Segundo o FBI, muitas empresas estão a ser alvo de esquemas conhecidos por spear-phishing, com emails que contêm informações concretas acerca das vítimas, recolhidos a partir de redes sociais ou por intrusões prévias na mesma rede.
Num texto publicado na página “New E-scams and warnings” do FBI pode ler-se que esta agência de segurança detectou um aumento significativo nos ataques de spear-phishing e que se destinam a diversos sectores da indústria.
“Os ataques recentes conseguiram convencer as vítimas que o software ou as credenciais que utilizam para acederem a websites específicos necessitavam de ser actualizados. O e-mail continha uma ligação para concluir a actualização. Quando clickado, os utilizadores eram conduzidos a uma página fraudulenta através da qual software malicioso adquiria informações confidenciais como nome de utilizador e palavras-passe”.
“Os esquemas são usados para obter palavras-passe, nomes de utilziador, dados bancários, embora os cibercriminosos os utilizem também para causarem problemas nos serviços ou roubaram propriedade intelectual”, alertam as autoriadades.
O FBI aconselha os utilizadores a nível mundial a terem cuidados redobrados com as credenciais, como nomes de utilizador e palavras-passe e nunca as enviarem a ninguém por e-mail.
Definição Spear-Phishing (Wikipedia)
Spear Phishing traduz-se como um ataque de Phishing altamente localizado. É um tipo de ataque que exige toda uma etapa de minuciosa pesquisa por parte dos atacantes, além de muita paciência. Correlacionando ao nome “Phishing”, sua denominação pode ser entendida como algo semelhante à “pesca com arpão”. Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda universidades, instituições governamentais, dentre outras). Logo em seguida, inicia a etapa na qual o phisher sonda informações básicas de diferentes funcionários. Aqui, explora-se uma grande falha humana: A incapacidade de avaliar corretamente a sensibilidade de uma informação. Enquanto sozinha, esta informação pode não significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de alguém com mais poder na empresa.
