Spearphishing: quando os funcionários “ajudam” os atacantes com informação publicada

11 Dez 2025 · Notícias Comentar

O que começou como uma forma bem-intencionada de melhorar o perfil empresarial, a liderança inovadora e o marketing, também levou a algumas consequências indesejadas. Quando os profissionais publicam sobre o seu trabalho, a sua empresa e a sua função, esperam alcançar profissionais com ideias semelhantes, bem como potenciais clientes e parceiros. Mas os cibercriminosos também estão atentos.

Uma vez que essas informações se tornam de domínio público, são frequentemente usadas para ajudar a criar ataques convincentes do tipo spearphishing ou comprometimento de emails comerciais (BEC). Quanto mais informações, mais oportunidades para atividades nefastas que podem acabar a afetar gravemente a sua organização.

Onde é que os seus funcionários estão a partilhar?

As principais plataformas para partilhar essas informações são as habituais. O LinkedIn é talvez a mais óbvia. Poderia ser descrito como a maior base de dados aberta de informações corporativas do mundo: um verdadeiro tesouro de cargos, funções, responsabilidades e relações internas. É também onde os recrutadores publicam anúncios de emprego, que podem revelar detalhes técnicos que podem ser aproveitados posteriormente em ataques de spearphishing.

O GitHub é talvez mais conhecido no contexto da cibersegurança como um local onde programadores distraídos publicam segredos codificados, IPs e detalhes de clientes. Mas também podem partilhar informações mais inofensivas sobre nomes de projetos, nomes de pipelines de CI/CD e informações sobre as pilhas de tecnologia e bibliotecas de código aberto que estão a utilizar. Também podem partilhar endereços de email corporativos em configurações de 'commit' do Git.

Depois, há as plataformas sociais clássicas voltadas para o consumidor, como o Instagram e o X. É aqui que os funcionários tendem a partilhar detalhes sobre os seus planos de viagem para conferências e outros eventos que podem ser usados contra eles e a sua organização. Até mesmo as informações no site da sua empresa podem ser úteis para um possível fraudador ou hacker. Pense em detalhes sobre plataformas técnicas, fornecedores e parceiros, ou anúncios empresariais importantes, como atividades de fusões e aquisições. Tudo isso pode servir de pretexto para um phishing sofisticado.

A primeira fase de um ataque típico de engenharia social é a recolha de informações. A fase seguinte é a utilização dessas informações num ataque de spearphishing, concebido para induzir o destinatário a instalar inadvertidamente malware no seu dispositivo. Ou, potencialmente, a partilhar as suas credenciais corporativas para acesso inicial. Isto pode ser conseguido através de um email, mensagem de texto ou mesmo uma chamada telefónica. Em alternativa, podem utilizar as informações para se fazerem passar por um executivo de nível C ou fornecedor num email, chamada telefónica ou videochamada, solicitando uma transferência bancária urgente.

Parar de partilhar? Como mitigar o risco de spearphishing

Os riscos de partilhar em excesso são reais, mas felizmente as soluções são simples. A arma mais potente no seu arsenal é a educação. Atualize os programas de sensibilização para a segurança para garantir que todos os funcionários, desde os executivos até aos restantes, compreendam a importância de não partilhar em excesso nas redes sociais. Em alguns casos, isso exigirá um reequilíbrio cuidadoso das prioridades, afastando-se da employee advocacy a todo o custo. Alerte a equipa para evitar partilhar através de mensagens diretas não solicitadas, mesmo que reconheçam o utilizador (uma vez que a sua conta pode ter sido comprometida). E certifique-se de que conseguem identificar tentativas de phishing, BEC e deepfake.

Reforce isso com uma política rígida sobre o uso das redes sociais, definindo limites claros sobre o que pode e o que não pode ser partilhado e aplicando fronteiras claras entre contas pessoais e profissionais/oficiais. Os sites e contas corporativos também podem precisar de ser revistos e atualizados para remover qualquer informação que possa ser usada como arma.

A autenticação multifatorial (MFA) e senhas fortes (armazenadas num gestor de passwords) também devem ser uma prática comum em todas as contas de redes sociais, para o caso de contas profissionais serem invadidas para atacar colegas.

Por fim, monitorize contas acessíveis ao público, sempre que possível, em busca de informações que possam ser utilizadas para spearphishing e BEC. E realize exercícios de red team com os funcionários para testar o seu grau de preparação. Infelizmente, a IA está a tornar mais rápido e fácil do que nunca para os cibercriminosos traçarem perfis de alvos, recolher OSINT e criar emails/mensagens convincentes em linguagem natural perfeita. Os deepfakes alimentados por IA aumentam ainda mais as suas opções. O resultado final deve ser: se está no domínio público, espere que um cibercriminoso também saiba disso... e venha bater à sua porta em breve.

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.