O que é o spear phishing e como pode evitá-lo?

O spear phishing é um dos vários tipos de esquema ou golpe online contra os quais todos devemos defender-nos. O que é um burlas online? É simplesmente uma atividade fraudulenta e criminosa que visa conseguir vantagens à custa de outras pessoas, realizada através da internet ou de outras comunicações à distância. Aliás, o telefone e o SMS podem também ser usados em ataques de spear phishing – inclusivamente em combinação com o e-mail ou o WhatsApp, no caso de ataques realmente elaborados e específicos contra uma pessoa em particular.

O spear phishing é um dos vários exemplos de phishing. E o que é o phishing? O phishing tem como base a execução de tentativas de fraude com o intuito de aceder ilegalmente a diversas informações pessoais, tais como o número da identificação, password de acesso ao banco, número de cartão de crédito, etc., através de e-mails (ou outras comunicações eletrónicas) com conteúdo duvidoso. Estas tentativas de fraude recorrem a técnicas de engenharia social para burlar a pessoa, levando-a a clicar num link, descarregar um ficheiro ou responder a um e-mail de modo a prejudicar-se sem se aperceber. Existem vários tipos de phishing na internet:

• Spear Phishing
• Whaling
• Vishing
• Phishing de e-mail

Phishing, spear phishing e whaling são diferentes tipos de ataques por e-mail. O phishing representa uma forma mais abrangente de ataque cibernético que abarca praticamente qualquer uso de e-mail ou mensagem eletrónica para ludibriar as pessoas. Já o spear phishing e o whaling são conceitos com características específicas.

A técnica utilizada no spear phishing é a mais sofisticada. O spear phishing é um ataque direcionado especificamente a um indivíduo ou organização. O destinatário recebe um e-mail, que parece vir de uma fonte de confiança (como de alguém que se conhece pessoalmente), através do qual é persuadido a revelar informações confidenciais.

Como a intenção do(s) cibercriminoso(s) é atingir uma pessoa ou empresa em particular, o primeiro passo será recolher informação sobre a pessoa em questão. Pode tratar-se do CEO ou diretor de uma empresa, se quiserem roubá-lo pessoalmente ou aceder às contas bancárias ou informações confidenciais da organização. Também podem “apontar” a alguém com responsabilidade dentro de uma empresa, como um responsável de segurança, o diretor financeiro ou um administrador de sistemas. Este tipo de ataques a pessoas com responsabilidade é também designado como whaling (literalmente, “caça à baleia”).

Como é executado um ataque de spear phishing?

1. Os cibercriminosos “estudam” além do significado de phishing e não se ficam pelo envio de e-mails genéricos. Eles recolhem o máximo de informação específica sobre a pessoa que querem atacar e respetiva empresa ou organização. O LinkedIn e outras redes sociais, bem como outra informação pública sobre pessoas próximas à vítima, serão investigados.
2. As mensagens enviadas à vítima são personalizadas, e não genéricas. Não é só tratar a vítima pelo nome; todo o e-mail será redigido de modo a ser lido apenas pela vítima, como se só a ela dissesse respeito.
3. Se souberem que a sua empresa costuma trocar e-mails com uma outra, poderão criar um e-mail falso que se assemelhe ao dessa outra. Poderão também tentar apoderar-se do endereço de uma pessoa com quem costuma trocar comunicações para poderem enviar mails falsos para si, “disfarçando-se” dessa pessoa.

Note-se que ataques deste género, como o que Rui Pinto lançou à sociedade de advogados PMLJ, podem não ser detetados imediatamente. Pode acontecer que o cibercriminoso queira obter apenas informação, sem causar danos diretos ou imediatos. No limite, o visado pode nunca chegar a saber que foi atacado.

O exemplo do ataque de Rui Pinto à PLMJ mostra igualmente que o conceito de spear phishing se integra no significado de phising na internet, mais alargado. No caso em questão, Rui Pinto não se apresentou como uma pessoa próxima ou conhecida da pessoa visada, mas “disfarçou-se” de Autoridade Tributária para enviar um e-mail a uma pessoa em específico. Este direcionamento aumenta em muito as probabilidades de sucesso.

O spear phishing combate-se adotando algumas medidas de segurança comuns a outros tipos de ciberataque, como o smishing, e também medidas específicas contra spear phishers. Veja como proteger-se:

• Não abra links, não carregue em ficheiros, nem dê informações a entidades ou pessoas que lhe pareçam suspeitas.
• Verifique sempre o endereço de e-mail de alguém que lhe esteja a enviar um e-mail. Se notar algo fora do comum (um domínio falso ou uma letra trocada), desconfie imediatamente.
• Se receber uma mensagem de uma pessoa que conhece, ou que lhe pareça confiável, faça uma confirmação por outra via (“double check”). Entre em contacto com a pessoa através do seu canal oficial. A burla do Whatsapp “Olá Pai” ou “Olá Mãe” insere-se nesta dica. As pessoas devem desconfiar de um filho que lhes pede dinheiro subitamente a partir de um número de telemóvel diferente; em vez disso, devem devolver o contacto ao filho e confirmar a situação.
• Opte por não mostrar o endereço de e-mail da sua empresa em público. Em vez disso: apresente um formulário online; ou mostre um e-mail aos clientes em geral mas reserve outros endereços corporativos para conversas privadas, mantendo-os ocultos do grande público.
• Dê formação aos seus colaboradores e colegas sobre spear phishing. Faça-o regularmente, à imagem do que se faz relativamente a saúde no trabalho, proteção contra sismos, etc.
• Proteja-se contra chamadas telefónicas de spam e fraudulentas, lançadas por robots ou mesmo pessoalmente por criminosos, fingindo falar em nome de uma universidade, empresa ou outra organização respeitável. Veja aqui como bloquear chamadas spam.
• Utilize software atualizado, mais capaz de se defender contra ciberataques.
• Use uma VPN para manter a privacidade das suas comunicações eletrónicas (computador, telemóvel e rede empresarial) contra interceção por terceiros. Recomendamos igualmente o uso da funcionalidade Proteção Contra Ameaças da NordVPN, que bloqueia o acesso a sites maliciosos, bloqueia “trackers” e anúncios abusivos, e faz scan a ficheiros que possam conter malware antes que sejam descarregados para o computador ou telemóvel.
• Reduza ao mínimo as suas publicações nas redes sociais. Não partilhe informação interna da sua empresa que possa incluir atividades, projetos, costumes e práticas de comunicação, ou dados dos funcionários. Tudo isso pode ser usado para montar um ataque de spear phishing.
• Ative a autenticação multifator, ou de dois fatores, e adote passwords fortes. Instrua colaboradores e colegas a fazer o mesmo.