O que são golpes spear phishing?
No phishing tradicional, os cibercriminosos enviam milhões de e-mails genéricos esperando que alguém, por sorte, morda a isca e forneça seus dados ou acesso à conta. Já o spear phishing, que pode ser traduzido literalmente como “pesca com lança”, abandonou a rede de arrasto em favor de um ataque de precisão. O que é phishing e como se proteger? O que é Engenharia Social? Aprenda a identificar e se proteger de golpes Nesta modalidade, o golpista não quer qualquer vítima; ele quer você. Utilizando informações específicas sobre seu cargo, empresa ou vida pessoal, esses ataques são desenhados para serem indistinguíveis de uma comunicação legítima. Segundo o relatório Data Breach Investigations Report de 2024, da Verizon, o elemento humano continua presente em 68% das violações de dados, com o phishing direcionado sendo uma das portas de entrada mais letais e difíceis de se evitar. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- A anatomia do spear phishing Diferente de um e-mail falso de um banco genérico, o spear phishing é fruto de um complexo trabalho de inteligência, processo também chamado, muitas vezes, de engenharia social. O procedimento geralmente começa com a fase de reconhecimento (OSINT, de Open Source Intelligence, ou inteligência de fonte aberta). O spear phishing mira especificamente em um usuário, geralmente um empregado de alto nível ou pessoa de grandes posses (Imagem: Reprodução/Hashed Out) Em outras palavras, o atacante coleta dados públicos da vítima em redes como LinkedIn, Instagram e sites corporativos, bem como bases de dados de vazamentos anteriores em grandes empresas. Ele descobre quem é seu chefe, quais projetos você está trabalhando e até qual software sua empresa utiliza, só para citar alguns detalhes que você pensa nunca estarem disponíveis publicamente. Com os dados em mãos, o criminoso forja uma identidade. Pode ser um e-mail do "Diretor de TI" pedindo para atualizar uma senha, ou um fornecedor real (mas sendo, neste caso, imitado via spoofing) enviando uma "fatura atrasada" em PDF, por exemplo. Indo para os quesitos técnicos, o spear phishing utiliza métodos avançados para enganar os filtros de segurança, como spoofing de e-mail, onde há falsificação do cabeçalho para que o remetente pareça ser um domínio legítimo. Também são usados domínios typosquatting, com endereços quase idênticos ao real (ex: contato@micros0ft.com em vez de microsoft.com). Atualmente, a tecnologia inclui até mesmo malwares sem arquivo: links que, quando clicados, levam ao download de scripts que rodam diretamente na memória do computador, evitando a detecção de antivírus comuns, já que não há traço algum do ataque deixado na máquina. O tamanho do spear phishing De acordo com o FBI, o comprometimento de e-mails comerciais, que frequentemente utilizam spear phishing, já causou perdas globais superiores a US$ 50 bilhões (R$ 270 bi) nos últimos anos. O alvo principal não é mais apenas o setor financeiro, mas sim áreas de RH e Cadeia de Suprimentos, por exemplo, numa expansão dos cibercrimes. Como se proteger de spear phishing? A tecnologia sozinha não basta, pois o spear phishing explora a psicologia humana (urgência, medo ou autoridade). Por isso, calha sempre ficar atento com urgência excessiva em comunicações por e-mail ou redes sociais: pedidos de transferência ou troca de senha em 15 minutos, 1 hora ou 1 dia sob risco de perda da conta são indicativos enormes de golpe. Urgência, remetentes suspeitos, links encurtados e pedidos de dados específicos: suspeite de tudo isso na hora de responder uma mensagem (Imagem: Reprodução/KnowBe4) Também fique de olho no remetente: passe o mouse e abra detalhes do e-mail para ver o endereço real, não apenas o exibido no cabeçalho simples, o que pode revelar um domínio suspeito. Nessa toada, também desconfie de links encurtados, que escondem o destino final. Caso seja uma suposta comunicação de uma empresa que você conhece, visite o site oficial e pessoas de confiança da organização para verificar se a comunicação é legítima. Estabeleça uma Cultura de Confirmação: Se receber um pedido incomum do seu chefe, confirme por outro canal (WhatsApp ou chamada de voz ou vídeo, de preferência). Também use autenticação de dois ou mais fatores, essencial para garantir que, mesmo que sua senha seja roubada, o criminoso não consiga acessar sua conta. Calha, ainda, ativar filtros de e-mail avançados e ferramentas que analisam o comportamento do link no momento do clique. O spear phishing prova que a maior vulnerabilidade de um sistema de segurança nem sempre está no código, mas na confiança humana: desconfiar e usar tudo que é possível para garantir a veracidade da comunicação é essencial. À medida que a Inteligência Artificial facilita a criação de e-mails personalizados e sem erros gramaticais, a capacidade crítica do usuário torna-se a última e mais importante linha de defesa. Em um mundo onde os ataques são "cirúrgicos", nosso cuidado deve ser igualmente preciso. Confira também no Canaltech: O que é firewall e como ele funciona? Creeper ou Brain: qual foi o primeiro vírus da história dos computadores? O que significa "Zero Trust" (Confiança Zero)? VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts Leia a matéria no Canaltech.