No começo deste ano, a seguradora de saúde Anthem Inc. relatou ter sofrido uma grande violação na qual 80 milhões de membros foram afetados. De acordo com relatórios, os agressores executaram um ataque direcionado sofisticado para obter acesso não autorizado ao sistema de TI da Anthem e obter registros de informações pessoais armazenados nele. Embora algumas pessoas saibam um pouco sobre violações de dados corporativos, muitos poucas sabem como eles realmente funcionam ou os métodos que os cibercriminosos usam para executar um ataque.
Em um ataque direcionado, os agressores têm um certo nível de conhecimento e têm recursos suficientes para executar seus esquemas durante um longo período de tempo. Nos casos em que a violação resultou de fato de um ataque direcionado, é importante saber que os agressores podem adaptar, ajustar e melhorar seus ataques para combater as defesas de suas vítimas.
Os agressores usam várias técnicas de engenharia social se aproveitando de eventos recentes, questões relativas ao trabalho e outras áreas de interesse relacionadas ao alvo pretendido. Técnicas como o uso de backdoors, explorações de software ou dia-zero, watering hole e spear phishing são os métodos mais comuns usados para obter informações.
Embora o phishing e o spear phishing usem técnicas similares , não devem ser confundidos. O phishing é um ataque geralmente exploratório que visa um público mais amplo, enquanto o spear phishing é uma versão direcionada do phishing. Eles são diferentes no sentido de que o phishing é um ataque mais direto – depois que os agressores roubam uma informação, como credenciais de banco, já têm o que pretendiam obter. No spear phishing, o roubo bem-sucedido de credenciais ou informações pessoais é, muitas vezes, apenas o começo do ataque porque a informação só é usada para obter acesso à rede do alvo – um passo que no fim leva ao ataque direcionado.
O que é Spear Phishing?
Como mencionado acima, o spear phishing é uma forma direcionada do phishing, onde emails fraudulentos visam organizações específicas tentando obter acesso a informações confidenciais. Suas táticas incluem personificação, aliciamento e técnicas de desvio de controle de acesso como email, filtros e antivírus. No final o objetivo do spear phishing e do phishing é o mesmo – enganar o alvo para que ele abra um anexo ou clique em um link malicioso incorporado.
Em um caso recente, uma campanha de spear phishing fingia ser da Electronic Frontier Foundation (EFF). Baseado em relatórios, um novo domínio mascarado como um site oficial da EFF. A campanha enganou os usuários em um email spear phishing, dando uma falsa sensação de confiança. Como foi identificado pela Trend Micro, o incidente parece ser parte de um ataque maior conhecido como Pawn Storm, uma campanha de ataque direcionado que foi associada ao governo russo.
Esse ataque esclareceu um incidente envolvendo o envio de emails spear phishing para apenas três funcionários do departamento legal de uma firma multinacional bilionária. Felizmente, ninguém clicou nos links maliciosos. Foi constatado que a empresa estava envolvida em uma disputa legal crítica e, assim, o ataque refletiu o motivo claro de espionagem econômica dos agressores.
Como o Spear Phishing funciona?
O spear phishing foca em indivíduos ou funcionários específicos dentro de uma organização e contas em mídia social, como Twitter, Facebook e LinkedIn para personalizar especificamente emails precisos e atraentes. Esses emails contêm anexos e links infectados. Uma vez que o anexo é aberto, executa um malware que leva o alvo a um site específico. Os agressores podem então estabelecer suas redes e seguir em frente com o ataque direcionado.
Defendendo-se contra Spear Phishing
Qualquer forma de phishing pode no final levar ao comprometimento de dados sensíveis. Se ignorado, uma empresa pode sucumbir a um ataque direcionado, que pode resultar em violações de dados, como foi visto em incidentes notáveis como os que afetaram o banco JP Morgan, as lojas Home Depot a Target – todos atribuídos a spear phishing. Consequentemente, essas empresas perderam milhões de dólares junto com registros de clientes roubados.
De modo semelhante a esses recentes incidentes de violação de dados, muitas empresas de médio porte estão sendo alvo juntamente com empresas maiores, pois os agressores as veem como porta de entrada para corporações maiores. Além disso, devido às equipes de TI relativamente menores em pequenas empresas, é mais fácil para os agressores as visarem já que provavelmente têm uma infraestrutura de segurança menor.
Como os emails são o ponto de entrada mais comum para os ataques direcionados, é importante proteger essa área contra prováveis ataques de spear phishing. Ensinar os funcionários é fundamental para combater diferentes técnicas de phishing. Treinar os funcionários para identificar erros ortográficos, vocabulário estranho e outros indicadores de emails suspeitos pode evitar um ataque de spear phishing. Além disso, as grandes empresas precisam de uma solução de segurança expandida e em camadas que forneça aos administradores de rede a visibilidade, o insight e o controle necessários para reduzir o risco de ataques direcionados, independentemente do vetor de escolha.
A Defesa Personalizada da Trend Micro detecta, analisa e responde rapidamente aos ataques direcionados avançados. Para se defender contra o spear phishing, o Deep Discovery Email Inspector ajuda a identificar e bloquear emails de spear phishing, na fase inicial da maioria dos ataques direcionados. Ele reduz os riscos de ataques adicionando uma camada de inspeção transparente que descobre conteúdo, anexos e linksde URLs maliciosos, que passam despercebidos pela segurança padrão de email.
A Trend Micro Smart Protection Suite combina uma ampla gama de recursos de proteção de ameaças de endpoints e móveis, inclusive proteção de ataque de engenharia social, inspeção de host recém nascido e um mecanismo de verificação de ameaças avançadas para proteger emails.
Saiba como a proteção do email pode bloquear ataques direcionados no infográfico anexo.