Em sua análise de dados sobre ataques direcionados, coletados entre fevereiro e setembro deste ano, a Trend Micro constatou que 91% dos ataques direcionados envolveram spear phishing. Esta descoberta reforça a posição da empresa de que tais ataques geralmente começam por um ponto muito simples de contato: uma mensagem de e-mail, habilmente trabalhada para atrair indivíduos específicos a abrir um arquivo malicioso anexo ou a clicar em um link que leva a um malware, ou site carregado de meios de exploração de segurança, gerando a invasão da rede da vítima.
Spear phishing – termo escolhido como um análogo direto da caça submarina – é uma nova espécie de phishing altamente direcionado que usa as informações coletadas sobre um alvo para realizar ataques mais específicos e personalizados. E-mails de spear phishing podem, por exemplo, referir-se a seus alvos por dados específicos, como seus nomes, departamentos ou cargos ao invés de usar títulos genéricos como em campanhas amplas de phishing.
De acordo com o relatório, "E-mails de spear phishing: Principais Iscas de Ataques APT", 94% dos e-mails direcionados usam arquivos anexos maliciosos como carga ou fonte de infecção. Os 6% restantes utilizam métodos alternativos, tais como a instalação de malware por meio de links maliciosos que baixam os arquivos maliciosos. A razão para esta enorme discrepância é simples: empregados de grandes empresas e organizações governamentais normalmente compartilham arquivos como relatórios, documentos comerciais e currículos, por e-mail, uma vez que o download dos materiais diretamente da Internet é considerado perigoso.
Destaques notáveis do relatório:
• Os tipos de arquivos mais usados e compartilhados representaram 70% do número total anexos de e-mail de spear phishing durante o período monitorado. Os tipos de arquivos mais comuns foram: RTF (38%), XLS (15%) e ZIP (13%). Alternativamente, os arquivos executáveis (EXE) não foram tão populares entre os cibercriminosos, muito provavelmente porque e-mails com arquivos .EXE anexados geralmente são detectados e bloqueados pelas soluções de segurança.
• Os segmentos mais altamente alvejados são grupos governamentais e ativistas. Muitas das informações sobre agências governamentais e nomeações de funcionários são facilmente encontradas na Internet, e muitas vezes postadas em websites públicos do governo. Grupos ativistas, altamente ativos em mídias sociais, também são rápidos no compartilhamento de informações sobre seus membros, a fim de facilitar a comunicação, organizar campanhas ou recrutar novos membros. Estes hábitos elevam os perfis dos membros, tornando-os alvos visíveis.
• Como resultado, três em cada quatro dos endereços de e-mail das vítimas-alvo são facilmente encontrados através de pesquisas na internet ou através do uso de formatos comuns de endereço de e-mail.
