Os ataques de phishing não são novidade. No entanto, nos últimos anos, houve um aumento acentuado em um tipo específico: phishing baleeiro. Embora o phishing tradicionalmente lance uma rede ampla, visando qualquer indivíduo desavisado, a caça às baleias persegue os peixes grandes: executivos de alto escalão e líderes seniores de uma organização. Esses ataques exigem mais tempo, esforço e conhecimento técnico dos invasores, mas as recompensas são muito maiores.
Os ataques de caça às baleias são normalmente mais sofisticados, usando métodos como personificações de CEO, tecnologia deepfake e spearphishing direcionado. Números recentes indicam que 89% dos e-mails de phishing agora envolvem a representação de alguém familiar ao destinatário. Cerca de 16% desses e-mails envolvem o invasor se passando por colega. No caso da caça às baleias, isto significa visar um executivo ou alguém com acesso a recursos críticos, como contas bancárias.
O custo de ser vítima de um ataque de phishing pode ser significativo. O FBI relatou US$ 52 milhões em perdas de golpes de phishing somente em 2022. Esses custos são suportados não só pelas empresas, mas também pelos seus clientes, para não mencionar os recursos que precisam de ser gastos na prevenção.
Estes tipos de ataques são difíceis de ignorar, dada a escala potencial dos riscos financeiros e de reputação envolvidos. Para as empresas, no entanto, oferecem uma oportunidade de reorientar os esforços na proteção dos alvos mais valiosos nas suas organizações. Neste artigo, exploraremos esta tendência crescente e ofereceremos conselhos práticos sobre como as organizações podem reforçar as suas defesas.
Por que a caça às baleias está em alta?
O phishing geralmente lança uma rede ampla, com os invasores contando com o tamanho de sua lista de e-mails para que uma vítima inocente clique em um link. Em contraste, o phishing baleeiro é altamente direcionado e personalizado. Os invasores dedicam algum tempo para pesquisar suas vítimas.
Isso inclui coletar detalhes pessoais, compreender suas responsabilidades comerciais, analisar hábitos de e-mail e criar conteúdo altamente personalizado para enganar os destinatários. Este nível de esforço pode parecer trabalhoso, mas compensa significativamente quando é bem-sucedido.
Afinal de contas, a caça às baleias tem como alvo indivíduos com o poder de aprovar transferências financeiras ou de aceder a dados empresariais sensíveis, tornando-os candidatos principais a agentes maliciosos que procuram grandes recompensas. Da mesma forma, é potencialmente menos provável que os executivos tenham passado por um treinamento completo em detecção de ameaças e, por estarem muito ocupados, são mais propensos a ignorar sinais reveladores de fraude.
Um caso que destaca a crescente sofisticação dos ataques baleeiros ocorreu em 2023, quando uma empresa multinacional em Hong Kong foi fraudado em US$ 25 milhões por meio de videochamadas falsas representando o CFO e outros executivos corporativos importantes. Um gestor financeiro com acesso aos fundos foi induzido em erro ao transferir esta grande quantia de dinheiro, aparentemente a mando dos patrões.
Esses ataques muitas vezes dependem de manipulação emocional, criando urgência ou explorando relações comerciais para induzir as vítimas a tomarem decisões impulsivas, como autorizar transferências eletrônicas ou fornecer detalhes de login confidenciais. Em um ambiente empresarialonde nem todos os líderes empresariais conhecem todos os executivos, os perigos são ainda mais potentes.
Para os atacantes, o apelo destes alvos de alto valor é claro. Quanto mais esforço for gasto na personalização do ataque, maior será o retorno financeiro potencial. Em muitos casos, a dimensão dos danos, tanto financeiros como de reputação, pode ter consequências a longo prazo para a empresa vítima.
Um manual em evolução
As táticas de phishing tornaram-se muito mais sofisticadas nos últimos anos. Isso é impulsionado pelo aumento do uso de inteligência artificial (IA) e tecnologias de aprendizado de máquina. Uma evolução notável é o uso de deepfakes, nos quais os invasores usam filtros baseados em IA para se passar por executivos ou outras figuras confiáveis em videochamadas.
O tecnologia para viver deepfake chamadas está agora amplamente disponível e é muitas vezes tão convincente que a vítima muitas vezes não encontra razão para questionar a sua autenticidade, especialmente quando o pedido parece legítimo. Esta técnica foi um fator chave no caso de Hong Kong de 2023, onde os atacantes fingiram ser o CFO numa chamada de vídeo deepfake para autorizar a transferência bancária.
No entanto, deepfakes são apenas uma parte da equação. Os invasores baleeiros também usam endereços de e-mail, perfis de mídia social e até números de telefone falsificados para mascarar ainda mais suas identidades. O objetivo é tornar o ataque o mais convincente possível, contando com a confiança da vítima nas suas comunicações para contornar os protocolos de segurança.
Os invasores também estão melhorando na criação de um senso de urgência. Ao elaborar mensagens que parecem vir diretamente do CEO ou de outro executivo sênior, eles incentivam outros executivos a agir rapidamente, sem questionar suas ações. Esta técnica é frequentemente referida como “fraude de CEO” e continua a ser uma das estratégias mais comuns utilizadas em ataques baleeiros.
Esta fraude explora a estrutura hierárquica das empresas, onde as pessoas têm maior probabilidade de atender a um pedido urgente de um superior.
Protegendo sua organização
À medida que a sofisticação do phishing de alto nível aumenta, também aumentam as defesas projetadas para protegê-lo. Os líderes empresariais e profissionais de segurança devem implementar uma abordagem em vários níveis para proteger dados confidenciais e evitar fraudes dirigidas a executivos. Aqui estão algumas etapas críticas.
Treinamento e conscientização de funcionários. Uma das formas mais eficazes de defesa contra ataques de baleias é educar os funcionários, especialmente os que ocupam cargos financeiros e de liderança, sobre como detectar atividades suspeitas. O treinamento deve abranger a identificação de sinais de alerta, como endereços de remetentes desconhecidos, solicitações inesperadas ou táticas de alta pressão. Exercícios regulares de simulação de phishing podem ajudar a reforçar esse conhecimento e manter a conscientização elevada.
Autenticação multifator. A autenticação multifator (MFA) é uma das ferramentas mais simples e eficazes para impedir invasores, especialmente quando se trata de proteger contas de alto valor. A exigência de múltiplas formas de verificação (por exemplo, senha mais autenticação biométrica ou baseada em token) adiciona uma camada adicional de proteção que pode tornar mais difícil para os invasores contorná-la.
Filtragem de e-mail e software antiphishing. A implementação de sistemas avançados de filtragem de e-mail pode ajudar a detectar mensagens suspeitas antes que cheguem à caixa de entrada de um funcionário. O software antiphishing pode sinalizar endereços de e-mail inconsistentes com o domínio da empresa, alertando os funcionários sobre possíveis tentativas de falsificação de identidade. Esses sistemas devem ser ajustados para detectar sinais sutis de phishing, como nomes de domínio com erros ortográficos ou anexos incomuns.
Protocolos de resposta e relatório de incidentes. É crucial ter um protocolo claro para relatar comunicações suspeitas e responder a possíveis violações de segurança. Isso inclui estabelecer uma cadeia de comando para verificar solicitações inesperadas e garantir que todos os funcionários conheçam as etapas a serem tomadas caso recebam um e-mail, uma mensagem de texto ou uma chamada suspeita.
Gestão de riscos de terceiros. Os invasores não visam apenas uma organização especificamente, mas também podem atingir fornecedores terceirizados que têm acesso às redes da empresa, por isso é essencial gerenciar esses relacionamentos com cuidado. Auditorias de segurança regulares, obrigações contratuais rigorosas e políticas claras de partilha de dados podem ajudar a mitigar o risco representado por partes externas.
Ficar à frente da curva
À medida que os ataques de phishing baleeiros continuam a aumentar, as organizações devem ser proativas no fortalecimento das suas defesas. A evolução das táticas utilizadas pelos cibercriminosos exige uma abordagem abrangente e multifacetada que vai além das medidas de segurança tradicionais. Proteger os executivos de alto escalão e outros alvos de alto valor não é mais opcional, mas sim uma parte crítica da salvaguarda da estabilidade financeira, dos dados e da reputação de uma organização.
Ao concentrarem-se na formação contínua, na implementação de soluções tecnológicas avançadas e no desenvolvimento de planos robustos de resposta a incidentes, as empresas podem minimizar o risco de serem vítimas destes ataques altamente sofisticados. A preparação é fundamental, e ficar à frente das tendências emergentes dará à sua organização uma chance de lutar.
Crédito da imagem em destaque: Kasia Derenda/Unsplash
