a incidência desses crimes não para de crescer. Sempre desconfie de mensagens e e-mails suspeitos, faça um projeto de conscientização das equipes e crie bons processos de comunicação e segurança.
Somente se precavendo é que uma empresa terá sucesso no combate ao phishing e spear phishing.