Informações das empresas em risco: o que é o spear phishing?
Os crimes cibernéticos têm sido um tema recorrente aqui na coluna. Em diversas oportunidades, eu tratei de conceitos, notícias e até dei dicas para se proteger desse tipo de crime. Um dos golpes mais praticados pelos criminosos digitais é o phishing. Trata-se de um golpe em que é feita a tentativa de obter dados da vítima usando a combinação de meios técnicos e engenharia social. Normalmente a vítima recebe um comunicado via e-mail ou aplicativo de mensagens (WhatsApp, Skype, etc) que supostamente seria de uma organização oficial, geralmente um banco ou uma grande empresa ou órgão do governo. Esse comunicado geralmente contém um link para que o usuário baixe um aplicativo, atualize um software ou faça algum tipo de cadastro em uma página falsa. Obviamente os dados inseridos nesse aplicativo ou página serão enviados diretamente ao golpista, que poderá usá-los para praticar todo tipo de crime.
É muito comum recebermos mensagens falsas com promoções, cobranças e até prêmios, como vale-compras e cupons de desconto. Devido à utilização de nomes e marcas conhecidas, o phishing tradicionalmente faz muitas vítimas, pois as pessoas geralmente não costumam verificar a veracidade dessas mensagens, simplesmente acreditam e repassam. Esse tipo de golpe é executado visando atingir o maior número de pessoas possível, pois quanto maior o seu alcance, maior a chance de fazer uma vítima. Entretanto, nos últimos anos foi verificada uma variação do phishing que tem como alvo uma empresa específica: trata-se do spear phishing.
Assim como o phishing, o spear phishing envolve mensagens falsas com o objetivo de roubar informações. A diferença é que no spear phishing a vítima não é aleatória, ou seja, pode ser uma empresa ou algum funcionário específico de uma organização. O objetivo é obter, além de dados pessoais e financeiros, informações estratégicas.
Imagine a seguinte situação: um funcionário recebe um e-mail que aparentemente é de uma empresa parceira de negócios. Essa mensagem apresenta informações sobre a parceria, como nomes, projetos, vocabulários e outros elementos, o que induz o funcionário a confiar que ela é oficial. Se há confiança, há ação, então o funcionário irá clicar no link indicado e fará tudo aquilo que o comunicado está pedindo, desde o preenchimento de informações estratégicas e confidenciais, até a instalação de malwares que poderão espionar a rede de computadores da empresa.
Mas, como o golpista conseguiu as informações para induzir a vítima? A resposta é a engenharia social, ou seja, por meio de ligações telefônicas e outros meios, é possível adquirir nomes de funcionários, setores e projetos que eles estão trabalhando, seus horários, e-mails e outras informações que poderão ser usadas para ganhar a confiança da vítima. O filme Hackers 2: Takedown (2000) mostra Kevin Mitnick, um dos hackers mais famosos da história, utilizando técnicas de engenharia social para romper barreiras de segurança.
Qualquer funcionário pode ser vítima de spear phishing, pois há empresas que recebem dezenas ou centenas de e-mails diariamente dificultando a identificação de mensagens falsas. Assim, é necessário, além de ferramentas técnicas que evitam esse tipo de golpe, uma constante orientação. Os funcionários devem desconfiar de e-mails que apresentam excesso de informações pessoais ou da empresa, pois isso pode ser um indício de golpe. Precisam verificar também o e-mail de origem, não se satisfazendo apenas com o nome do remetente, pois o golpista certamente está tentando se passar por alguém que tem ligação com a empresa.
Acredito que seriam interessantes cursos e palestras para os funcionários, principalmente para aqueles que detêm informações estratégicas da organização. Prevenção é a melhor estratégia contra esse e outros tipos de golpes cibernéticos!
Texto publicado originalmente no Jornal de Jales – coluna Fatecnologia – no dia 28 de janeiro de 2018.