Embora as organizações se preocupem em ter as melhores ferramentas de segurança para proteger suas informações, existem pessoas que trabalham especificamente para criar e lidar com essas informações. Como é impossível proteger informações do cérebro de pessoas por meio de software, a engenharia social desempenha um papel fundamental aos criminosos cibernéticos, pois permitem acessar  computadores e driblar software de segurança para cometer atos de espionagem cibernética. Ataques a governos, instituições de saúde ou qualquer outra organização exigem uma combinação especial de táticas de engenharia social e ataques técnicos. A forma mais comum de ataque usada para se infiltrar na rede de um governo, que aproveita esses dois métodos, é o que é conhecido como uma campanha de spear phishing.

O que é Spear Phishing?

Os ataques de spear phishing são similares a e-mails de phishing comuns; no entanto, são ataques muito mais elaborados e estratégicos. No caso do phishing, um cibercriminoso criará um e-mail genérico e falso e o enviará a um grande grupo de pessoas aleatórias. Como spear phishing é uma campanha complexa, os invasores escolhem uma instituição específica para segmentar e saber que tipos de informações desejam roubar.

O primeiro passo em uma campanha de spear phishing é o reconhecimento. Depois que o hacker escolher sua organização-alvo, eles farão algumas pesquisas sobre como encontrar os endereços de e-mail e os nomes dos funcionários que trabalham na organização. Às vezes, isso pode ser encontrado nas informações de contato no site da instituição.

Assim que tiverem o nome das potenciais vítimas, eles farão uma pesquisa on-line sobre a pessoa, recolhendo informações de perfis de redes sociais, blogs ou qualquer outra informação que possa surgir nos resultados da busca. Em seguida, eles personalizarão um e-mail de aparência legítima para essa pessoa específica, chamando-a pelo nome, e o corpo do e-mail será relativo as informações que foram encontradas on-line sobre o assunto. O objetivo disso é enganar a vítima, induzindo-a a pensar que essa é uma pessoa que ela realmente conhece.

Em casos corporativos ou governamentais, o e-mail será criado para parecer que é proveniente de uma fonte confiável dentro da organização, geralmente alguém em posição de autoridade. É nesse ponto que o aspecto de engenharia social do ataque entra em ação, aproveitando a inclinação natural de uma pessoa a respeitar hierarquia. Depois que o invasor chamar a atenção da vítima e ela abrir o e-mail, haverá algum tipo de apelo à uma ação, como clicar em um link mal-intencionado ou baixar um software mal-intencionado. Depois que a vítima concluir a tarefa, o malware permitirá que os invasores acessem a rede, onde poderão realizar sua missão de espionagem cibernética.

Como combater o Spear Phishing e outras táticas criminosas no local de trabalho?

Infelizmente, os software de segurança da Internet não conseguem detectar coisas como engenharia social, porque essa é uma interação humana. Por isso aprender a aplicar as melhores práticas ao usar a Internet é crucial na defesa de uma empresa.

• Proteja suas senhas.
  Use senhas fortes e exclusivas para cada conta acessada. Se um cibercriminoso adquire um endereço de e-mail ou nome de usuário para uma conta, ele pode usar ferramentas especiais para tentar “decifrar” a senha, e quanto mais simples ela for, mais fácil será decifrar.
  Aprenda mais sobre a criação de senhas fortes, aqui. 
  Além disso, tente usar a autenticação de dois fatores quando disponível. 

• Não caia no Golpe de Phishing
  Aprenda sobre as pontos de risco de ataques de phishing. Aprenda sobre os fatores mais comuns a serem observados e como identificar e-mails falsos. 
  Você pode se aprofundar sobre o tema golpes de phishing aqui.

• Software Seguro.
  É importante saber a importância de realizar atualizações regulares de software em todos os programas que você usa. Não executar essas atualizações pode deixar falhas pelas quais os invasores podem infiltrar malwares.
  Você pode ler aqui porque as atualizações de software são fundamentais para a segurança da Internet   

Salvaguarda de contas de Medias Sociais .

Como os invasores fazem pesquisas sobre os alvos, verifique se as configurações de privacidade das contas de mídia social estão bloqueadas. Não permita que nenhuma informação pessoal identificável tenha visibilidade pública e desconfie de pessoas que entrem em contato e que você não conheça, mesmo que façam parecer próximas.