Phishing de lança

Por que confiar em nós

Phishing de lança é um tipo de ataque cibernético de engenharia social que tem como alvo um indivíduo específico ou um pequeno grupo de indivíduos. Dessa forma, saiba o que é e como funciona o Phishing de lança no artigo a seguir.

O que significa phishing de lança?

O objetivo desse tipo de exploração mal-intencionada é induzir a vítima a realizar uma ação desejada em nome do invasor.

Antes de entrar em contato com a vítima, o phisher de lança investe tempo coletando informações sobre a vítima pretendida em sites de empresas e bancos de dados públicos, bem como no LinkedIn e em outras plataformas de mídia social.

A pesquisa é usada para fornecer detalhes que ajudarão o atacante a se passar por uma pessoa ou organização confiável com a qual o alvo esteja familiarizado. Foi demonstrado que essa estratégia aumenta significativamente a probabilidade de o destinatário realizar a ação desejada.

Phishing de lança vs. Phishing

O phishing, que é um dos vetores de ataque mais populares para os criminosos cibernéticos, é menos personalizado do que o phishing de lança.

Em vez de lançar uma rede ampla e enviar mensagens de phishing em massa, um phisher de lança se passará por uma pessoa ou entidade específica que o alvo conhece e confia e usará os nomes dos colegas, supervisores ou parceiros de negócios do alvo para fazer com que suas mensagens pareçam legítimas.

O nível de personalização pode ser profundo e fazer referência a eventos recentes, experiências compartilhadas, jargões da empresa ou projetos internos para tornar o ataque mais convincente.

O esforço extra que o atacante emprega para personalizar sua correspondência dificulta a identificação de mensagens fraudulentas de phishing de lança. Esse também é o principal motivo pelo qual esse tipo de ataque tem, estatisticamente, três vezes mais chances de ser bem-sucedido do que as explorações de phishing comuns.

 

Phishing  Phishing de lança 
A mensagem do atacante parece ser de alguém em uma empresa ou organização conhecida.   A mensagem do invasor parece ser de uma pessoa ou entidade específica que o alvo conhece e confia. 
O conteúdo de uma mensagem de phishing é genérico e pode se aplicar a muitas pessoas.    O conteúdo de um e-mail de phishing de lança é personalizado especificamente para o destinatário. 
O invasor envia mensagens em massa na esperança de fazer com que pelo menos um destinatário realize a ação desejada.   O atacante envia mensagens a um indivíduo que tem o poder de realizar a ação desejada.   

 

Tipos de ataques de phishing de lança

Há muitos tipos diferentes de ataques de phishing de lança. Alguns dos vetores de ataque mais comuns incluem:

Comprometimento de e-mail comercial (BEC – do Inglês, Business Email Compromise): Esse tipo de ataque envolve o envio à vítima potencial de um e-mail altamente personalizado que parece ser de um parceiro comercial ou fornecedor legítimo.

Ataque watering hole (buraco de água): Esse tipo de ataque envolve a infecção de um site que a vítima visita com frequência e, em seguida, a entrega de uma mensagem que instrui a vítima a visitar o site por algum motivo que pareça legítimo.

Smishing: esse tipo de ataque usa mensagens de texto (SMS) para entrar em contato com a vítima por meio de um dispositivo móvel.

Vishing: esse tipo de ataque usa mensagens de voz para entrar em contato com a vítima. O autor da chamada pode usar clonagem de voz com inteligência artificial (IA) para se passar por alguém que a vítima conhece e induzi-la a fornecer informações confidenciais por telefone.

Fraude de CEO: Nesse tipo de ataque, o criminoso cibernético se passará por um executivo de alto escalão em uma organização para fazer com que a vítima realize uma ação que ela se recusaria a fazer para alguém que estivesse em um nível mais baixo no totem organizacional.

Whaling (caça à baleia): Nesse tipo de phishing de lança, o invasor vai atrás dos “peixes grandes” de uma organização. Esses indivíduos geralmente têm privilégios de alto nível e acesso a dados confidenciais e críticos.

Explorações bem-sucedidas de phishing de lança

Exemplos famosos de ataques bem-sucedidos de phishing de lança incluem:

  • Hack do Yahoo: em 2013, os criminosos cibernéticos lançaram um ataque de phishing de lança em um funcionário do Yahoo que resultou no roubo de informações pessoais de mais de 3 bilhões de usuários.
  • Violação de dados da Target: Em 2013, os hackers lançaram um ataque bem-sucedido de phishing de lança na Target, uma grande varejista dos EUA, enganando um funcionário de um fornecedor externo para que clicasse em um e-mail malicioso.
  • Violação de dados da Home Depot: Em 2014, os criminosos cibernéticos usaram táticas de phishing de lança para comprometer as credenciais do fornecedor e penetrar nos sistemas internos de TI do varejista. Uma vez dentro da rede, os invasores instalaram um malware personalizado que coletou informações pessoais e financeiras de 7.500 registros de autoatendimento da The Home Depot.
  • Hack da Sony Pictures: em 2014, criminosos cibernéticos de estado-nação lançaram um ataque bem-sucedido de phishing de lança contra executivos da Sony Pictures Entertainment. Os invasores conseguiram roubar chaves de servidor e mais de 100 terabytes de dados.
  • Violação de dados da Anthem: Em 2015, os criminosos cibernéticos lançaram um ataque de phishing de lança em um pequeno grupo de funcionários que trabalhavam para uma subsidiária da Anthem, uma empresa de seguro de saúde nos Estados Unidos. Os invasores conseguiram roubar informações pessoais de mais de 78 milhões de pessoas.

Como evitar que um ataque de phishing de lança seja bem-sucedido

Em maio de 2023, um provedor de segurança baseado em nuvem chamado Barracuda compartilhou os resultados de sua pesquisa sobre phishing de lança. Das 1.350 organizações pesquisadas, metade havia sofrido um ataque de phishing de lança em 2022 e 39% relataram ter sofrido perdas monetárias diretas como resultado desse tipo de ataque.

Para evitar que os ataques de phishing de lança sejam bem-sucedidos, todos precisam seguir as práticas recomendadas de segurança cibernética e ser extremamente cautelosos ao clicar em links em e-mails não solicitados.

É importante verificar a identidade do remetente antes de responder a solicitações urgentes de transferência de fundos ou a solicitações incomuns de informações pessoais e/ou financeiras confidenciais.

As organizações legítimas geralmente têm canais seguros para essas solicitações e não dependem apenas de e-mails, mensagens de texto ou ligações telefônicas não solicitadas.

A prevenção de phishing de lança requer defesas tecnológicas, comportamento vigilante do usuário final e educação regular sobre as ameaças mais recentes.

Aqui estão algumas dicas adicionais para evitar ataques de phishing bem-sucedidos contra indivíduos específicos ou pequenos grupos de indivíduos:

  • Verifique a ortografia do domínio. Muitas tentativas de phishing de lança vêm de nomes de domínio que têm uma letra a menos em relação a um site confiável.
  • Passe o mouse sobre os links antes de clicar para ver se o URL é realmente de um domínio legítimo.
  • Certifique-se sempre de que os URLs dos sites (especialmente aqueles que exigem que o usuário forneça senhas ou outros dados confidenciais) comecem com HTTPS e não apenas HTTP. O “s” significa seguro.
  • Evite inserir dados pessoais em módulos pop-up de páginas da Web. Empresas legítimas geralmente não solicitam informações confidenciais dessa forma.
  • Não confie em comunicações não solicitadas. Desconfie de ligações telefônicas, e-mails ou mensagens de texto inesperados que exijam uma resposta urgente. Em caso de dúvida, entre em contato diretamente com uma empresa ou indivíduo para confirmar que uma solicitação de ação é legítima.
  • Implemente mecanismos de segurança para restringir a execução do whoami e de outros programas utilitários de linha de comando com base nas funções do usuário.
  • Mantenha-se atualizado sobre as mais recentes estratégias e técnicas de phishing.

Margaret Rouse
Technology expert
Margaret Rouse
Especialista em Tecnologia

Margaret é uma premiada redatora e professora conhecida por sua habilidade de explicar assuntos técnicos complexos para um público empresarial não técnico. Nos últimos vinte anos, suas definições de TI foram publicadas pela Que em uma enciclopédia de termos tecnológicos e citadas em artigos do New York Times, Time Magazine, USA Today, ZDNet, PC Magazine e Discovery Magazine. Ela ingressou na Techopedia em 2011. A ideia de Margaret de um dia divertido é ajudar os profissionais de TI e de negócios a aprenderem a falar os idiomas altamente especializados uns dos outros.