Os ataques de phishing começaram com golpes do príncipe nigeriano em meados da década de 1990, mas hoje se transformaram em campanhas bem pesquisadas e direcionadas que são altamente eficazes e incrivelmente difíceis de serem interrompidas.
O spear phishing, por sua vez, é o ato de enviar e-mails para destinos específicos e bem pesquisados, a partir de um remetente confiável. O objetivo é infectar dispositivos com malware ou convencer as vítimas a entregar informações ou dinheiro.
Enquanto campanhas de phishing regulares têm rendimento relativamente baixo para os hackers, o spear phishing visa alvos específicos usando e-mails criados especialmente para a vítima pretendida com o objetivo de aumentar o ganho. “O phishing é apenas um tipo de ataque genérico, de baixa tecnologia e não direcionado”, explica Aaron Higbee, cofundador e CTO da empresa anti-phishing Cofense (anteriormente conhecida como PhishMe). “Eles não se importam particularmente com quem é seu alvo. Eles estão apenas lançando uma rede ampla tentando capturar tantas pessoas e tantas empresas quanto possível.” O spear phishing, por sua vez, é uma campanha que foi construída intencionalmente por um agente de ameaças com o objetivo de penetrar em uma organização e onde eles realmente pesquisarão nomes e funções dentro de uma empresa, acrescenta Higbee.
Ou seja, enquanto o phishing em massa envolve principalmente o uso de kits automatizados para coletar credenciais em massa usando páginas de login falsas para serviços bancários ou de e-mail comuns ou espalhar ransomware ou criptografar malwares, os ataques de spear phishing são mais complicados. Algumas campanhas direcionadas envolvem documentos que contêm malware ou links para sites de furto de credenciais para roubar informações confidenciais ou propriedade intelectual valiosa, ou simplesmente comprometer os sistemas de pagamento. Outros evitam cargas maliciosas e, em vez disso, usam a engenharia social para sequestrar processos para um pequeno número de grandes pagamentos por meio de uma única ou série de transferências bancárias. A parte do remetente do e-mail costuma ser falsificada para parecer que é de uma entidade conhecida ou de um domínio parecido com os seus parceiros confiáveis. Por exemplo, a letra “o” pode ser substituída pelo número “0”, ou a letra “w” pode ser alterada para “ш” do alfabeto russo.
As campanhas de spear phishing mais antigas costumavam simplesmente conter os documentos maliciosos anexados no e-mail ou talvez em um arquivo zip. Mas os criminosos adaptaram seus métodos. Higbee explica que muitos documentos maliciosos agora estão hospedados em sites legítimos, como Dropbox, OneDrive ou Google Drive, pois os agentes de ameaças sabem que é improvável que sejam bloqueados pela equipe de TI.
“Também estamos começando a ver ataques de phishing que estão tentando comprometer tokens de API ou tokens de sessão para obter acesso a uma caixa de email ou para obter acesso a um site do OneDrive ou do SharePoint”, citou.
Reconhecimento é a chave para o spear phishing
Além da segmentação extremamente focada, as campanhas de spear phishing contêm um grande elemento de reconhecimento. Os agentes de ameaças podem começar com os e-mails coletados de uma violação de dados, mas complementam isso com uma série de informações facilmente encontradas on-line. O grupo criminoso nigeriano conhecido como London Blue utilizou até mesmo sites de geração de leads comerciais legítimos para reunir informações sobre CFOs e outros funcionários do departamento de finanças.
As mídias sociais, como o LinkedIn e o Twitter, fornecem informações sobre funções, responsabilidades e relações profissionais dentro de uma organização e, assim, ajudam a informar quem é o melhor para segmentar e representar. Os sites da empresa podem fornecer informações sobre processos, fornecedores e tecnologia, enquanto redes como o Facebook e o Instagram podem fornecer informações pessoais sobre alvos em potencial que poderiam ser aproveitados.
“Fraudadores fazem uso dessas informações a fim de criar uma narrativa crível”, diz Oz Alashe, CEO da CybSafe. “Combinando os dados obtidos a partir da página de equipe de uma organização, um perfil do LinkedIn, um perfil no Twitter e um perfil no Facebook, o criminoso geralmente consegue capturar uma imagem bastante detalhada de sua vítima. Eles podem usar seu nome, informações sobre onde você trabalha, com quem você faz transações bancárias, um pagamento recente que você fez, informações sobre sua família e amigos e qualquer outra informação privada que eles possam encontrar.”
Spear phishing e whaling
Ataques de spear phishing dirigidos a executivos de alto nível são geralmente conhecidos como ataques de whale phishing e envolvem um invasor tentando representar o CEO ou pessoa igualmente importante dentro da empresa com o objetivo de usar superioridade para coagir a vítima a fazer pagamentos ou compartilhar informações. Estudos sugerem que os executivos são mais propensos do que outros funcionários a serem vítimas de tais ataques. Um experimento recente do Rapid7 conseguiu enganar três quartos dos CEOs visados. A instituição beneficente de pesquisa médica do Reino Unido Wellcome Trust perdeu recentemente US$ 1 milhão depois que quatro executivos seniores inseriram credenciais em um site falsificado.
“Executivos no topo de uma organização têm maior probabilidade de serem alvos do que outros funcionários, estão sob pressão e lidam com tarefas críticas e muitas vezes sofrem com o que os psicólogos chamam de preconceito de atenção e podem subestimar a ameaça de spear phishing”, explica Alashe. “Eles incorporam uma combinação perigosa de ser altamente valiosa e altamente disponível para criminosos. Para os criminosos cibernéticos, as recompensas potenciais de alvejar um executivo em comparação com os membros juniores de uma organização fazem com que valha a pena investir na pesquisa e criação de e-mails altamente segmentados.”
Os ataques direcionados que buscam abusar de processos como folha de pagamento ou faturamento são comumente conhecidos como comprometimento de e-mail comercial. A empresa de segurança Agari recentemente encontrou exemplos de golpistas que visam os departamentos de RH para convencê-los a mudar as contas de depósito direto da folha de pagamento existente para aquelas criadas pelos criminosos. Um exemplo mais comum é que os invasores fingem ser fornecedores e solicitam uma alteração nos detalhes de faturamento.
Os ataques direcionados que envolvem mensagens de texto ou chamadas de voz são conhecidos como smishing e vishing, respectivamente, e seguem padrões semelhantes aos ataques baseados em email.
Ferramentas de spear phishing
Como os hackers são organizações criminosas ou estados-nações – a Ucrânia recentemente frustrou um suspeito ataque russo contra a Administração Judicial do Estado -, as ferramentas são basicamente as mesmas. Os ataques que dependem exclusivamente de engenharia social e transações comerciais podem ser feitos por meio de uma conta de e-mail básica de um provedor comum, sem qualquer ferramenta extra.
“Qualquer um pode fazer isso, no final das contas”, diz Tony Gee, sócio associado da Pen Test Partners. “Parece que o nome certo do CEO é muitas vezes suficiente para convencer as pessoas e pode ser realizado por alguém com uma conta do Gmail. Nos ataques mais sofisticados, você precisa ter infraestrutura para suportar o ataque, mas a maioria dos kits de phishing e back-ends são praticamente os mesmos. Em vez de enviar muitos e-mails, você está apenas enviando um ou dois e você está criando-os de uma maneira melhor.”
Por que o spear phishing é eficaz?
De acordo com a última edição do Relatório de Ameaças à Segurança na Internet, da Symantec, spear phishing foi o principal vetor de infecção entre os agentes do crime organizado e empregado por 71% dos grupos em 2017.
“Se você pensar em oportunidades para interagir com uma empresa ou conseguir algo para ser executado dentro da empresa, o e-mail ainda é a porta de entrada. Como esse é o caminho para dentro de uma organização, parece que o phishing será um pouco o vetor por algum tempo”, explica Higbee.
Ataques recentes e notáveis incluem voluntários e funcionários da campanha presidencial de Hillary Clinton como parte do ataque do Comitê Nacional Democrata e a fabricante europeia Leoni AG, perdendo US$ 45 milhões depois que seu departamento financeiro foi enganado para transferir fundos para a conta errada.
A eficácia do spear phishing também se resume ao elemento humano e ao fato de que eles contêm um elemento pesado de engenharia social que se baseia em como as pessoas pensam e agem. “A confiança é uma parte natural e benéfica da psique humana – uma parte inata e necessária da formação de relacionamentos”, diz Alashe. “É essa capacidade arraigada de confiança que os phishers gostam de abusar. As pessoas são significativamente mais propensas a atender solicitações de autoridades e figuras confiáveis.”
Como funciona o spear phishing
Embora os e-mails de spear phishing sejam altamente segmentados e, portanto, provavelmente diferentes de organização para organização, as tendências de unificação devem gerar sinais de alerta entre os usuários. O sinal de alerta mais óbvio é um endereço de e-mail incorreto ou semelhante a um esperada, mas é um pouco diferente. No entanto, os endereços de e-mail podem ser falsificados ou podem não ser visivelmente diferentes sem inspeção rigorosa.
“Um dos traços mais comuns de spear-phishing envolve a exploração de um senso de urgência”, diz Liviu Arsene, analista sênior da Bitdefender. “Se clicar em uma URL para alterar uma senha expirada sem a qual você não pode mais acessar conta ou abrir um anexo (geralmente uma fatura, documento de rastreamento de remessa ou contrato de política atualizado), a meta final é incutir um senso de urgência ao executar uma tarefa ao usar um idioma conhecido”.
A urgência será muitas vezes acompanhada de uma vontade de quebrar a política ou as normas da empresa, acelerando os pagamentos sem as verificações e procedimentos habituais. Eles também podem usar linguagem emotiva para invocar simpatia ou medo. O diretor-presidente impersonificado pode dizer que você está desistindo, caso você não faça o pagamento urgente, por exemplo.
Outra característica a ser observada é a redação e terminologia. O e-mail inclui linguagem comercial ou expressões que normalmente não são ouvidas em sua empresa ou de sua equipe? “Muitas empresas com quem conversamos, quando experimentam fraudes com CEOs, realmente detectam isso por causa de pequenas coisas realmente bobas. Como no Reino Unido, usamos termos como ‘transferência bancária’, enquanto muitos [fraudadores] usam o termo ‘transferência eletrônica’, ou se o chefe assina os e-mails ‘obrigado’, enquanto eles normalmente assinam com ‘saudações’”, alerta Gee.
Ele acrescenta que muitas vezes os e-mails conterão arquivos – ou links para arquivos – que exigem que as macros sejam ativadas. “Isso é um sinal de alerta. A maioria das macros é benigna, mas você normalmente espera receber isso? Se você fizer isso, você precisa permitir que as macros façam essa tarefa? ”.
Prevenção de spear phishing
As organizações podem implementar controles técnicos e humanos para mitigar a ameaça de spear phishing. Juntamente com controles padrão, como filtros de spam, detecção de malware e antivírus, as empresas devem considerar testes de simulação de phishing, educação do usuário e um processo estabelecido para que os usuários relatem e-mails suspeitos para a equipe de segurança de TI.
“Uma das maneiras simples pelas quais as empresas podem reagir, como o comprometimento de e-mail comercial, é simplesmente marcar e-mails quando chegam ao gateway e colocar ‘externo’ na linha de assunto. Isso não necessariamente irá impedir um ataque, mas potencialmente permitirá que os usuários finais pensem que algo pode não estar certo”, explica Gee, da Pen Test Partner.
Ele também acrescenta que ter linhas de comunicação abertas entre funcionários e gerência é importante. “Em algumas culturas de empresas, a hierarquia é muito, muito importante, então os usuários finais não estão dispostos a conversar com os chefes. Mas eles devem saber que não devem se sentir preocupados se precisarem desafiar o chefe por qualquer motivo.”
Embora a educação e a conscientização do usuário sejam parte essencial da redução do risco de phishing, o departamento de segurança da informação também precisa envolver-se na proteção de processos de negócios para estreitar janelas de oportunidade para os invasores.
Por exemplo, garantir que nenhum pagamento seja feito sem várias pessoas e várias etapas de autorização ou que nenhum detalhe de pagamento seja alterado sem primeiro confirmar por telefone ou outro canal de comunicação pode reduzir o risco de que os CEOs ou fornecedores estejam sendo personificados. Ter máquinas separadas para tarefas relacionadas a e-mail e internet e tarefas de pagamento de faturas pode diminuir a chance de as máquinas serem infectadas por malwares que coletam informações bancárias.
A conscientização de sua equipe é fundamental para que ataques deste tipo não aconteçam. A Future possui uma solução de conscientização sobre segurança da informação. Clique aqui para conhecer!
Fonte: CIO.