Home > Notícias

Novo tipo de scam tem como alvo executivos

Com o crescente número de ataques phishing, não é surpresa que os criminosos mirem em quem mais tem a perder

Por Cara Garretson, Network World EUA

29/11/2007 às 14h26

scam_executivos_150.jpg
Foto:

scam_executivos_150De acordo com a empresa desegurança MessageLabs, phishings com alvos marcados – mensagens scams que são direcionadas a funcionários pré-determinados de alguma organização ou grupo, também chamados de spear phishing – têm crescido significativamente nos últimos dois anos. Em 2005, a empresa não recebia mais do que dois e-mails phishing por semana; agora são mais de dez e-mails desse por dia, diz o Paul Wood, analista sênior da empresa.

Recentemente a MessageLabs identificou dois ataques do que agora está sendo chamado de whaling (caça as baleias). Nesses scams, os phishers encontram o nome e o e-mail de um ou mais executivos-top da alvo – informações normalmente encontradas na web – e produzem um e-mail específico para essas pessoas e todos seus funcionários na companhia.

A mensagem tenta seduzir os executivos a clicar em um link que irá levá-los a um website que tem o objetivo de carregar um malware para dentro do PC do internauta e então copiar senhas ou obter informações sensíveis e segredos corporativos, afirma Wood. Os e-mails alegam ser do “Better Business Bureau”, que alertam os executivos sobre reclamações postadas em websites, ou vindo de uma empresa de recrutamento ou até mesmo informações sobre faturas, diz o analista.

Em junho, o serviço de segurança em e-mail da MessageLabs, barrou 514 mensagens direcionadas a clientes seus, todas endereçadas a altos executivos, em um período de duas horas. Em setembro, outra invasão consistiu em 1.100 ataques whaling dentro de 15 horas. A empresa acredita que a mesma organização está por trás desses ataques.

O que é único no whaling é sua confiança em pesquisa e planejamento social. Tradicionalmente, o spam, e alguns phishings, dependem do alcance do maior número de pessoas, com um mínimo de esforço, já que as taxas de resposta a esses tipos de mensagens são baixas, mas suficientes para a prática valer a pena. Com o whaling, o remetente precisa fazer uma pesquisa fiel sobre o alvo. Isso permite a 'montagem' de um e-mail que seja convincente, diz Wood.

“Agora é o planejamento social que dá as cartas; os phishers estão se tornando tecnologicamente sofisticados, bem como aplicando psicologia no que estão fazendo”, comenta o analista.  “Agora eles fazem muitas pesquisas antes de atacar, então ficou muito mais difícil reconhecer essas ameaças”.

Segundo ele, isso é particularmente verdade para executivos que não lêem seus próprios e-mails,. Por exemplo, se um assistente vê um e-mail na caixa de entrada do CEO, relacionado a uma fatura, ele automaticamente encaminha a mesma para o departamento financeiro, que então acredita que o e-mail tenha vindo do CEO. Nesse departamento, a mensagem original é aberta e o link clicado.

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail