Como se proteger de ataques de “spear phishing”

Estima-se que atualmente 1,2% de todos os e-mails enviados sejam maliciosos. O número pode não parecer grande coisa, mas significa 3,4 bilhões de mensagens com intenção criminosa por dia. E uma das formas mais tradicionais de fraude é o phishing, que busca induzir os usuários a fornecer informações pessoais ou abrir oportunidades de infecção de seus computadores.

De acordo com o FBI, várias formas de phishing representam quase 22% dos casos de violação de dados. Segundo a Verizon, 36% de todos os tipos de crimes digitais envolveram atividades de phishing, que ocorreram a cada 11 segundos em todo o mundo.

Uma das formas de golpes de phishing que mais cresce é o spear phishing, no qual os criminosos usam mensagens de e-mail personalizadas que parecem ser de um remetente confiável para infectar dispositivos com malware. Frequentemente usando técnicas de engenharia social, o spear phishing é difícil de defender apenas com meios técnicos – o que torna a educação do usuário essencial.

Um e-mail de spear phishing apresenta informações específicas do destinatário para aumentar as chances de convencê-lo a realizar uma ação (como clicar em um link e ter seu dispositivo infectado). Do nome do destinatário às informações pessoais obtidas na dark web, o objetivo é construir credibilidade e parecer legítimo - quando o golpe é descoberto pela vítima, muitas vezes já é tarde demais.

É comum pensar em atividades de spear phishing voltadas para o consumidor final, mas suas implicações para as empresas também podem ser muito relevantes. Invadir um dispositivo conectado a uma rede corporativa torna toda a rede vulnerável e abre a oportunidade para roubar dados internos ou informações do cliente. Em ambos os casos, as consequências podem ser devastadoras.

Como combater o spear phishing

O aspecto mais prejudicial do spear phishing é a dificuldade de combatê-lo. Por se tratar de mensagens direcionadas, que utilizam algumas informações obtidas nas redes sociais ou por meio de dados vazados, essa modalidade busca dar ao usuário uma sensação de segurança e credibilidade. Portanto, confiar nas proteções do sistema não é suficiente: a prevenção é a melhor ferramenta.

Para combater o spear phishing e impedir que criminosos acessem dados corporativos, as empresas precisam ter uma política clara e ativa de informação, prevenção e ataque a esse tipo de mensagem. Entre as principais ações, são indispensáveis:

Educação é essencial

O primeiro passo é informar todos os funcionários sobre o problema, explicar como os criminosos agem e mostrar que as táticas utilizadas não são legítimas pela empresa. Uma forma tradicional de spear phishing corporativo é enviar uma mensagem de alguém se passando por um funcionário sênior e pedindo ao funcionário que execute com urgência uma atividade incomum.

Outra iniciativa de verificação simples é verificar o endereço de e-mail do remetente da mensagem. Se o endereço não for o e-mail corporativo, existe uma grande possibilidade de ser um e-mail fraudulento. A linguagem também costuma passar por oficial (para passar credibilidade), mas acaba pedindo para você fazer algo inusitado.

O objetivo é estimular o funcionário a tomar uma decisão instintiva e emocional. Por mais que seja comum no ambiente corporativo realizar tarefas com urgência, elas acontecem no âmbito do negócio. Assim, um e-mail que busca fazer o destinatário clicar em um link externo à empresa tem grandes chances de ser uma fraude.

Trabalhe a integração

Como a situação inusitada é um dos indícios de spear phishing, é fundamental que os funcionários saibam o que pode ser pedido deles e o que certamente não será feito. Especialmente para novos funcionários, entender essa diferença pode ser complicado – mas é absolutamente necessário. Por isso, fique atento à integração dos profissionais, para que eles se atualizem rapidamente sobre as normas de segurança e regras de conduta da empresa. Tente desencorajar a abertura de e-mails em ambientes inseguros, como redes públicas, ou clicar e baixar anexos em mensagens de fontes desconhecidas.

Mantenha a infraestrutura de segurança atualizada

Mesmo que as equipes tenham muito conhecimento sobre como os criminosos operam no spear phishing, erros acontecem. Por distração ou em um momento de estresse, pode acontecer de um funcionário clicar em um link ou baixar um arquivo malicioso em seu dispositivo. Quando isso acontece, todo o sistema de defesa deve estar a postos para evitar danos.

Os sistemas antivírus e antimalware são itens básicos de segurança que não podem ser negligenciados. Utilizar recursos como autenticação multifator é uma medida importante para controlar o acesso a itens confidenciais, sensíveis ou importantes e conter ataques rapidamente.

Spear phishing e ATO

As áreas de segurança de dados corporativos precisam estar particularmente atentas ao spear phishing, pois isso pode ser a porta de entrada para outras atividades criminosas. Um exemplo importante é o uso de e-mails maliciosos para obtenção de dados que serão posteriormente utilizados em uma aquisição de conta (ATO), um tipo de fraude particularmente prejudicial para os negócios.

Os crimes de ATO geralmente passam despercebidos pelas tecnologias antifraude tradicionais, pois o uso de engenharia social, o roubo de cookies de dispositivos e a obtenção de credenciais fornecem aos criminosos uma riqueza de dados que lhes permite imitar o comportamento de dispositivos válidos.

Para identificar casos de ATO e evitar riscos aos negócios, os sistemas antifraude avançaram para usar recursos baseados em IA, além da verificação tradicional por meio de regras. A análise em tempo real dos dados sobre o comportamento dos usuários e seus dispositivos permite que o sistema corporativo identifique se as credenciais fornecidas são consistentes com os dispositivos comumente usados ou se o padrão de digitação das informações é consistente com as atividades anteriores daquele usuário legítimo específico.

Assim, a partir de centenas de pontos de autenticação do usuário, é possível criar uma espécie de impressão digital única e reconhecer possíveis focos de atividade criminosa. Esse tipo de proteção, baseado em uma série de fatores, reduz a possibilidade de a conta do usuário ser capturada por um criminoso e aumenta a proteção do negócio.

À medida que as técnicas de cibercrime evoluem, as empresas também devem atualizar suas defesas. Ao integrar recursos de verificação em tempo real com aprendizado de máquina, as empresas podem alcançar um nível significativamente mais alto de proteção contra ameaças e reduzir os riscos de negócios com até 99,9% de taxa de aprovação dos usuários.