[av_image src=’http://www.proof.com.br/wp-content/uploads/2016/12/SPEAR-PHISHING-1210×423.jpg’ attachment=’6390′ attachment_size=’entry_without_sidebar’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

Tudo que você precisa saber sobre spear phishing

[/av_textblock]

[av_textblock size=” font_color=” color=”]
Ataques persistentes e sofisticados contra organizações governamentais e empresas de todos os tamanhos representam riscos para a segurança nacional e para a economia.

Enquanto isso, as campanhas de Spear Phishing se tornaram mais discretas, visando menos indivíduos dentro de um número menor de organizações.

Segundo o Global Threat Intelligence Report de 2016 da Dimension Data, Spear Phishing teve um salto de 2% em 2014 para 17% em 2015 nas categorias de incidentes de segurança identificados do ano.

No quadro geral, os ciberataques estão em constante crescimento e cada vez mais sofisticados. Consequentemente, o custo gerado quando encontram uma brecha é cada vez maior.

De acordo com o World Economic Forum’s 2016 Global Risks Report, o custo dos cibercrimes em 2016 está estimado em US$445 billhões (de dólares!).

Segundo o relatório ISTR (Internet Security Threat Report) 2016 da Symantec, em 2015 foram criados incríveis 430,5 milhões, um aumento de 36% em relação ao ano anterior . O que significa mais de 1 milhão e 179 mil novos malwares por dia!

O primeiro passo para se proteger dentro desse cenário preocupante é conhecer as ameaças, como elas funcionam, os perfis de risco, casos recentes e dicas de como evita-las!

O QUE É SPEAR PHISHING?

Spear Phishing são mensagens de e-mail, assim como o Phishing, mas dessa vez parecem vir de uma fonte confiável.

Mensagens de Phishing geralmente parecem vir de uma empresa grande e conhecida ou de um website com uma base de contatos extensa, como eBay ou Paypal, por exemplo.

Já no Spear Phishing, o e-mail parece ter sido enviado por um indivíduo ou empresa que você conhece, e mantém contato.

Não são apenas os websites que podem esconder exploits. Uma vulnerabilidade previamente desconhecida pode ser explorada para atacar uma organização usando um documento infectado no anexo de um email.

Esse ataque é conhecido como Spear Phishing, e conta com engenharia social para montar o email, de forma que ele pareça convincente.

Os emails de Spear Phishing são enviados em campanhas, para um grupo pequeno de pessoas, mas não todas ao mesmo tempo, são enviados individualmente ou quando pode atingir mais de uma pessoa da organização.

Com o tempo, exploits diferentes podem ser usados contra as mesmas pessoas, se os ataques anteriores não derem resultado. Porém, recentemente, os atacantes rapidamente mudam suas táticas após apenas algumas tentativas falhas, para se manter fora do radar.

Anteriormente, era mais provável que eles continuassem com usando exploits diferentes, ou atacando pessoas diferentes, mas dentro da mesma organização.

Resumindo, o Spear Phishing é uma tentativa de roubar informações pessoais como login, senhas, dados do cartão de crédito (e indiretamente, dinheiro), se passando por uma entidade conhecida e confiável, em uma comunicação eletrônica, como o email.

POR QUE É DIFERENTE DO PHISHING TRADICIONAL?

Ao contrário dos ataques isolados de Phishing, Spear Phishing é uma campanha, exige uma inteligência por trás de forma que o ataque seja direcionado, e tem um objetivo e alvo específicos.

Esses ataques são muito utilizados para obtenção de informações importantes, como dados bancários e informações corporativas. Se um funcionário for fisgado, o hacker pode ter acesso ao core de informações da organização.

Ataques de Spear Phishing são menos propensos a levantar suspeitas por serem campanhas menores, mais curtas e direcionadas para um número menor de pessoas.

Há um tempo atrás, uma campanha era direcionada para centenas de pessoas ou mais, qualquer um dos quais pode suspeitar e levantar a bandeira vermelha. Com menos pessoas, essa probabilidade é bastante reduzida.

Um ataque tradicional de Phishing pode ocorrer quando alguém manda uma mensagem para milhares de pessoas com o texto “Ai meu deus! Eu não acredito que você está nesse vídeo ” enquanto um ataque de Spear Phishing consiste em analisar cuidadosamente o alvo e seus hábitos.

Por exemplo, se você vai participar de algum evento em São Paulo, mas coloca no Facebook que está no Rio de Janeiro, um atacante pode te mandar a seguinte mensagem: “Oi João. Eu ouvi que você está indo para São Paulo na semana que vem. Enquanto você estiver lá, vale a pena visitar esse restaurante maravilhoso , tenho certeza de que você vai gostar!”

 

COMO O ATAQUE FUNCIONA

Segundo a Symantec, 91% dos ciber ataques começam com um email de Spear Phishing.

A fim de passar despercebidas, as campanhas de Spear Phishing aumentaram em número, mas agora são menores e com menos pessoas direcionadas em cada uma.

Segundo o ISTR, é esperado que em pouco tempo as campanhas de Spear Phishing vão consistir em um único alvo, ou um número seleto de indivíduos em uma mesma organização. 

Além disso, as campanhas maiores de Spear Phishing provavelmente serão conduzidas usando ataques watering hole, com websites comprometidos explorando vulnerabilidades zero-day altamente cobiçadas.

O QUE SÃO VULNERABILIDADES ZERO-DAY E WATERING HOLES

Um ataque watering hole é um exploit de segurança em que o atacante procura comprometer um grupo específico de usuários finais infectando sites que eles normalmente visitam. O objetivo é infectar o computador de um usuário-alvo e obter acesso à rede no local de trabalho do alvo.

O termo “zero-day” refere-se à natureza desconhecida da vulnerabilidade (menos para os hackers). Este ponto cego de segurança é então explorado por hackers antes que o servidor tenha conhecimento e possa corrigi-lo.

Dados do ISTR apontam um crescimento de 125% das vulnerabilidades ‘Zero-Day‘ em relação à 2013. A média de novas vulnerabilidades por semana passou de 24 em 2014 para 54 em 2015.

SPEAR PHISHING COMO RECURSO DOS ATAQUES APT

Spear phishing é o método mais usado em ataques de ameaça persistente avançada (APT). Os ataques APT usam malware sofisticado e campanhas sustentadas, multi-vetoriais e em várias etapas para alcançar um objetivo específico, ganhando acesso de longo prazo às redes, dados e ativos sensíveis de uma organização.

Ataques APT que entram em uma organização através Spear Phishing representam uma mudança clara na estratégia dos cibercriminosos.

Eles não precisam mais campanhas de spam em massa. O retorno de um ataque APT é bem maior se os criminosos direcionarem e-mails de Spear Phishing com precisão, e feitos sob medida de maneira a parecer completamente legítimos.

84% das organizações disseram que um ataque de Spear Phishing se concretizou em 2015. O impacto médio de um ataque bem-sucedido de Spear Phishing é de 1,6 milhões de dólares. As vítimas viram os preços de suas ações caírem 15%. (Fireeye White Paper – SPEAR-PHISHING ATTACKS WHY THEY ARE SUCCESSFUL AND HOW TO STOP THEM)

SERÁ QUE VOCÊ SE ENCAIXA NO PERFIL DE RISCO?

Esses tipos de ataques são normalmente direcionados a indivíduos específicos dentro das organizações. O objetivo é adquirir informações como nomes de usuários, senhas e detalhes do cartão de crédito (e indiretamente, dinheiro).

Em 2015, muitos ataques foram relacionados com fraude financeira e direcionado para executivos e o departamento financeiro. Os atacantes muitas vezes adquiriram um conhecimento detalhado da estrutura organizacional e realizaram engenharia social bem elaborada e ataques de Spear Phishing.

SETORES (INDÚSTRIAS) MAIS ATACADAS

O relatório ISTR (Internet Security Threat Report) 2016 da Symantec divulgou dados de uma pesquisa que mostram quais foram os setores mais alvejados por ataques de Spear Phishing.

Em 2015, o setor financeiro foi o alvo da maioria dos ataques, com 34,9% de todos os e-mails de Spear Phishing direcionados para empresas desse setor, 15% maior do que o ano anterior.

A probabilidade de uma empresa desse setor ser alvo de um ataque pelo menos uma vez no ano era 8,7% (aproximadamente 1 em cada 11 empresas).

A área de serviços ficou como alvo de 22% dos ataques de Spear Phishing, nessa mesma linha, o setor de manufatura ficou em terceiro lugar com 14% e o setor de transporte logo em seguida com 13%.

FUNCIONÁRIOS MAIS ATACADOS

Dados do ISTR apontam que o número de campanhas de Spear Phishing direcionados à funcionários cresceu 55% em 2015.

Outro relatório da Symantec mostra que indivíduos dos setores de Vendas e Marketing foram os maiores alvos em 2014, 1 em 2,9 deles seriam alvo pelo menos uma vez. Isso equivale a 35%.

Nessa mesma linha, os funcionários do setor financeiro ficaram em segundo lugar com 30%, e 1 a cada 3,3 sofreram ataques direcionados pelo menos uma vez no ano. A área de Operações ficou em terceiro lugar com 27% (1 a cada 3,8 funcionários).

Os gerentes foram o nível alvejado com maior frequência em 2014, com 1 em 3,8 deles sendo alvos pelo menos uma vez no ano – o que equivale a 26% dos indivíduos no nível gerencial.

O segundo nível mais direcionado foram os estagiários, com 25% e 1 em cada 3,9 dos estagiários seriam alvo desses ataques.

As pesquisas apontam que os usuários são o elo frágil dos esquemas de segurança, então os ataques são direcionados a eles.

Ataques de Spear-Phishing pelo tamanho da organização

Em 2015, uma organização do governo ou do setor financeiro que foi alvo de um ataque uma vez, era mais provável que ela fosse atacada novamente pelo menos mais três vezes durante o ano.

No geral, as grandes empresas que sofreram um ataque cibernético viram uma média de 3,6 ataques bem-sucedidos cada.

Nos últimos cinco anos, foi observado um aumento constante nos ataques dirigidos a empresas com menos de 250 funcionários, com 43% de todos os ataques dirigidos a pequenas empresas em 2015, provando que empresas de todos os tamanhos estão em risco.

Não é apenas empresas da Fortune 500 e nações-estado que estão em risco de ter seu IP roubado, até mesmo um serviço de lavanderia local pode ser um alvo. Em um exemplo, uma organização de 35 funcionários foi vítima de um ataque cibernético por parte de um concorrente.

O concorrente se escondeu em sua rede por dois anos roubando informações de clientes e preços, dando-lhes uma vantagem significativa.

Isso mostra que nenhum negócio é sem risco. Atacantes motivados puramente por lucro podem ser tão tecnicamente sofisticados e bem organizados como qualquer nação patrocinada pelos estados atacantes.

Os ataques contra as pequenas empresas continuaram a crescer em 2015, embora muitos desses ataques tenham sido dirigidos a um número menor de organizações, aumentando em 9 pontos percentuais.

Em 2015, 35% dos ataques de Spear Phishing foram direcionadas para empresas de grande porte (+2.500). 43% foram direcionados a empresas de pequeno porte (até 250 funcionários). E 22% para empresas de médio porte (de 251 a 2.500). 

CASES RECENTES

Spear Phishing virou notícia em 2011, quando um ataque na RSA, a divisão de segurança da EMC, foi descoberto. O ataque foi direcionado a apenas quatro indivíduos dentro da empresa.

Como a FireEye explica em um White Paper, um deles fez o download de uma planilha de Excel que foi cuidadosamente trabalhada pelos hackers com um cavalo de tróia que permitiu o acesso à rede corporativa através de uma vulnerabilidade zero-day no Adobe Flash.

O ataque de spear phishing foi o meio para iniciar a invasão e, em seguida, seguiu um movimento APT que permitiu os hackers roubarem as credenciais dos administradores e terem acesso a informações sobre clientes da Secure-ID incluindo Lockheed Martin e Northrop Grumman.

O potencial destrutivo dos ataques de spear phishing para as empresas é claramente evidenciado no caso da Ubiquiti Networks Inc., uma empresa americana. Em julho de 2015, a empresa perdeu U$46,7 milhões de dólares por causa de um email de Spear Phishing. Uma reportagem da U.S. Securities and Exchange Commission mostra que o atacante se passou por um funcionário da empresa e fez solicitações fraudulentas de uma empresa externa para o departamento financeiro. A fraude resultou em uma transferência de fundos que somaram U$46,7 milhões. As transferências foram realizadas diretamente por funcionários da Ubiquiti que foram enganados ao pensar que estavam recebendo pedidos legítimos de executivos graças a endereços de e-mail falsos e domínios parecidos.

Os ataques resultam em roubo de identidade, fraude financeira, roubo de propriedade intelectual ou espionagem. Os ataques mais recentes foram vinculados à espionagem afiliada a um Estado por uma causa política. De acordo com o último relatório Data Breach Investigations Report (DBIR) 2016 da Verizon, phishing foi o principal ataque utilizado nos incidentes de espionagem cibernética.

COMO SE PROTEGER

Segundo o White Paper da FireEye, “Spear-Phishing Attacks”, o impacto médio de um ataque bem-sucedido de spear phishing é de 1.6 milhões de dólares.

Os atacantes só têm que ter sucesso uma vez, enquanto as empresas devem bloquear cada tentativa de ataque para permanecerem seguras.

As empresas devem começar a pensar sobre o que fazer quando (e não “se”) tal violação ocorrer. A primeira dica, portanto, é: espere ser atacado. Não se, mas quando.

A segunda dica pode parecer óbvia, mas é extremamente importante. Troque suas senhas frequentemente. E não use a mesma senha para mais de um aplicativo, sistema ou website.

Terceiro, eduque seus colaboradores sobre o que é um email de Spear Phishing e como ele aparenta.

Uma plataforma de TI só é segura até onde os usuários fazem dela. Em outras palavras, você é tão seguro quanto o seu elo mais fraco. Por isso, os funcionários precisam ser treinados devidamente quando o assunto é segurança da rede. Conscientização de segurança deve ser a sua primeira linha de defesa contra todos os tipos de phishing, e até mais, contra ataques de spear phishing.

Cibercriminosos estão aumentando seus recursos para explorar qualquer informação pessoal descoberta através de engenharia social. Qualquer um pode virar um alvo de um ataque de Spear Phishing, então combater esse problema requer treinamentos de conscientização contínuos para todos os usuários para que eles sejam cuidadosos com o que eles compartilham e evitar revelar informações pessoais online para não se tornarem vítimas de roubo de identidade.

Por fim, a maioria das soluções tradicionais não está preparada para lidar com as ameaças avançadas, como ransomware, spear phishing, zero-day e APTs. Antes que um antivírus tradicional possa detectar e parar um ataque, o ransomware já criptografou todos os arquivos e bloqueou o acesso ao sistema. Nesse sentido, os softwares de próxima geração, ou next-generation antivírus, são as melhores ferramentas para proteger o negócio.

NGAV tem uma visão centrada no sistema de segurança de endpoint, examinando todos os processos em cada extremidade para detectar e bloquear as ferramentas, táticas, técnicas e procedimentos maliciosos usados pelos atacantes, através de algoritmos.

CONCLUSÃO

Podemos perceber que o Spear Phishing é uma ameaça recente, mas agressiva. E os riscos associados são substanciais.

O relatório DBIR 2016 da Verizon também compartilha conclusões interessantes sobre o número de usuários que abriram os e-mails de phishing em todas as campanhas, que por incrível que pareça é de 30% e, mais preocupante ainda, cerca de 12% abriram os anexos.

Isso mostra o despreparo que ainda existe, enfatizando a importância do treinamento e capacitação dos colaboradores no que diz respeito a identificação dos email de phishing (e, principalmente, Spear Phishing).

Afinal, a maioria dos ataques começam com um email mal intencionado. Especificamente, e-mails que utilizam engenharia social, como o Spear Phishing, é o favorito dos atacantes, por que é eficaz.

Por isso, é importante a conscientização sobre esse tema e continuar atento às mudanças do mercado de cibersegurança.
[/av_textblock]

[av_hr class=’default’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′]

[av_blog blog_type=’taxonomy’ link=’category,105′ blog_style=’blog-grid’ columns=’3′ contents=’title_read_more’ content_length=’content’ preview_mode=’custom’ image_size=’timeline-express’ items=’3′ offset=’0′ paginate=’no’ conditional=”]