Você sabe o que é spear phishing? Entenda como funciona e como proteger seus colaboradores dessa prática
Golpes acontecem em massa na internet desde o momento em que ela foi popularizada. Prova disso, são as mensagens maliciosas recebidas, quase que diariamente, em sua caixa de entrada.
Golpes como esses, principalmente com foco em pessoas físicas, estão extremamente presentes, causando muito mais vítimas do que parece. Mas o mundo corporativo não está livre dessas artimanhas.
Através de ataques mais direcionados e especializados, os hackers utilizam informações encontradas na internet sobre a vítima. E assim podem se passar por chefes ou funcionários, em busca de informações e dinheiro.
O que é spear phishing?
Enquanto o Phishing “comum” é conhecido por ser enviado em massa, sua versão Spear é mais personalizada. A primeira é como uma rede aberta lançada em alto mar: o que cair, é lucro. Já na segunda, o target é escolhido a dedo.
Esse tipo de golpe, realizado majoritariamente via e-mail ou outras rede de comunicações eletrônicas, é direcionado a uma única pessoa ou departamento dentro de uma empresa específica. Isso significa que um bocado de engenharia social é empregado antes de ser colocado em prática.
Pesquisas em redes sociais disponibilizam os dados que serão utilizados: nomes de amigos, locais, hábitos, gostos e até tom verbal são estudados. As mensagens utilizadas nesse tipo de ataque costumam aparentar serem de fontes confiáveis, como colegas de trabalho, fornecedores ou empresas que o usuário já se comunica normalmente.
Como funciona o spear phishing corporativo?
Esses ataques são altamente personalizados e podem ser divididos em três estratégias mais frequentes, utilizadas pelos hackers para conseguir acessos, informações e até sequestro de dados. Além do roubo de dados, malwares também podem ser instalados no computador da vítima e contaminar toda a rede, inclusive softwares essenciais para a execução do trabalho.
Informações confidenciais são os alvos principais desses ataques, com o uso de e-mails semelhantes ao do emissor. Na prática, a troca de letras em domínios, nomes conhecidos de parceiros de outras companhias, em conjunto com informações aparentemente verídicas, diminuem a desconfiança de quem recebe a comunicação.
Top down
Ao receber um e-mail do CEO, contendo um anexo, executável ou até mesmo com uma pergunta simples, é incomum que o colaborador deixe de responder ou desconfie que algo esteja errado. Por isso, é importante verificar todos os e-mails recebidos, independente de quem seja o remetente.
Down up
Se passando por algum funcionário, principalmente aqueles que tenham um relacionamento próximo aos tomadores de decisão, os ladrões podem enviar arquivos contendo malware e/ou requisitar a liberação de algum acesso específico (como dados da folha de pagamento) para realizar edições em prol dos criminosos.
Recursos humanos
Se passando por alguém da companhia, como gerentes e diretores ou como fornecedores, os golpistas escolhem alvos do RH, buscando diretamente por dinheiro. Pedidos de alterações de contas bancárias para pagamento, mudanças de fornecedores e até invadir softwares de gerenciamento de folha de pagamento são algumas técnicas utilizadas.
Como proteger sua empresa desses ataques hackers?
As ameaças, riscos e golpes vão evoluindo em conjunto com a tecnologia. Ainda que o Spear Phishing não dependa exatamente de uma super potência tecnológica, as redes sociais, APIs e softwares como serviços (SaaS) ajudam esses criminosos a conseguirem informações.
Abaixo você encontra 4 dicas essenciais para proteger a sua empresa, e uma dica bônus!
1 – Programa de Proteção de Dados
Sendo as principais vítimas usuários finais e não a corporação como um todo, aplicar treinamentos frequentes ajuda a educar as equipes, para identificar e reagir em face a uma possível ameaça.
Um programa completo de proteção deve contar com políticas claras de permissão e acesso – assim, mesmo que uma pessoa seja vítima do golpe, as informações da companhia não ficarão acessíveis.
2 – Senhas fortes como obrigatoriedade
Ter uma política de proteção de dados inclui definir que senhas fracas não serão permitidas para login em quaisquer serviços empresariais. A troca periódica obrigatória também diminui as chances de invasões, principalmente por usuários que utilizam a mesma senha para diversos serviços.
Quaisquer dados vazados, incluindo os pessoais como e-mails e senhas usados em redes sociais, serão testados nas contas da empresa por golpistas.
3 – Mantenha seus softwares atualizados
Softwares desatualizados, ou pior: piratas, possuem brechas de segurança que são solucionadas em patches e atualizações. Caso não sejam instaladas, os riscos da invasões serem bem-sucedidas cresce exponencialmente.
Uma boa maneira de garantir que isso seja feito o mais rápido possível é automatizar a instalação, prioritariamente em períodos que os usuários comuns não estejam utilizando as máquinas – dessa forma, não se prejudica a produtividade de todos.
4 – Cuidado com informações disponibilizadas na web
Informações pessoais de funcionários e também da própria companhia são a fonte principal dos golpistas. É extremamente fácil juntar os pontos e descobrir quem trabalha na empresa, em qual cargo, com quais colegas e etc. Utilizar o LinkedIn, Facebook, Instagram e Twitter, quando não há uma política de citações acerca de informações da empresa, aumenta a vulnerabilidade.
Também é comum que departamentos de marketing e assessorias de imprensa liberem informações sem perceber que essas podem ser utilizadas por pessoas má intencionadas. Seja através de artigos ou de publicações em redes sociais, disponibilizar nomes próprios e informações que o grande público não deveria ter, é necessário se manter atento e verificar previamente o que será compartilhado.
Conte com um parceiro especializado para proteger seu negócio
As vezes, muitas falhas e riscos nem passam pela mente de gestores. Por isso, ter um parceiro que entenda todo o cenário da sua empresa e as ameaças do mercado, faz muita diferença. A StorageOne auxilia companhias de todos os portes e indústrias a fim de melhorar sua segurança e manter seus dados protegidos.