Spear phishing vs. Whaling: A diferença entre ataques em massa e direcionados
Por Jaqueline Sousa • Editado por Jones Oliveira |
Embora a imagem do hacker misterioso de capuz que comete golpes digitais como se não houvesse amanhã seja a mais popular no senso comum, nem todo cibercriminoso age de maneira “aleatória”. Muitos deles possuem alvos específicos, agindo como se fossem agências de inteligência.
- O que é phishing e como se proteger?
- Smishing e Vishing: o phishing que chega por SMS e ligação de voz
Nesses casos, é comum encontrá-los distribuídos em uma espécie de pirâmide cuja base é o phishing, um ataque online comum que visa um grande número de pessoas aleatórias usando e-mails genéricos.
Subindo um pouco, temos o spear phishing no meio da estrutura, uma técnica personalizada de phishing que tem como alvo indivíduos ou instituições específicas. Já no topo da pirâmide está o whaling, que usa o termo “baleia” para se referir a um phishing direcionado a executivos de alto escalão, como CEOs e CFOs.
Aqui, o ponto é que, quanto mais direcionado e customizado o ataque for, mais difícil será identificá-lo em ação. Afinal, como não existe um padrão massificado de distribuição, existe a possibilidade das operações passarem batidas por ferramentas de segurança. É por isso que entender como esses ataques ocorrem é fundamental para saber como se proteger.
O phishing tradicional
Antes de subir para o topo da pirâmide, temos que entender a base de tudo: o phishing tradicional. Uma das técnicas mais usadas por hackers até os dias de hoje, a pesca virtual aposta no envio de e-mails, mensagens de texto, ligações ou sites falsos para enganar as vítimas com o intuito de roubar informações confidenciais, como senhas e dados bancários.
Geralmente, as mensagens usam engenharia social para gerar um senso de urgência na vítima com frases como “libere a sua encomenda”, “sua conta será bloqueada em 24 horas” ou “você ganhou um prêmio”. Tudo é feito de maneira aleatória, sem um alvo específico em mente, mantendo o nível de personalização baixíssimo ou quase inexistente.
A ideia é atirar iscas para todos os lados e esperar que alguém seja fisgado. Por exemplo: se uma pessoa em cada 10 mil clicar em um link de phishing, o hacker já saiu no lucro.
Spear phishing: o ataque com nome e sobrenome
Vamos subir um pouco na estrutura piramidal para conhecer o modus operandi do spear phishing, um ciberataque mais personalizável do que o phishing tradicional. O spear phishing, como o próprio nome já entrega, é como se você estivesse com uma lança na mão para pescar um peixe específico e não qualquer desavisado.
Assim, também usando engenharia social, os hackers apostam na customização dos ataques para induzir a vítima a clicar em links maliciosos que, embora pareçam autênticos, levam ao dispositivo softwares infectados com malware.
Para conseguir esse feito, os criminosos fazem um estudo completo do alvo, analisando redes sociais, rotina de trabalho e até o que ele faz nas horas livres. Dessa forma, o hacker sabe exatamente tudo aquilo que o indivíduo faz, inclusive onde ele esteve na semana passada.
Depois da pesquisa, vem a hora da personalização. Os cibercriminosos usam essas informações pessoais para criar e-mails ou mensagens de texto que parecem vir de fontes confiáveis da vítima, como colegas de trabalho ou fornecedores conhecidos. Isso funciona como um gatilho de confiança para o alvo, abrindo espaço para que ele acredite no golpe com maior facilidade.
Uma prática comum é exigir ações imediatas para a vítima, como atualizar credenciais ou verificar algum tipo de documento. Assim que a pessoa abre ou baixa um arquivo, um malware infecta automaticamente o dispositivo, coletando dados sensíveis para fraudes e até mesmo espionagem.
Whaling: caçando as "baleias"
Acima do spear phishing, existe um ciberataque ainda mais customizado e difícil de ser detectado: o whaling. Nesse caso, temos uma investida mais direcionada, com foco em executivos de alto nível em empresas. O objetivo, geralmente, é fazer altas transações monetárias ou roubar segredos industriais.
Assim como no spear phishing, os hackers fazem um dossiê completo da vítima, buscando informações no site da empresa, veículos de notícia e nas redes sociais. Logo depois, eles usam engenharia social para criar mensagens que parecem vir de fontes legítimas, como outros executivos da companhia ou clientes.
O diferencial é o senso de urgência e confidencialidade que esses e-mails falsos possuem. Frases como “processo jurídico urgente” e “transferência sigilosa para aquisição de empresa” são bastante comuns no que os especialistas costumam chamar de Business Email Compromise (BEC), ou Comprometimento de E-mail Comercial, em português. É dessa maneira que o e-mail de um CEO, por exemplo, é comprometido para concretizar fraudes.
Para entender melhor as diferenças entre phishing, spear phishing e whaling, veja a seguir um quadro comparativo que traz as principais características de cada um:
| Phishing | Spear phishing | Whaling | |
| Alvo | Qualquer pessoa (aleatório) | Indivíduo ou organização específicos | Executivos (CEOs, CFOs etc) de alto nível |
| Esforço do criminoso | Baixo (automação) | Médio (pesquisa) | Alto (investigação profunda) |
| Personalização | Nenhuma | Nome/Cargo/Contexto | Estilo de escrita/Linguagem interna |
Como se proteger desses ataques?
Golpes digitais estão se tornando cada vez mais sofisticados e velozes, mas existem maneiras práticas de apostar na segurança digital no seu dia a dia para evitar se tornar vítima de um ciberataque. Para as empresas, estar atento a esses cuidados é ainda mais importante por justamente envolver questões corporativas e a integridade dos profissionais envolvidos.
Sendo assim, veja a seguir as três principais formas de como se proteger de ataques de spear phishing e whaling:
- Implementar uma cultura de segurança na empresa. No mundo corporativo, é importante estar atento ao contexto para se livrar de golpes de spear phishing, por exemplo. O RH jamais pediria a sua senha por e-mail para acessar o sistema, afinal eles já possuem esse acesso.
- Camadas de verificação. Para evitar que o CEO da empresa se torne uma vítima de whaling, é possível adotar processos adicionais de segurança para transferências urgentes, como exigir a confirmação por voz ou outro canal humano para além do e-mail.
- Pratique a higiene digital. Tenha muito cuidado com publicações em redes sociais, principalmente no LinkedIn, evitando fornecer informações sensíveis sobre viagens, fornecedores e outros dados que podem ser usados por criminosos durante a pesquisa de alvos.
Diante desse cenário preocupante, vale ter em mente que os cibercriminosos estão sempre à espreita para aplicar um golpe, seja você um estagiário ou o presidente da empresa. Em casos de spear phishing e whaling, existe uma isca customizada para cada perfil. Basta um descuido para ser rapidamente fisgado.
Por isso, manter-se sempre alerta e desconfiar de pedidos suspeitos são duas práticas fundamentais na hora de se proteger. Mais do que usar a tecnologia a seu favor, também é imprescindível saber como agir na web para não virar mais uma vítima.
Leia também: