Ataques de phishing para executivos - Ideias práticas e estratégias de prevenção
Os ataques excepcionais de phishing a executivos são uma das formas mais eficazes e económicas de violar a segurança de uma empresa. Os executivos podem ser atraídos por correio eletrónico ou chamadas telefónicas, mas o resultado é quase sempre o mesmo.
Um ataque de phishing executivo é uma grande preocupação para todos os tipos de empresas. É uma das principais razões pelas quais as organizações perderam mais de 43 mil milhões de dólares (USD) de 2016 a 2021.
Neste artigo, discutiremos a definição de phishing executivo, por que razão é uma ameaça tão grande e como evitar tornar-se a próxima vítima.
O que é o phishing executivo?
O phishing executivo é um cibercrime que visa executivos de alto nível e outros decisores seniores, como o CEO, o CFO e executivos de alto nível. O nome do executivo, a assinatura de correio eletrónico e outros detalhes são frequentemente utilizados durante o ataque de phishing para fazer com que a mensagem pareça legítima.
Em 2020os cibercrimes, como a fraude do CEO e o ransomware, custaram mais de 4,1 mil milhões de dólares, com um aumento de 69% dos casos registados entre 2019 e 2020, atingindo mais de 791 000. Infelizmente, estas ameaças cibernéticas não estão a abrandar; estão a piorar.
Foi concebido para enganar a vítima, levando-a a pensar que está a receber um e-mail de alguém da sua organização ou de outra fonte de confiança.
Os ataques de phishing executivo envolvem normalmente um e-mail bem elaborado de um funcionário da sua organização, mas também podem incluir um e-mail de alguém de fora da sua organização.
As mensagens de correio eletrónico contêm frequentemente informações sobre uma reunião futura, como a ordem de trabalhos ou um contrato futuro.
O atacante pode também tentar aceder a dados confidenciais armazenados na rede da empresa fazendo-se passar por um funcionário de confiança com acesso a informações sensíveis.
O phishing executivo tem como objetivo roubar dados confidenciais, tais como palavras-passe, documentos sensíveis e credenciais de início de sessão. O atacante utilizará então estas credenciais roubadas para aceder a recursos empresariais e obter acesso a informações sensíveis.
Ler relacionado: O que é um e-mail de phishing?
Porque é que os ataques de phishing visam os executivos?
Visar executivos permite aos hackers aceder a informações valiosas que podem ser vendidas na Dark Web ou utilizadas como chantagem contra a empresa da vítima.
Como os executivos de nível C têm normalmente acesso a dados sensíveis, como dados financeiros, informações de identificação pessoal (PII) e outros documentos comerciais confidenciais, podem tornar-se alvos privilegiados de ataques de phishing que visam obter esses dados por qualquer meio necessário.
Exemplo de ataque de phishing executivo
Um exemplo de um e-mail de phishing executivo pode ser visto na imagem seguinte:
Principais tipos de ataques de phishing executivo
De seguida, apresentam-se alguns dos principais tipos de ataques de phishing para executivos:
Ataques de comprometimento de e-mail comercial (BEC)
Ataques BEC visam os directores executivos e outros altos funcionários, fazendo-se passar pelos seus e-mails e solicitando transferências de dinheiro.
Os atacantes de BEC enviam e-mails fraudulentos com logótipos de empresas falsos e endereços de remetente falsificados para enganar o destinatário, fazendo-o acreditar que são reais.
Ataques à faturação
Este ataque visa roubar dinheiro às empresas através da criação de facturas falsas que parecem legítimas, mas que contêm erros ou discrepâncias.
O atacante solicita então o pagamento destas facturas através de transferências bancárias ou outros métodos de pagamento que demoram algum tempo a verificar.
Exploração de plataformas de comunicação vídeo
Neste ataque, o hacker explora uma plataforma de comunicação por vídeo para se fazer passar pelo executivo. Por exemplo, pode utilizar o Google Hangouts para se fazer passar pelo diretor executivo e pedir informações confidenciais.
O hacker pode também enviar um e-mail aos empregados indicando que se vão encontrar com alguém das finanças numa videochamada. Dá-lhes instruções para descarregarem uma aplicação e introduzirem os seus dados de acesso.
Engenharia social
Engenharia social é utilizada para aceder a informações ou dados sensíveis, enganando os utilizadores para que divulguem palavras-passe, números da Segurança Social e outras informações sensíveis.
Muitas vezes, o atacante finge ser das TI ou de outro departamento da sua organização e pede acesso ao seu computador ou aos recursos da rede quando as práticas comerciais normais não justificam esse pedido.
Phishing executivo vs Whaling
Lembre-se que tanto o Executive Phishing como o Whaling são ciberataques dirigidos a pessoal de alto nível, sendo o Whaling uma variante mais especializada. As medidas de cibersegurança adequadas e a formação dos funcionários são cruciais para a defesa contra estas ameaças.
Vejamos o que é phishing executivo versus whaling:
Aspeto | Phishing executivo | Caça à baleia |
Objetivo | O phishing executivo visa os executivos de alto nível de uma empresa. | A Whaling centra-se nos executivos de topo, como os directores executivos e os directores financeiros. |
Objetivo | O phishing executivo tem como objetivo obter acesso não autorizado, roubar dados ou adquirir credenciais de início de sessão. | O objetivo do Whaling é extrair informações sensíveis ou fundos de executivos de alto nível. |
Tipo de ataque | O phishing executivo é um ataque de phishing que engana especificamente os executivos para que tomem medidas. | O Whaling é um spear phishing especializado que tem como alvo os indivíduos mais influentes. |
Impersonificação | No phishing executivo, os atacantes fazem-se passar por um executivo sénior ou colega para enganar o alvo. | O whaling consiste em fazer-se passar por executivos de topo para explorar a sua autoridade de alto nível. |
Preparação | Os atacantes que pesquisam o papel do alvo, o estilo de comunicação e as informações relevantes são comuns no phishing executivo. | Os perpetradores de whaling realizam uma investigação exaustiva sobre o executivo visado e o ambiente da empresa. |
Conteúdo do correio eletrónico | As mensagens electrónicas de phishing para executivos imitam comunicações oficiais. Muitas vezes, criam um sentido de urgência ou abordam assuntos sensíveis. | As mensagens de correio eletrónico da baleia contêm mensagens personalizadas e adaptadas à posição e responsabilidades do destinatário. |
Engenharia social | O phishing executivo explora a dinâmica do poder, a urgência ou a curiosidade para manipular os alvos e levá-los a agir. | O whaling utiliza o acesso e a autoridade de alto nível para manipular a confiança e a conformidade do alvo. |
Carga útil | No phishing executivo, as ligações maliciosas, os anexos ou os pedidos de informação são cargas úteis comuns. | As cargas úteis dos baleeiros procuram frequentemente dados confidenciais, transacções financeiras ou outros bens valiosos. |
Impacto | O impacto do phishing executivo pode ir desde contas comprometidas e violações de dados até perdas financeiras. | O impacto da caça à baleia pode ser significativo, conduzindo a danos financeiros e de reputação substanciais para as organizações. |
Contra-medidas | As contramedidas contra o phishing executivo incluem a formação dos funcionários, a utilização de ferramentas anti-phishing e práticas vigilantes de correio eletrónico. | A defesa contra o whaling envolve formação de sensibilização para a segurança, deteção avançada de ameaças e métodos de autenticação fortes. |
Exemplos | Exemplos de phishing para executivos incluem pedidos falsos de transferências de dinheiro ou partilha de dados enviados a executivos. | O whaling envolve o envio de mensagens de correio eletrónico direccionadas para executivos de alto nível, muitas vezes com intenções maliciosas ou pedidos enganosos. |
Ler relacionado: Whaling Phishing vs. Phishing normal
Defesa e mitigações para ataques de phishing executivo
As seguintes medidas de segurança podem ajudar a proteger a sua organização contra o phishing executivo:
Implementação do DMARC
DMARC permite que as organizações comuniquem a forma como os seus domínios estão a ser utilizados e ajuda os ISP e outros fornecedores de correio eletrónico a tomarem as medidas adequadas quando vêem mensagens fraudulentas provenientes desses domínios.
Formação em Sensibilização para a Segurança
A formação de sensibilização para a segurança ajudará os funcionários a identificar potenciais ameaças antes de estas se tornarem um problema.
A formação de sensibilização para a segurança ensina as pessoas a identificar mensagens de correio eletrónico suspeitas com base no seu conteúdo, remetente e assunto. Também ensina os funcionários a comunicar esses e-mails para que não sejam vítimas de um ataque.
Autenticação multi-fator (MFA)
A autenticação multifactor (MFA) acrescenta outra camada de segurança, exigindo que os utilizadores introduzam um código enviado para os seus telemóveis ou gerado por um dispositivo físico antes de obterem acesso.
Ferramentas de filtragem de correio eletrónico e antiphishing
A primeira linha de defesa é utilizar software de filtragem de correio eletrónico para filtrar os e-mails de phishing. Este software permite aos utilizadores definir quais os endereços de correio eletrónico que devem ser considerados suspeitos e rejeita-os automaticamente.
Além disso, também pode ser utilizado para identificar mensagens de correio eletrónico legítimas que estão a ser falsificadas e rejeitá-las automaticamente, bem como quaisquer anexos que possam ser maliciosos.
Leitura relacionada: Diferença entre Anti-Spam e DMARC
Actualizações regulares de software e gestão de patches
Certifique-se de que todo o software está atualizado, especialmente os navegadores, os sistemas operativos e as aplicações de terceiros. Isto inclui máquinas físicas e virtuais.
Os patches incluem frequentemente correcções de segurança para vulnerabilidades que podem ser exploradas por atacantes que já tenham comprometido um sistema.
Palavras finais
Embora não seja a forma mais comum de phishing, este tipo de ataque pode ter um impacto negativo nos indivíduos e nas empresas. Se receber mensagens de pessoas que não conhece ou sobre situações que não parecem imediatamente reais, não se precipite a abrir os ficheiros enviados.
Pode muito bem estar a ser vítima de um ataque de phishing executivo e, se for esse o caso, deve seguir as nossas dicas para se proteger.
- Aumento de fraudes fiscais e ataques de imitação de e-mail do IRS durante a época fiscal - 2 de maio de 2024
- Segurança de e-mail 101 para combater fraudes de criptografia - 30 de abril de 2024
- Como encontrar o melhor fornecedor de soluções DMARC para a sua empresa? - 25 de abril de 2024