O que é spear phishing?

Atualizado em: 01 Oct, 2019
Por Gatefy

O que é spear phishing

Spear phishing é um ataque de e-mail altamente direcionado. É um tipo de golpe que tem como alvo uma empresa, agência ou indivíduo específico. Para cometer a fraude, o invasor cria uma história falsa e se faz passar por uma pessoa conhecida ou uma marca confiável.

O objetivo de um ataque de spear phishing é roubar informações confidenciais, ter acesso aos dispositivos da vítima ou à rede da empresa onde ela trabalha, ou ainda persuadi-la a enviar dinheiro ou pagar boletos bancários que não existem.

Spear phishing e phishing

Nós gostamos de dizer aqui na Gatefy que o spear phishing é a evolução do phishing. Basicamente, a diferença entre eles é o número de pessoas envolvidas na fraude.

Golpes de phishing são geralmente campanhas massivas. O criminoso cria um e-mail falso e o envia para milhares ou milhões de usuários ao mesmo tempo. Agora você pode perceber porque o phishing é tão popular entre os cibercriminosos.

Já o spear phishing é o oposto. É uma fraude bem planejada, destinada a um alvo específico. É por isso que os esquemas de spear phishing utilizam muito engenharia social. Os fraudadores investigam as suas vítimas o máximo possível. Eles fazem um raio-X dos seus alvos, estudando os interesses, as preferências e a rotina deles. 

Por quê? Para ter mais chances de sucesso, claro.

Como funciona um ataque de spear phishing

Mentir, manipular, persuadir, falsificar e usar anexos maliciosos e URLs maliciosas são algumas das ferramentas utilizadas por fraudadores em golpes de spear phishing. A grande questão é que para ter sucesso eles precisam contar com a falha humana, ou também chamado “fator humano”.

Vamos usar o exemplo da RSA, uma empresa de segurança, para ilustrar. O hacker fingiu ser um funcionário da empresa e enviou um e-mail com um documento anexado a um grupo de funcionários. O assunto do e-mail era "Plano de Recrutamento". O problema: o anexo continha um arquivo malicioso. E agora você pergunta: qual foi o prejuízo? Estima-se que a RSA gastou USD 66 milhões. O caso aconteceu em 2011.

Este é apenas um exemplo. Existem inúmeros outros casos e, ao contrário do que as pessoas imaginam, o spear phishing não atinge apenas as grandes empresas. Pequenas e médias empresas têm sido cada vez mais visadas por esse tipo de ataque.

Os tipos mais comuns de spear phishing são conhecidos como Business Email Compromise (BEC), CEO Fraud e Whaling. Os nomes são usados de forma intercambiável e referem-se a ameaças destinadas a funcionários de empresas e executivos C-level.

Como evitar spear phishing

Procure por um software de proteção de e-mail, com sandbox, antispam, antivírus e mecanismos avançados de defesa. Ele vai ajudar a sua empresa a filtrar e bloquear spam, malware e outras ameaças. Além disso, você deve investir em conscientização. Treine a sua equipe para reconhecer as principais características de ataques de spear phishing e de phishing.