// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Engenharia Social / Spear Phishing — Ataques Direcionados
● Avançado 20 min de leitura Spear Phishing APT BEC CEO Fraud OSINT Targeted Attack Whaling

Spear Phishing — Ataques Direcionados

Spear phishing é phishing cirúrgico — cada mensagem é criada especificamente para uma vítima usando OSINT detalhado. Taxa de sucesso 3-5x maior que phishing genérico. Usado por APTs para acesso inicial e por criminosos para BEC (Business Email Compromise) com perdas de bilhões por ano.

Diferença: Phishing vs Spear Phishing vs Whaling

Phishing genérico:
- Enviado em massa (milhões de emails)
- Pretexto genérico ("seu banco", "sua conta Netflix")
- Taxa de sucesso: 0.1% a 1%
- Automatizado, baixo esforço por vítima

Spear Phishing:
- Alvo específico (1-100 pessoas)
- Pesquisa detalhada do alvo (OSINT)
- Pretexto personalizado (nome, cargo, projeto atual, colega)
- Taxa de sucesso: 15% a 30%
- Usado por APTs e atacantes avançados

Whaling:
- Alvo: executivos C-level (CEO, CFO, CTO)
- Objetivo: BEC, roubo de dados estratégicos, credenciais
- Alta recompensa financeira ou estratégica
- Pesquisa mais profunda, pretexto mais sofisticado

Coleta de Inteligência (OSINT) para Spear Phishing

-- LinkedIn: cargo atual, projetos, conexões, empresas parceiras
-- Twitter/X: opiniões pessoais, eventos, viagens, interesses
-- Facebook: família, hobbies, localização frequente
-- GitHub: projetos técnicos, linguagens, tecnologias
-- Email de assinatura: cargo completo, telefone, endereço
-- Apresentações públicas: slides com projetos internos
-- Notícias de empresa: aquisições, lançamentos, contratos
-- Glassdoor: cultura interna, stack tecnológica
-- Job listings: tecnologias usadas internamente

-- Ferramentas:
theHarvester -d alvo.com -b linkedin,google
maltego (visualização de relacionamentos)
recon-ng
Spin.AI (analisa contas Google/Microsoft comprometidas)

-- O que construir:
-- Nome completo + variações de email
-- Cargo e responsabilidades
-- Projetos em andamento (para pretexto)
-- Colegas próximos (para impersonação)
-- Fornecedores e parceiros (para BEC)
-- Eventos recentes (conferências, viagens)

BEC — Business Email Compromise

-- Fraude mais lucrativa do mundo: US$ 2.9 bilhões só em 2023 (FBI IC3)

-- Cenário 1: CEO Fraud
-- Atacante compromete ou imita email do CEO
-- Email para CFO: "preciso de transferência urgente de R$500k"
-- "É confidencial, não comente com ninguém"
-- Urgência + autoridade + segredo = fórmula de sucesso

-- Cenário 2: Supplier Fraud
-- Comprometer email de fornecedor real
-- Enviar fatura com dados bancários alterados
-- Empresa paga para conta do atacante pensando ser fornecedor

-- Cenário 3: Payroll Diversion
-- Atacante imita funcionário para RH
-- "Preciso mudar minha conta de depósito de salário"
-- RH redireciona próximo salário para conta do atacante

-- Cenário 4: Lawyer Impersonation
-- Imitar advogado em aquisição sigilosa
-- "Transferência necessária para fechar negócio hoje"
-- Urgência + confidencialidade impedem verificação

-- Técnicas de email:
-- Display Name Spoofing: From: CEO Nome Real <[email protected]>
-- Domínio lookalike: [email protected] vs empresa.com
-- Compromisso real: hackear caixa do CEO e enviar de lá

Construção de um Spear Phishing Convincente

-- Elementos de um email eficaz:

1. Remetente legítimo (domínio comprometido ou similar)
2. Assunto relevante ao contexto da vítima
   Exemplo: "Re: Proposta - Projeto Alpha Q2" (projeto real do LinkedIn)
3. Saudação pelo nome (não "Prezado Cliente")
4. Referência a colega, fornecedor ou evento real
   "Conforme alinhado com a Maria na reunião de quinta"
5. Urgência genuína (prazo de contrato, deadline)
6. CTA claro com link ou anexo
7. Assinatura profissional com dados reais do impersonado

-- Gatilhos psicológicos:
Autoridade: email do CEO, auditoria, RFB
Urgência: prazo, multa, bloqueio iminente
Medo: "sua conta foi comprometida"
Curiosidade: "documento para você" + nome real
Reciprocidade: "envio meu relatório, pode revisar?"
Escassez: "últimas vagas, responda hoje"

Técnicas de Entrega de Payload

-- Documentos Office com macros
-- .docm, .xlsm com macro auto-execute (AutoOpen, Auto_Open)
-- Usuário habilita macros = executa payload
-- Windows bloqueia macros de internet por padrão desde 2022
-- Bypass: arquivo em ZIP protegido por senha ou ISO/IMG

-- ISO/IMG (Disk Image)
-- Windows monta automaticamente ao clicar
-- Arquivos dentro não têm Mark-of-the-Web
-- Macro de .docm dentro do ISO não é bloqueada

-- HTML Smuggling
-- Payload embutido em JavaScript dentro de email HTML
-- Decodificado e baixado no browser da vítima
-- Passa por secure email gateways que não executam JS

-- Links para páginas de login falsas
-- Credential harvesting + session hijacking (Evilginx)

-- OneNote com objeto clicável
-- .one com botão que executa script ao clicar
-- Vetor popular em 2023 após bloqueio de macros

Prevenção

  • Verificação Fora de Banda — para qualquer pedido financeiro por email, ligar para o solicitante em número já conhecido (não o do email)
  • Processo de Aprovação Multi-step — transferências acima de X requerem aprovação de 2+ pessoas + verificação telefônica
  • DMARC p=reject — impede spoofing do domínio; dificulta CEO fraud
  • Treinamento com Exemplos Reais — mostrar emails de BEC reais; ensinar sinais de alerta
  • Monitoramento de Domínios Similares — alertas quando alguém registra typosquat do domínio
  • Política de Email Seguro — banner em emails externos, verificação de fornecedor antes de alterar dados bancários
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista