Phishing de lança ou spear phishing é a designação em português para spear phishing, um tipo de ataque de phishing altamente direcionado, no qual o atacante escolhe uma pessoa, empresa ou função específica e cria uma mensagem personalizada para aumentar drasticamente a probabilidade de sucesso.
Ao contrário do phishing tradicional (massivo e genérico), o phishing de lança é cirúrgico, baseado em informação real sobre a vítima.
Porque se chama phishing de lança
O nome resulta da metáfora:
- Phishing comum → rede lançada a muitas vítimas, sem alvo específico
- Phishing de lança → ataque direto, preciso e intencional
Este tipo de ataque exige recolha prévia de informação, mas é muito mais eficaz.
Como funciona um ataque de phishing de lança
O processo típico inclui várias fases bem definidas:
- Recolha de informação O atacante pesquisa dados sobre a vítima:
- Nome
- Cargo
- Empresa
- Email profissional
- Redes sociais
- Fornecedores ou clientes
- Preparação da mensagem A mensagem é personalizada e credível:
- Linguagem adequada ao contexto
- Referências reais
- Assunto plausível
- Envio do ataque Normalmente por:
- Mensagens internas
- Plataformas empresariais
- Ação da vítima A vítima:
- Clica num link
- Abre um anexo
- Fornece credenciais
- Autoriza um pagamento
- Comprometimento O atacante obtém acesso, dados ou controlo financeiro.
Exemplos comuns de phishing de lança
- Email falso a fingir ser o diretor da empresa
- Pedido urgente de pagamento “confidencial”
- Fatura falsa de um fornecedor real
- Pedido de redefinição de password personalizado
- Convite para documento partilhado com nome real
- Mensagem dirigida apenas ao administrador da loja online
Diferença entre phishing comum e phishing de lança
| Característica | Phishing comum | Phishing de lança |
|---|---|---|
| Alvo | Massivo | Específico |
| Personalização | Nenhuma ou mínima | Elevada |
| Taxa de sucesso | Baixa | Alta |
| Preparação | Pouca | Elevada |
| Risco para empresas | Médio | Muito elevado |
Porque é tão eficaz
O phishing de lança funciona porque:
- Explora confiança pré-existente
- Usa informação verdadeira
- Evita erros óbvios
- Cria urgência e autoridade
- Passa facilmente por filtros automáticos
Mesmo utilizadores experientes podem ser enganados.
Riscos para empresas e lojas online
Em contexto empresarial, o phishing de lança pode resultar em:
- Transferências bancárias fraudulentas
- Roubo de credenciais administrativas
- Acesso a backoffices de lojas online
- Violação de dados de clientes
- Comprometimento de contas de email
- Incumprimento do RGPD
É uma das principais causas de Business Email Compromise (BEC).
Sinais de alerta de phishing de lança
Alguns indícios técnicos e comportamentais:
- Pedido urgente e fora do normal
- Comunicação “confidencial” ou secreta
- Pequenas alterações no domínio do email
- Pedidos para contornar procedimentos
- Links encurtados ou inesperados
- Anexos com nomes genéricos ou suspeitos
Nenhum sinal isolado é definitivo, mas o conjunto é crítico.
Como prevenir phishing de lança
A prevenção exige medidas humanas e técnicas:
- Formação contínua de colaboradores
- Políticas claras de validação de pedidos
- Dupla verificação para pagamentos
- Autenticação multifator
- Filtros avançados de email
- Verificação manual de remetentes
- Simulações regulares de phishing
- Princípio do menor privilégio
A consciencialização é a defesa mais eficaz.
Phishing de lança e segurança na internet
O phishing de lança é atualmente uma das técnicas mais perigosas da segurança na internet, porque contorna tecnologia e ataca diretamente o fator humano.
À medida que mais informação pessoal e profissional fica pública, estes ataques tornam-se cada vez mais sofisticados.
Conclusão
Phishing de lança é um ataque direcionado e altamente personalizado, criado para enganar uma vítima específica e obter acesso, dados ou dinheiro. É muito mais eficaz do que o phishing tradicional e representa um risco elevado para empresas e lojas online.
A única defesa sólida é a combinação de processos bem definidos, formação contínua e verificação rigorosa.