Como identificar e se prevenir contra um spear phishing

As pessoas tendem a estar ocupadas no trabalho, lidando com clientes, entrando e saindo de reuniões e chamadas, respondendo e-mails e tornando-os suscetíveis a um erro de julgamento apressado. Isto combinado com a potencial falta de conscientização das pessoas sobre as ameaças cibernéticas, pode gerar uma vítima perfeita de spear phishing, que dará acesso ao cibercriminoso à rede da empresa, às informações confidenciais ou ainda entregar a ele o dinheiro. O êxito do spear phishing não apenas traz custos financeiros para a empresa, mas também pode expor os dados confidenciais da organização e do cliente a riscos, causando danos à reputação.

Para se precaver contra o spear phishing, é essencial que os funcionários entendam o que ele representa, como pode ser e que ações devem tomar caso encontrem um. 

O que é spear phishing

O spear phishing geralmente é uma tentativa de fraude de falsificação de e-mail (spoofing), que visa atingir uma organização específica, buscando acesso não autorizado a dados confidenciais ou obter dinheiro. O sucesso do spear phishing depende de três coisas:

  • Aparentemente, a fonte parece ser um indivíduo conhecido e confiável
  • A mensagem contém informações que sustentam sua validade
  • A solicitação que o indivíduo faz parece ter uma base lógica.
⚠️ ACESSO EXCLUSIVO
Você está perdendo conteúdos exclusivos
Acesso sem anúncios + conteúdos especiais e privados.
R$4,90
Teste por 30 dias • depois R$9,90/mês
LIBERAR MEU ACESSO AGORA
✔ Cancelamento fácil • Sem compromisso

As tentativas de spear phishing normalmente não são iniciadas por cibercriminosos aleatoriamente, mas são mais prováveis de serem realizadas por pessoas mal intencionadas em busca de ganhos financeiros, informações ou dados comerciais sigilosos, e por alguém que tenha pesquisado o alvo parecendo ser bem informado e confiável. Com o spear phishing, é provável que a fonte aparente do e-mail seja uma pessoa de dentro da empresa e, em geral, de alguém em uma posição de autoridade. Muitas vezes, os pedidos são feitos com um senso de urgência e para ação imediata.

O que os funcionários devem saber, para identificar um spear phishing?

Há várias pistas que os funcionários devem procurar e que podem sugerir que o e-mail é um spear phishing. Os destinatários devem se perguntar:

  • O e-mail veio de alguém de quem normalmente esperaria receber mensagens sobre um determinado assunto?
  • O estilo de escrita é consistente com o estilo usual do remetente?
  • O “tom” da mensagem parece correto?
  • Existe algum senso de urgência no pedido?
  • A solicitação parece ser fora do comum?
  • Os colegas receberam (ou relataram) e-mails semelhantes?
  • Passe o mouse sobre o link para ver o que ele revela – pode ser um link falso ou um encurtador de URL suspeito.

Se algo na mensagem parecer estranho, verifique os padrões no cabeçalho do e-mail para certificar se o e-mail é genuíno. Por exemplo, as mensagens podem parecer provenientes de uma fonte confiável, o que significa que o nome dela aparece como remetente, mas o endereço do e-mail está errado.

Como reagir a um e-mail suspeito?

Depois que uma mensagem de spear phishing é identificada, é importante que os funcionários sempre sigam as regras básicas: não abra anexos, não clique em links do e-mail ou responda-o. Os funcionários nunca devem, em hipótese alguma, enviar senhas ou credenciais por e-mail. O e-mail deve ser imediatamente relatado ao departamento de TI ou CISO da empresa e, caso não existam na organização, o e-mail deve ser relatado à gerência da empresa e excluído. A gerência deve informar toda a organização. Se um funcionário receber mensagens de spear phishing, outras pessoas da empresa também poderão recebê-las.

A segurança de uma empresa não começa e termina com um especialista ou departamento de TI. Os cibercriminosos geralmente têm como alvo o elo mais fraco, tornando essencial que todos os funcionários estejam cientes e atualizados das ameaças e táticas mais recentes usadas pelos cibercriminosos, para ajudar a manter a empresa segura e protegida contra ameaças cibernéticas que podem ter efeitos potencialmente devastadores.

Por Jaya Baloo, CISO (Chief Information Security Officer) na Avast

A Avast (LSE: AVST) é líder global em produtos de segurança digital.

Leonardo Grandchamp

Postagens recentes

Golden Brasil anuncia novo ciclo de crescimento, expansão global e oportunidades estratégicas

Novo ciclo esta se inicia nas empresas do grupo Grunde Brasil

2 dias atrás

Benefício de R$ 300 por mês abre novo lote de cadastro para mães elegíveis

Confirmação das candidatas selecionadas deve ser feita pela internet até o dia 23 de julho

2 dias atrás

Os impactos do Split Payment com a Reforma Tributária

O período de transição tributária exigirá dos gestores um olhar atento e estratégico sobre o…

2 dias atrás

Permanece aberto prazo para aderir ao parcelamento do PEM 2025

O PEM 2025 oferece condições significativamente melhores em comparação aos parcelamentos anteriores

2 dias atrás

Receita define regras para imposto sobre venda condicional de empresas

Nova solução de consulta define que parcelas complementares pagas após o cumprimento de metas configuram…

2 dias atrás

Evite multas: veja as regras e novidades da Declaração do ITR 2026

Receita Federal Publica Regras para a DITR e facilita envio sem necessidade de instalar programas

2 dias atrás