Spear-Phishing: Hackear a mente e aceder à rede

O phishing é uma das formas mais comuns de cibercrime. Este tipo de ataque acontece quando um invasor tenta roubar informações importantes, como usernames, palavras-passe ou qualquer outro tipo de informação privada que depois é por ele utilizada ou vendida.  

Tal é normalmente feito através do envio de grandes quantidades de e-mails, mensagens de texto ou mesmo redes sociais, onde é necessária alguma informação e ação urgente por parte do utilizador. Quando se clica na ligação, a vítima é enviada para um falso sítio Web malicioso.  

O spear-phishing é um subconjunto dos ataques de phishing, em que, em vez de enviar grandes quantidades de mensagens de correio eletrónico ou de texto, o hacker identifica um alvo específico e envia mensagens de correio eletrónico bem pensadas para levar essa pessoa a agir. Estes ataques exigem mais esforço devido à necessidade de obter o máximo de informação possível sobre a vítima.  

A informação nestas mensagens de correio eletrónico pode mesmo conter o nome da vítima e o nome de familiares próximos da vítima, detalhes profissionais ou mesmo alguma emergência familiar. Tudo o que for necessário para criar um sentido de urgência que leve o utilizador a clicar na ligação.  

Números atuais 

Existem algumas estatísticas alarmantes que realçam o quão generalizados e prejudiciais estes ataques se tornaram:  

• Em 2023, quase 94% das organizações em todo o mundo enfrentaram ataques de spear-phishing. Este dado destaca a frequência com que os invasores usam táticas personalizadas para violar as defesas.  
• De acordo com o Relatório IBM’s Cost of a Data Breach de 2023, os ataques de spear-phishing podem custar às empresas uma média de 4,91 milhões de dólares, devido ao longo tempo em que muitas vezes não são detetados.  
• Os e-mails de spear-phishing têm uma taxa de sucesso mais elevada, com taxas de abertura de 50%, em comparação com apenas 12-14% para tentativas de phishing mais gerais.  
• Uma parte significativa das campanhas de spear-phishing, 43%, resulta em credenciais roubadas, de acordo com o Relatório Verizon Data Breach Investigations de 2022. Essas credenciais são frequentemente usadas para obter acesso mais profundo às redes da empresa, permitindo que os invasores ampliem ainda mais sua atuação.  
• O Relatório Internet Crime de 2022 do FBI destacou que o comprometimento de e-mails comerciais, geralmente iniciado por spear-phishing, resultou em mais de 2,7 bilhões de dólares em perdas somente em 2022.  
• Os e-mails de spear-phishing compreendem menos de 0,1% de todos os e-mails enviados, mas provocam 66% de todas as violações de dados.  
• Uma das razões pelas quais o spear-phishing é tão eficaz é a sua capacidade de explorar o erro humano. Um número impressionante de 85% dos ataques bem-sucedidos pode ser atribuído à manipulação da vítima. 

Como funciona  

Tal como acontece com quase todas as fraudes, o spear-phishing tem normalmente como objetivo ganhar grandes quantias de dinheiro. Podem fazê-lo enganando a vítima para que esta efetue um pagamento ou manipulando-a para que aceda a um site falso e forneça as suas credenciais.

No entanto, por vezes, as campanhas podem ter outros objetivos prejudiciais: 

• Espalhar malware – um intruso pode fazer-se passar por alguém de uma empresa para levar a vítima a clicar num anexo de um e-mail. Se a vítima clicar, o ficheiro instala automaticamente o malware.  
• Roubo de credenciais – em vez de obter as credenciais da sua conta bancária para roubar dinheiro, um cibercriminoso pode obter credenciais de acesso à sua empresa para encenar um ciberataque maior.  
• Roubo de informação – um atacante pode fazer-se passar por um colega e pedir-lhe alguns relatórios sensíveis. 

Depois de definirem os objetivos, os atacantes escolhem um alvo adequado para esse objetivo: Pode ser um homem rico se o objetivo for apenas dinheiro, mas também pode ser um funcionário informático específico para obter acesso a documentos confidenciais. Em seguida, o cibercriminoso pesquisa exaustivamente o alvo e elabora a mensagem de correio eletrónico. 

Exemplos do mundo real  

1- Fraude no Instituto de Gestão Financeira da Educação (iGeFe) em Portugal 

Em junho de 2024, deu-se uma fraude no iGeFe em que 2,5 milhões de euros foram transferidos para a conta bancária errada. Isto aconteceu em 3 transferências para um IBAN de outra entidade. O erro foi descoberto quando a empresa que prestava serviços informáticos ao iGeFe se queixou de não ter sido paga.  

Este foi um caso típico de fraude do CEO. O atacante fez-se passar pelo funcionário da empresa responsável pelo contrato e enviou um e-mail bem elaborado com referências, faturas e prazos de pagamento corretos, mas pediu que o pagamento fosse feito para outro IBAN. Este foi aceite sem a devida validação pelos serviços da vítima, pelo que o ataque foi bem sucedido. 

2- Fraude na fatura energética da Câmara Municipal de Viseu  

A Câmara Municipal de Viseu, em Portugal, foi vítima de um sofisticado esquema de fraude cibernética, que resultou num prejuízo de quase 600.000 euros.   

A fraude ocorreu quando os atacantes intercetaram uma fatura real da Galp Energia e fizeram as alterações necessárias para “registar” um novo IBAN da Galp na base de dados do Município. Este IBAN era do mesmo banco que o anterior, para não levantar suspeitas.  

A fraude foi detetada quando a Galp reparou que o pagamento não tinha sido efetuado com sucesso. A autarquia enviou uma cópia do pedido de pagamento, juntamente com o comprovativo de pagamento e o IBAN correspondente, para descobrir que o IBAN estava incorreto. Alguém tinha intercetado um documento da GALP e enviado ao município para alterar o IBAN. 

3- Spear-Phishing a fazer-se passar por embaixadores portugueses   

Em 2022, ocorreu um incidente internacional em que foram enviados emails, supostamente de Portugal, a vários embaixadores de países da NATO.  

Estes emails tinham o brasão de armas português e links para um ficheiro HTML malicioso. Para parecerem mais fiáveis, foram escritas em inglês e utilizaram sites de armazenamento comuns, como o Dropbox ou o GoogleDrive, para espalhar o malware. Quando a vítima clicava na ligação, era ativado o ficheiro malicioso que criava uma backdoor no computador. 

Prevenção  

Os ataques de phishing são notoriamente difíceis de defender porque as ferramentas tradicionais de cibersegurança muitas vezes não os identificam. O spear-phishing é ainda mais difícil de bloquear devido à sua abordagem altamente direcionada e personalizada, que faz com que as mensagens fraudulentas pareçam mais credíveis para os indivíduos (e também para algumas ferramentas). Em ambos os casos, podem ser criadas campanhas de formação para melhor identificar estes casos e denunciá-los, em vez de responder ou cumprir a mensagem.

Motivos que o podem fazer suspeitar de spear-phishing:  

• A mensagem/email cria um sentimento de urgência ou pânico.  
• Pedido de informações sensíveis.  
• Hiperligações mal escritas ou com um formato estranho que, quando se passa o rato por cima, não encaminham para o destino correto.  
• Anexos não solicitados  
• Pretextos, como dizer que as credenciais de início de sessão estão prestes a expirar.  

A formação e sensibilização para a segurança é fundamental para evitar qualquer tipo de ataque de phishing, especialmente quando muitos utilizadores trabalham a partir de casa. Mas mesmo os funcionários mais bem treinados e conscientes clicarão ocasionalmente num link malicioso, seja porque estavam com pressa ou porque o link era muito convincente. 

Para reduzir a probabilidade de um ataque de spear-phishing bem-sucedido, é necessário:  

• Ter sessões de formação que abordem técnicas de reconhecimento de emails suspeitos e dicas para evitar a partilha excessiva nas redes sociais. Estas estratégias dificultam o processo de obtenção de informações sobre si. 
• Redigir e cumprir políticas e processos para combater fraudes, como não abrir mensagens com anexos não solicitados.  
• Ter em vigor a gestão de identidade e acesso, como o controlo de acesso baseado em funções e a autenticação multifactor, que podem impedir os cibercriminosos de obterem acesso às contas dos utilizadores.  
• Analisar as propriedades das mensagens recebidas, incluindo os cabeçalhos de segurança e o anexo, para detetar algo malicioso.  
• Efetuar esporadicamente simulações de phishing e spear-phishing. 

Conclusão

Em suma, o spear-phishing continua a ser uma ameaça no panorama da cibersegurança, como evidenciado pelo seu impacto generalizado e consequências financeiras. A sua natureza personalizada e a capacidade de explorar o erro humano tornam-no particularmente perigoso, sendo que muitos dos ataques bem sucedidos podem ser promovidos pela manipulação da vítima.  

Para combater eficazmente estes ataques, as organizações e os indivíduos devem adotar estratégias de prevenção robustas: programas de formação abrangentes, políticas de segurança rigorosas e a implementação de tecnologias avançadas.  

Com o cenário de ameaças a continuar a evoluir, a formação contínua e a adaptação das práticas de segurança são cruciais para manter defesas fortes contra estas ciberameaças.