O phishing foi o cibercrime mais comum relatado ao Internet Crime Complaint Center(nova janela) em 2024. Escrevemos sobre o que é phishing e demos alguns exemplos de e-mails de phishing convincentes em nosso blog, mas os cibercriminosos estão sempre ajustando seus ataques para maximizar seu retorno.

Uma versão mais eficaz de phishing é quando os invasores visam pessoas específicas, o que é chamado de whaling ou spear phishing. Enquanto o phishing pode visar indivíduos ou empresas, o whaling e o spear phishing visam especificamente aqueles dentro de uma empresa. É importante entender a diferença entre esses termos, bem como identificá-los e proteger-se contra eles.

Qual é a diferença entre whaling, phishing e spear phishing?

Phishing é um método que hackers usam para enganar você para que compartilhe informações confidenciais com eles. Se você já recebeu um e-mail suspeito de um serviço como Amazon, Google ou PayPal informando que sua conta foi congelada, você foi alvo de uma tentativa de phishing. Esses ataques são amplos e visam obter o maior número possível de respostas. Você os receberá em seu endereço de e-mail pessoal, bem como em seu endereço de e-mail profissional.

Ataques de spear phishing e whaling usam as mesmas táticas do phishing, mas as implantam em um conjunto muito menor e específico de alvos dentro de uma empresa. Ambos os tipos de ataque se enquadram amplamente na categoria de phishing, mas vale a pena entender como o alvo de um hacker afeta as táticas que ele usa.

O que é spear phishing?

Spear phishing pega as mesmas técnicas amplas usadas para ataques de phishing e as adapta a indivíduos específicos. Os indivíduos visados por spear phishing geralmente trabalham em departamentos jurídicos ou financeiros, dando-lhes acesso a dados particularmente confidenciais e valiosos.

De acordo com pesquisa publicada pela Barracuda Networks(nova janela), mais de 80% dos ataques de spear phishing envolvem personificação de marca. Após analisar 360.000 e-mails de phishing ao longo de três meses, a empresa descobriu que Microsoft e Apple são as marcas mais personificadas, com ataques mais propensos a ocorrer entre terça e quinta-feira e aumentar em torno de eventos como a temporada de impostos. Esse nível de planejamento por parte dos golpistas fala sobre o quão de perto eles estudam os funcionários e planejam seus ataques.

O relatório sugere que as três principais linhas de assunto usadas por ataques de spear phishing são alguma variação do seguinte:

  1. Solicitação
  2. Acompanhamento
  3. Urgente/Importante

Não é surpreendente que as linhas de assunto criem um senso de urgência ou a impressão de que você já esteve em contato com o remetente. Também pode haver motivações políticas para ataques de spear phishing. Em 2024, a Microsoft divulgou inteligência(nova janela) sobre a interferência iraniana na eleição dos EUA. A conta do Microsoft Hotmail de um ex-conselheiro sênior foi comprometida para lançar um ataque visando um oficial de alto escalão em uma campanha presidencial.

O que é whaling?

Onde o spear phishing visa vários indivíduos de alto nível, o whaling visa… bem, baleias. O whaling é efetivamente um spear phishing direcionado a um alvo muito valioso, como um CEO ou CFO. Esses ataques são altamente personalizados e meticulosamente pesquisados. Cibercriminosos podem ganhar dinheiro, além de potencialmente obter acesso a dados confidenciais, como PI ou informações de investidores, chantagear seus alvos e causar enormes danos à reputação.

Ataques de whaling levam meses, se não anos, para serem planejados de forma eficaz, e os criminosos visam empresas que passam por eventos turbulentos para explorar o caos. Em 2015, invasores visaram executivos de nível C na Mattel com um elaborado ataque de whaling(nova janela) enquanto a empresa estava reestruturando e mudando sua política de pagamento. Uma executiva financeira recebeu uma nota do novo CEO da empresa solicitando um novo pagamento a um fornecedor na China, um país para o qual a Mattel estava tentando expandir. Seguindo as mudanças na política de pagamento, as transferências exigiam aprovação de dois gerentes de alto escalão dentro da Mattel, então a destinatária deu sua aprovação e a transferência foi feita. Só depois que o dinheiro sumiu a executiva mencionou o pagamento ao novo CEO, que não havia feito a solicitação.

Graças ao fato de 1º de maio ser um feriado bancário na China, a Mattel conseguiu congelar a conta que continha os fundos roubados, e o dinheiro foi recuperado em dois dias. Mas esse ataque altamente direcionado poderia ter custado à Mattel US$ 3 milhões com um único e-mail.

Whaling vs spear phishing

Para resumir as diferenças entre os três tipos de ataques:

PhishingVisa todos com ataques genéricos
Spear phishingVisa pessoas específicas com ataques específicos
WhalingVisa VIPs e líderes empresariais com ataques personalizados

A especificidade do alvo dita a quantidade de pesquisa e direcionamento que vai em cada ataque. Mas não importa o tipo de ataque, há um processo semelhante que os hackers seguirão para planejar e executar.

Qual é o processo de um ataque de whaling ou spear phishing?

  1. Reconhecimento: O hacker pesquisa seu alvo examinando sua presença on-line para criar um perfil dos prováveis gatilhos de resposta do alvo. Isso inclui perfis de mídia social, sites de negócios e qualquer outro lugar onde seu alvo possa aparecer on-line. Eles também usarão corretores de dados e potencialmente a dark web para obter informações pessoais.
  2. Criando a isca: O hacker então monta um plano de ataque. Ele criará um e-mail projetado para convencer seu alvo de que é um colega, um serviço de terceiros ou uma agência governamental. Ele coletará o máximo de informações possível para enganar seu alvo, possivelmente fazendo phishing mais amplo dentro da empresa.
  3. Entrega: Os invasores enviarão o e-mail personalizado ao seu alvo. Pode parecer uma fatura e conter um link para um site malicioso, convidando o leitor a inserir detalhes de pagamento, ou uma solicitação do departamento de TI da empresa para logins e senhas.
  4. Exploração: O e-mail pode estar carregado com malware ou ransomware, vincular a um site falsificado ou pedir credenciais, informações confidenciais ou pagamentos. Existem várias maneiras de os hackers explorarem sua rede depois de obterem acesso, como estabelecer acesso backdoor e dar a si mesmos privilégios de administrador.
  5. Impacto: Se o ataque for bem-sucedido, o hacker continuará fazendo phishing para obter mais acesso ou começará a fazer transações, baixar dados ou assumir o controle de contas. A empresa enfrenta perda financeira, uma violação de dados, danos à reputação ou tudo isso acima.

Os ataques vêm em muitas formas, tornando difícil estar sempre em guarda. Em geral, quanto mais sênior for sua função ou quanto mais dados confidenciais você tiver acesso, mais importante a verificação se torna.

Como você pode se proteger contra ataques?

Existem duas partes para se proteger contra ataques cibernéticos: a infraestrutura da sua empresa e sua própria conscientização.

Primeiro, vamos ver o que você pode fazer pessoalmente.

  • Confie, mas verifique. Se você receber uma solicitação referente a um pagamento ou concessão de acesso a dados confidenciais, falar com a pessoa que supostamente lhe enviou a solicitação é sua melhor aposta. Se você já conheceu a pessoa, ligue para ela ou fale com ela cara a cara e confirme se a solicitação é legítima. Se não, verifique sua identidade por meio de canais confiáveis, como um colega com conexões ou um indivíduo de alto escalão em sua empresa.
  • Não deixe a urgência empurrá-lo para cometer um erro. Os fraudadores usam urgência falsa para encorajá-lo a tomar uma decisão rápida. Você não se arrependerá de esperar para verificar uma solicitação, mas pode se arrepender de não verificar uma.
  • Verifique o endereço de e-mail do remetente com atenção. Quando um hacker faz parecer que seu e-mail está vindo de um remetente legítimo, isso é chamado de falsificação de e-mail. Certifique-se de que o nome de domínio esteja correto e que não haja erros de ortografia no próprio endereço de e-mail. Saiba mais sobre como se proteger contra falsificação de e-mail (spoofing).

  • Eduque sua equipe sobre os riscos de ataques de phishing. Um único e-mail de phishing bem-sucedido pode ter consequências devastadoras para uma empresa.

Estar ciente de ameaças potenciais não significa suspeitar de cada e-mail que você recebe, mas significa garantir que você esteja tomando medidas para proteger a si mesmo e ao seu local de trabalho.

Como a Proton ajuda você a reduzir seu risco

Outra maneira eficaz de proteger seu local de trabalho é adotando ferramentas seguras e criptografadas de ponta a ponta que ajudam você a manter o controle de seus dados:

  • O Proton Pass é um gerenciador de senhas seguro que ajuda você a criar, armazenar e gerenciar senhas corporativas. Permitir que sua equipe compartilhe suas credenciais com segurança ajuda todos a identificar solicitações ilegítimas de inícios de sessão ou dados — se alguém for solicitado a enviar uma senha por e-mail em vez de compartilhá-la com segurança no Proton Pass, poderá sinalizar a solicitação como suspeita. Você também pode garantir que, se seus dados aparecerem na dark web, você seja imediatamente alertado para que possa tomar medidas para evitar tentativas de phishing.
  • O Proton Mail é um e-mail seguro e calendário que mantém os e-mails da sua empresa protegidos. Nossa proteção avançada contra phishing, o PhishGuard, defende você contra tentativas de phishing sinalizando endereços de e-mail potencialmente falsificados. Qualquer início de sessão suspeito ou alteração na conta é identificado e sinalizado para você automaticamente, e a proteção de links ajuda você a ver URLs completas antes de abri-las para evitar abrir acidentalmente um link de phishing.

Se você está pronto para proteger a si mesmo e sua empresa contra ataques de whaling, spear phishing e phishing, comece hoje vendo qual plano Proton é melhor para você.