p Por mais sofisticado que fosse o esquema de agentes de inteligência russos para interferir na eleição presidencial de 2016, eles usaram uma técnica de hacking simples, entre outros, para se infiltrar nas contas de e-mail de operativos democratas, de acordo com a última acusação do Conselheiro Especial Robert Mueller. E essa técnica - conhecida como "spear phishing - continua sendo uma ameaça não apenas para os oficiais de campanha, mas também para funcionários e consumidores. p Spear phishing é um golpe no qual os criminosos cibernéticos se passam por fontes confiáveis ​​e enviam mensagens eletrônicas falsas para indivíduos visados, para induzi-los a revelar informações confidenciais.

p No caso de John Podesta, o presidente da campanha presidencial de Hillary Clinton, era um e-mail enganoso que parecia uma notificação de segurança do Google, pedindo a Podesta para alterar sua senha clicando em um link incorporado, de acordo com a acusação apresentada na sexta-feira. Podesta seguiu as instruções do e-mail, alterando sua senha e dando aos hackers acesso a 50, 000 de seus e-mails.

p Mas a pesca submarina pode vir na forma de um e-mail que parece vir do seu chefe, pedindo que você envie seu formulário W2. Ou uma mensagem com uma fatura esperada, solicitando que você transfira o dinheiro para uma conta controlada por malfeitores.

p "A acusação realmente ilustra os muitos usos que esta tecnologia pode ser feita, "disse Edward McAndrew, um ex-promotor federal de crimes cibernéticos e co-líder do grupo de privacidade e segurança de dados de Ballard Spahr na Filadélfia. "Não se trata apenas de roubar informações pessoais de alguém. Trata-se de fraude financeira, ou neste caso, até mesmo fraude eleitoral. "

p Como isso é feito

p Em golpes de phishing típicos, os cibercriminosos enviam e-mails gerais para uma grande quantidade de usuários, esperando que alguém morda a isca e baixe um anexo infectado ou clique em um link para um site falso.

p Spear phishing scams, por contraste, são adaptados para alvos específicos. Os hackers vão pesquisar um indivíduo com antecedência, digitalizar contas de mídia social e informações públicas para aprender o trabalho de uma pessoa, amigos ou interesses para criar um e-mail confiável.

p "Eles descobrirão onde você trabalha e quem são seus colegas e tentarão enviar um e-mail falso que parece ser de um de seus colegas, "disse Gabriel Weinberg, CEO e fundador da DuckDuckGo, sediada em Paoli, um mecanismo de busca da Internet que não rastreia ou armazena dados do usuário.

p Foi o que aconteceu na terça-feira na empresa de Weinberg. Um de seus funcionários recebeu um e-mail de um remetente usando o nome de Weinberg perguntando:"Eu preciso que você ajude a executar uma tarefa. Me avise se você estiver desocupado, "de acordo com uma cópia da mensagem. O remetente se passando por Weinberg queria" presentear alguns cartões-presente da Apple para alguns clientes ". Weinberg e seu colega não morderam.

p A pessoa que fingiu ser Weinberg usou um endereço de e-mail que não era nem perto de se parecer com o verdadeiro. Mas Michael Levy, o chefe de crimes de informática do Gabinete do Procurador dos EUA na Filadélfia, esses cibercriminosos costumam criar endereços de e-mail quase idênticos aos de fontes confiáveis, inserir uma letra extra ou usar um zero em vez de um "O maiúsculo", " por exemplo.

p Em alguns casos, como o hack russo do Comitê de Campanha do Congresso Democrata, e-mails de spear phishing direcionarão os usuários a sites falsos, onde as vítimas inserirão suas credenciais e, inadvertidamente, fornecerão aos hackers seus nomes de usuário e senhas. No caso DCCC, Os agentes russos então instalaram malware em pelo menos 10 dos computadores do comitê, de acordo com a acusação, permitindo que monitorem a atividade de computador de cada funcionário, roubar senhas e manter o acesso à rede DCCC.

p "Existem duas maneiras de entrar em computadores, "Levy disse." Há o hacking sofisticado onde você descobre como quebrar um sistema de segurança ... [ou] você ataca o elo mais fraco do sistema de segurança, e esse é o usuário. "

p Assim que os hackers tiverem acesso ao sistema de e-mail de uma empresa, "eles vão sentar e assistir para aprender o máximo que puderem sobre as pessoas, "Levy disse, acrescentando que os cibercriminosos podem colher qualquer coisa, desde os hábitos de e-mail dos funcionários até o nome da esposa do presidente da empresa.

p McAndrew, de Ballard Spahr, disse uma vez que os hackers ganham acesso a uma conta de e-mail, eles podem ler as mensagens de um usuário, calendários e contatos de trabalho, como se alguém estivesse "virtualmente olhando por cima dos ombros".

p "Você pode saber sobre os eventos antes que aconteçam lendo sobre eles, "McAndrew disse." Você sabe o que está por vir. "

p Hackers cientes de um pagamento futuro podem atacar enviando e-mails de spear phishing para enganar os destinatários para que enviem dinheiro para contas sob o controle dos hackers, Disse McAndrew.

p Vítimas de crimes na internet sofreram mais de US $ 1,4 bilhão em perdas em 2017, quase dobrando desde 2013, de acordo com um relatório do FBI sobre o assunto divulgado em maio. Os crimes listados como "comprometimento de e-mail comercial / comprometimento de conta de e-mail" representaram mais de US $ 676 milhões daquele total de 2017, representando a maior categoria de perda.

p Como se proteger

p Uma maneira de reduzir o risco de spear phishing é usar a autenticação multifator, que adiciona uma camada extra de segurança, exigindo não apenas um nome de usuário e senha, mas conhecimento ou posse de algo que somente aquele usuário possui, como um código enviado para um telefone celular.

p "Mesmo se você for enganado e acessar algum site falso e digitar sua senha, será inútil sem "a outra informação, disse Anthony Vance, diretor do Centro de Segurança Cibernética da Temple University.

p Vance sugeriu usar twofactorauth.org, que informa aos usuários se os sites oferecem suporte à autenticação multifator. Os principais serviços, como Google ou Yahoo, permitem que os usuários ativem o serviço.

p Os especialistas dizem que as pessoas também devem usar o bom senso. Resista à tentação de clicar em links ou anexos de uma fonte desconhecida ou mensagem inesperada. Verifique com os colegas antes de responder a um e-mail suspeito.

p "A primeira coisa que as pessoas podem fazer é examinar cada e-mail que recebem, "McAndrew disse. p © 2018 The Philadelphia Inquirer
Distribuído pela Tribune Content Agency, LLC.