O phishing é uma das formas mais populares e comuns de ataques de engenharia social.
Sendo um ataque cibernético que visa e explora a inteligência humana, o phishing atingiu com sucesso várias pequenas e grandes empresas no passado. Segundo uma pesquisa, mais de 80% das organizações experimentou pelo menos uma tentativa bem-sucedida de ataque de phishing em 2020.
Além disso, um Relatório de tendências de atividades de phishing sugere que os ataques de phishing cresceram significativamente em 150% entre 2019 e 2022, registando um número recorde de 4,7 milhões de ataques em 2022.
Embora o phishing seja uma ampla categoria de ataque cibernético, sob a égide da qual se enquadram, outros tipos de ataques de phishing incluem vishing, phishing por e-mail, spear phishing, clone phishing e muito mais.
Destes, o spear phishing é um dos ataques cibernéticos mais prevalentes e sofisticados, constituindo um ponto de partida ou de partida para mais de 91% dos ataques cibernéticos.
Mas como o phishing e o spear phishing diferem um do outro? Quais elementos-chave distinguem esses dois ataques cibernéticos e como você pode impedir sua organização deles?
Neste artigo, nos aprofundamos no phishing versus spear phishing e analisamos os principais recursos que diferenciam esses ataques de phishing uns dos outros.
Vamos!
últimas postagens
O que é phishing?
Um ataque de phishing é um tipo de ataque cibernético que espalha golpes por meio de e-mails direcionados a indivíduos aleatórios por meio de diferentes canais e meios, como mensagens de texto (smishing), e-mails (e-mail phishing) ou chamadas telefônicas (vishing).
Os invasores enviam e-mails de phishing em massa e em grandes volumes para obter informações confidenciais do usuário e detalhes comerciais, esperando que, entre milhares de tentativas de phishing, pelo menos uma ou algumas tenham sucesso.
Os invasores de phishing modernos projetam esses e-mails e mensagens de maneira ampla e inteligente, fazendo com que pareçam legítimos vindos de uma fonte confiável, como uma empresa ou um banco. Os hackers enviam esses e-mails aleatoriamente aos usuários, enganando-os e manipulando-os para que cliquem em links ou documentos maliciosos do e-mail ou executem ações específicas que desencadeiam novos ataques.
Em um ataque de phishing, os invasores usam principalmente um tom de voz urgente, induzindo uma sensação de medo entre os destinatários e manipulando-os para que baixem documentos infectados ou cliquem em links maliciosos, comprometendo suas informações pessoais, como dados bancários ou credenciais de login.
Assim, como o nome sugere, phishing refere-se a ataques cibernéticos aleatórios e amplos por e-mail, que exploram usuários inocentes ou destinatários de e-mail para comprometer dados e informações confidenciais.
No entanto, diferentes ataques cibernéticos se enquadram no phishing, dependendo do meio ou da tática. Os diferentes mecanismos de ataque de phishing incluem:
- Smishing: também conhecido como phishing por SMS, smishing é um ataque realizado via SMS ou mensagens de texto para infectar o telefone ou dispositivo móvel do usuário com malware.
- Vishing: Vishing é um ataque cibernético de phishing realizado por meio de chamadas telefônicas ou download de protocolos de Internet, como VoIP ou Voice Over Internet Protocol.
- Phishing pop-up: Este ataque é realizado iniciando um pop-up urgente ou mensagens na tela do usuário na forma de pop-ups sobre a segurança do dispositivo.
- Phishing de fax: Este ataque de phishing envolve o envio de um e-mail de phishing ao usuário informando que ele recebeu um fax no anexo do e-mail, normalmente levando os usuários a sites falsos ou falsificados, solicitando-lhes que insiram suas credenciais de login.
- Phishing por transferência bancária: Este ataque inclui transferências bancárias para realizar atividades fraudulentas.
Então, se esses são os diferentes tipos de ataques de phishing, vamos entender também o que é o spear phishing e como ele difere dos mencionados acima.
O que é Spear Phishing?
O spear phishing é uma forma mais avançada e sofisticada de ataque de phishing que visa indivíduos, organizações ou vítimas específicas ou direcionadas, em oposição aos ataques de phishing que visam uma grande massa de indivíduos.
Normalmente, em vez de atingir um grupo de indivíduos, os ataques de spear phishing visam principalmente uma empresa ou organização específica usando táticas de engenharia social, como e-mails falsificados.
No spear phishing, os invasores muitas vezes se fazem passar por funcionários, colegas ou conhecidos de negócios de uma organização para comprometer as informações confidenciais da organização. Aqui, o objetivo pode não ser apenas roubar informações pessoais de um indivíduo, mas hackear e entrar no servidor de uma empresa para realizar uma atividade maliciosa direcionada.
Os cibercriminosos costumam usar técnicas de engenharia social, como e-mails falsificados, enviando e-mails altamente personalizados às vítimas, coletando detalhes pessoais, como nome e empresa, por meio de seus perfis de mídia social, fazendo com que os e-mails falsificados pareçam mais genuínos, legítimos e verossímeis.
Isso ajuda os cibercriminosos a construir a confiança das vítimas, aumentando as chances de os destinatários do e-mail realizarem a ação desejada. Além da falsificação de e-mail, os invasores podem empregar URLs dinâmicos e downloads drive-by para comprometer as medidas de segurança de uma empresa e realizar o ataque de spear phishing.
Os cibercriminosos costumam empregar dois tipos de ataques ao conduzir spear phishing:
- Caça às baleias: Este ataque de spear phishing tem como alvo principal executivos seniores com poder ou autoridade para acessar informações confidenciais de uma empresa. Atingir esses indivíduos permite que os invasores acessem dados confidenciais, iniciem transferências de fundos ou conduzam uma violação de dados.
- Fraude de CEO: embora os ataques de caça às baleias tenham como alvo funcionários seniores, os ataques de phishing de fraude de CEO visam principalmente funcionários de nível inferior ou júnior, fazendo-se passar por executivos de nível superior ou seniores, como o CEO de uma empresa, fingindo ser uma autoridade de alto nível; os invasores podem facilmente convencer ou pressionar funcionários juniores a realizar ações não autorizadas. Este ataque também é conhecido como ataque Business Email Compromise (BEC).
Agora que entendemos a definição básica e a ideia por trás do phishing e do spear phishing, vamos entrar em mais detalhes para entender como esses dois ataques diferem por meio de seus principais fatores de diferenciação.
Phishing vs. Spear Phishing: uma visão rápida
FatoresPhishingSpear PhishingEstilo de ataqueAtaca em escala, visando um grupo mais amplo e aleatório de indivíduos.Ataca uma organização ou indivíduo específico por meio de táticas de engenharia social.Nível de personalizaçãoOcorre com frequência e consome menos tempo. Altamente personalizado, pois o invasor realiza pesquisas profundas sobre a vítima-alvo, incluindo nome, organização, perfil profissional etc. concentra-se primeiro em ganhar a confiança da vítima, antes de fazê-la executar a ação desejada. Objetivo principal: comprometer e acessar os dados confidenciais da vítima, como credenciais de login. Embora o spear phishing também possa tentar acessar dados como detalhes de cartão de crédito ou credenciais de login, o objetivo final pode ser muito maior, como extrair segredos comerciais da empresa, etc. e-mails genéricos solicitando atualizações de senha. Ocorre com menos frequência, pois requer muito tempo, esforço e pesquisa para ser executado. Nível de esforçoBaixo, pois as mensagens são bastante genéricas e padronizadas.Alto, pois as mensagens são redigidas cuidadosamente com maior personalização.Tonalidade do conteúdo da mensagemGenérica e formal (às vezes desconhecida da vítima). Familiar e personalizado, muitas vezes incluído com o nome da vítima nas saudações.Exemplos Os bancos enviam e-mails genéricos solicitando atualizações de senha.Um funcionário de alta autoridade solicitando transferência bancária para um projeto. Medidas preventivas Filtragem de e-mail e treinamento e conscientização básicos sobre segurança cibernética. Firewalls avançados, filtragem de e-mail e conscientização consistente sobre segurança cibernética com simulações de phishing.
Phishing vs. Spear Phishing: recursos explicados
Embora o phishing e o spear phishing possam partilhar características semelhantes, diferem entre si em termos do seu alvo principal, tácticas ou metodologias de ataque, medidas de segurança tomadas para os defender e outros factores.
Vamos dar uma olhada em cada um deles, um por um.
#1. Vetores de ataque
Os ataques de phishing padrão lançam uma rede mais ampla através de ataques de engenharia social, como e-mails em massa, sites maliciosos ou mensagens SMS. Assim, muitas vezes tentam atingir um amplo grupo de indivíduos através de múltiplos vetores ou táticas de ataque, tentando atingir um grande número de vítimas potenciais.
Por outro lado, os ataques de spear phishing são muito mais direcionados, específicos e personalizados, visando uma organização ou grupo de indivíduos específico. Embora o spear phishing geralmente use e-mails falsificados como vetor de ataque, ele também pode empregar mídias sociais, telefonemas ou interações pessoais para atingir indivíduos específicos.
#2. Táticas enganosas
Os ataques de phishing usam e enviam e-mails ou mensagens genéricos e mal escritos em massa, fazendo-se passar por organizações ou serviços legítimos. Eles empregam táticas de intimidação ou criam um senso de urgência nas mensagens, enganando as vítimas para que forneçam seus dados confidenciais, como credenciais de login ou detalhes de contas bancárias.
Assim, os invasores costumam usar modelos de e-mail genéricos para enganar os usuários e usar a tática do medo, contando com links maliciosos, sites falsos e anexos indutores de malware, fazendo com que as vítimas executem a ação desejada para garantir a segurança do dispositivo ou da conta.
Enquanto o phishing depende de táticas enganosas genéricas, o spear phishing emprega táticas convincentes e altamente personalizadas, conduzindo pesquisas completas sobre suas vítimas-alvo para redigir mensagens personalizadas e confiáveis.
Eles incluem detalhes específicos sobre a vítima, como nome, empresa, cargo, etc., imitando o estilo e o tom de voz de um e-mail comercial legítimo, fazendo-os parecer mais legítimos e distinguindo-os de e-mails de phishing genéricos.
#3. Alvejando
Os invasores têm como alvo vários indivíduos ao mesmo tempo em ataques de phishing usando e-mails genéricos, tendo assim um foco oportunista cada vez mais amplo. Assim, os ataques de phishing enviam e-mails em massa em vez de atingir pessoas ou organizações específicas, esperando que pelo menos uma pequena percentagem das vítimas caia nas suas táticas enganosas.
Pelo contrário, o spear phishing aproveita a engenharia social direcionada, e não apenas a mera sorte. Os invasores são muito claros, focados e precisos sobre suas vítimas-alvo e enviam e-mails personalizados para indivíduos selecionados com uma visão panorâmica.
Eles escolhem ou se concentram em executivos de alto valor ou funcionários seniores para se comprometerem a obter acesso aos dados comerciais confidenciais de uma organização. Quanto mais elevado for o nível de executivo visado, maior será o impacto potencial de os comprometer.
Assim, num ataque de spear phishing, a vítima alvo pode ser considerada como um meio para um fim, o que compromete a própria organização alvo.
#4. Objetivos
O objetivo principal dos ataques de phishing é coletar um grande volume de informações confidenciais e sensíveis, visando uma rede mais ampla de indivíduos. Essas informações podem incluir números de cartão de crédito, credenciais de login, senhas de contas bancárias ou outros dados pessoais do maior número possível de pessoas-alvo.
Por outro lado, o objetivo dos ataques de spear phishing é mais focado e pode variar amplamente, dependendo do objetivo final do invasor de como deseja comprometer um negócio ou organização específica.
Os objetivos do spear phishing podem incluir o acesso a contas comerciais específicas, a exfiltração de informações confidenciais, o roubo de ativos ou dados proprietários, o lançamento de ataques cibernéticos internos dentro de uma organização ou a realização de espionagem corporativa direcionada.
#5. Desafios de detecção
As organizações podem detectar ataques de phishing por meio de listas negras de domínios, filtragem de e-mail, firewalls e software antivírus.
No entanto, detectar alguns e-mails de phishing pode ser um desafio devido aos ataques sofisticados de engenharia social em evolução que manipulam a inteligência e as táticas humanas, como personificar indivíduos de autoridade, usar HTTPS em sites falsos, ofuscação de URL, pharming e muito mais.
Ao mesmo tempo, em comparação com os ataques de phishing, a detecção de ataques de spear phishing pode ser ainda mais desafiadora, pois são projetados de forma mais personalizada. Conseqüentemente, as medidas de segurança tradicionais, como firewalls, muitas vezes não conseguem detectá-los.
Assim, a detecção de spear phishing depende muito da educação do usuário, da conscientização e de um olhar atento ou da capacidade de detectar sinais sutis e enganosos nos e-mails.
#6. Medidas de Prevenção
Funcionários e organizações podem prevenir ataques de phishing empregando firewalls, software antivírus, e-mail e filtragem da web, atualizando senhas regularmente, instalando patches de segurança, etc.
Também é crucial difundir a conscientização sobre segurança cibernética e realizar treinamento de funcionários para promover a vigilância entre os funcionários sobre o fácil reconhecimento de tentativas de phishing.
A prevenção de spear phishing envolve uma abordagem em várias camadas e requer uma combinação de soluções robustas de segurança de e-mail e educação do usuário. Isso pode incluir o emprego de controles de acesso rígidos, autenticação de dois fatores (2FA), treinamento e conscientização de funcionários, soluções robustas de segurança de e-mail que identificam padrões de e-mail suspeitos e inteligência sobre ameaças.
#7. Exemplos da vida real
E-mails falsos e maliciosos que se fazem passar por organizações e bancos de renome como o PayPal ou perfis de redes sociais são exemplos comuns de como os ataques de phishing são conduzidos.
- Sistema de Saúde do Espectro, uma organização de saúde, relatou um ataque vishing em setembro de 2020, onde os pacientes e membros da organização receberam telefonemas de pessoas disfarçadas de funcionários para extrair os seus dados pessoais, incluindo ID de membro e outros detalhes relacionados com as suas contas. Os invasores usaram ameaças e lisonjas para pressionar as vítimas a entregar os dados desejados, acesso a dispositivos pessoais ou dinheiro.
- Outro exemplo real de ataque de phishing é quando Tripwire relatou um ataque smishing em setembro de 2020. O invasor enviou mensagens SMS para vítimas disfarçadas de Correios dos Estados Unidos (USPS). A mensagem pedia às vítimas que clicassem em um link para ver detalhes críticos sobre a próxima entrega do USPS, que as direcionava a sites falsos para roubar as credenciais de suas contas do Google.
Da mesma forma, aqui estão dois exemplos reais de campanhas de spear phishing.
- Um dos incidentes mais famosos da vida real de um ataque de spear phishing foi quando o Google e o Facebook foram induzidos a pagar US$ 122 milhões entre 2013 e 2015 devido a uma extensa campanha de ataque de spear phishing do BEC. O invasor se passou pela Quanta, fornecedor comum das duas empresas, e enviou e-mails com faturas falsas, que foram pagas pelo Google e pelo Facebook. No entanto, as empresas poderiam posteriormente recuperar US$ 49,7 milhões do valor roubado.
- Outro exemplo de ataque de spear phishing foi quando Pathe, o principal grupo de cinema da França, perdeu 19,2 milhões de euros devido a fraude do CEOquando o invasor enviou vários e-mails se passando pelo CEO Marc Lacan, solicitando ao escritório holandês a transferência do valor em quatro fazendas para a Towering Stars General Trading LLC em Dubai.
#8. Taxa de sucesso
Embora a taxa de sucesso do ataque de phishing varie muito, é comparativamente menor do que os ataques de spear phishing por ser genérico e menos direcionado.
Além disso, a taxa de sucesso de um ataque de phishing depende principalmente da qualidade e das táticas enganosas utilizadas nas mensagens, do conhecimento da vítima sobre segurança cibernética e da capacidade de detectar uma mensagem falsificada.
Por outro lado, os ataques de spear phishing têm uma taxa de sucesso mais elevada devido à sua natureza convincente e personalizada. É mais provável que os destinatários dos e-mails confiem nos e-mails falsificados e caiam em tentativas de spear phishing, pois parecem mais credíveis e contêm informações relevantes e específicas.
Maneiras de se proteger contra phishing e spear phishing
Os perigos e o impacto potencial dos ataques de phishing e spear phishing são maiores, reais e altamente complexos, custando milhões de dólares às organizações.
Assim, é essencial tomar medidas preventivas críticas para impedir ou pelo menos limitar os riscos destes ataques de phishing. Aqui estão algumas maneiras de proteger você e sua organização contra ataques sofisticados de phishing e spear phishing.
- Criptografe os dados e informações confidenciais em seu computador e dispositivos móveis por meio da criptografia de dados, garantindo que invasores não consigam acessar esses dados sem a senha correta.
- E-mails de phishing falsos são o principal meio para os invasores roubarem credenciais de login. Portanto, autentique seu endereço de e-mail por meio de métodos como configuração de SPF, DMARC e DKIM.
- Use a autenticação multifator (MFA) para proteger o acesso confidencial à sua conta comercial, mesmo se suas credenciais de login ou senhas forem comprometidas. A MFA torna ainda mais desafiador para os invasores invadirem suas contas.
- Mantenha todos os seus softwares internos, aplicativos, sistemas operacionais e ferramentas de rede atualizados e seguros, instalando os mais recentes patches de segurança, proteção contra malware e software antivírus e antispam.
- Eduque seus funcionários e divulgue a conscientização sobre segurança cibernética sobre o impacto negativo e as repercussões dos ataques de phishing, mecanismos de detecção e como evitá-los, e promova o seguimento das melhores práticas para limitar seus riscos.
- Realize programas regulares de treinamento em segurança cibernética e simulações de phishing para manter os funcionários informados sobre as últimas tendências e ameaças de segurança cibernética e testar sua capacidade de identificar e denunciar e-mails fraudulentos e maliciosos.
Assim, criar uma cultura organizacional centrada na segurança cibernética e incorporar os melhores procedimentos e práticas pode ajudar significativamente a reduzir o impacto potencial dos ataques de phishing e spear phishing.
Palavras Finais
As campanhas de ataque de phishing e spear phishing são realidades inevitáveis e difíceis do mundo digital de hoje. Os cibercriminosos hoje empregam táticas sofisticadas para comprometer indivíduos e organizações, causando enormes danos financeiros e de reputação.
Embora ambos os ataques possam prejudicar a credibilidade de uma organização, eles podem ser evitados mantendo-se atualizado sobre as últimas tendências de segurança cibernética e incorporando as melhores práticas de segurança – e isso começa com a compreensão e o estudo dos próprios ataques.
Este artigo ajuda você a entender a diferença entre phishing e spear phishing e como eles diferem em termos de objetivo principal, alvo, impacto, taxa de sucesso, táticas, vetores de ataque e métodos de prevenção.
Portanto, siga as melhores práticas de segurança mencionadas acima para evitar que você e sua empresa sejam vítimas de campanhas maliciosas de phishing e spear phishing.
A seguir, confira soluções de segurança de e-mail para protegê-lo contra ataques de spam, spoofing e phishing.
