Wiadomości są pełne doniesień o atakach typu "spear phishing" używanych przeciwko rządom, dużym korporacjom i działaczom politycznym. Ataki typu "spear phishing" są obecnie najbardziej rozpowszechnionym sposobem na włamanie się do sieci korporacyjnych, wynika z wielu raportów.
Spear-phishing to nowsza i bardziej niebezpieczna forma phishingu. Zamiast rzucać szeroką sieć w nadziei na złapanie czegokolwiek, włóczęga wykonuje dokładny atak i kieruje go do pojedynczych osób lub określonego działu.
Phishing to praktyka polegająca na podszywaniu się pod kogoś, kto jest godny zaufania i próbuje pozyskać twoje dane. Na przykład phisher może wysyłać wiadomości spamowe udając, że pochodzą z Bank of America, prosząc o kliknięcie łącza, odwiedzić fałszywą witrynę Bank of America (stronę phishingową) i podać dane bankowe.
Jednak phishing nie ogranicza się tylko do poczty e-mail. Phisher może zarejestrować nazwę czatu taką jak "Skype Support" na Skype i skontaktować się z Tobą za pośrednictwem wiadomości Skype, informując, że Twoje konto zostało przejęte i potrzebuje twojego hasła lub numeru karty kredytowej, aby zweryfikować twoją tożsamość. Dokonano tego również w grach online, w których oszuści podszywają się pod administratorów gier i wysyłają wiadomości z prośbą o podanie hasła, których użyliby w celu kradzieży konta. Phishing może się również zdarzyć przez telefon. W przeszłości mogłeś odbierać połączenia telefoniczne pochodzące od firmy Microsoft i twierdzić, że masz wirusa, który musisz zapłacić za usunięcie.
Phisherzy zazwyczaj rzucają bardzo szeroką sieć. E-mail phishingowy Bank of America może być wysyłany do milionów osób, nawet osób, które nie mają kont w Bank of America. Z tego powodu wyłudzanie informacji jest często dość łatwe do wykrycia. Jeśli nie masz relacji z Bank of America i otrzymujesz wiadomość e-mail z informacją, że pochodzi od nich, powinno być jasne, że wiadomość e-mail jest oszustwem. Phisherzy polegają na tym, że jeśli skontaktują się z wystarczającą liczbą osób, ktoś w końcu wpada na ich oszustwo. Z tego samego powodu nadal mamy spamowe wiadomości e-mail - ktoś tam musi się dla nich zakochać, inaczej nie byłoby to opłacalne.
Przyjrzyj się anatomii wiadomości phishingowej, aby uzyskać więcej informacji.
Jeśli tradycyjne wyłudzanie informacji jest aktem rzucania szerokiej sieci w nadziei, że coś złapie, spear phishing jest aktem starannego celowania w konkretną osobę lub organizację i dostosowania ataku do nich osobiście.
Podczas gdy większość wiadomości phishingowych nie jest zbyt specyficznych, atak typu "phishing" wykorzystuje dane osobowe, aby oszustwo wyglądało na prawdziwe. Na przykład, zamiast czytać "Szanowny Panie, proszę kliknąć ten link, aby uzyskać wspaniałe bogactwo i bogactwo", e-mail może brzmieć "Cześć Bob, przeczytaj ten biznesplan, który opracowaliśmy na wtorkowym spotkaniu i daj nam znać, co myślisz". może wydawać się pochodzić od kogoś, kogo znasz (prawdopodobnie z podrobionym adresem e-mail, ale prawdopodobnie z prawdziwym adresem e-mail po włamaniu do ataku typu phishing), a nie kimś, kogo nie znasz. Wniosek jest starannie dopracowany i wygląda na uzasadniony. Wiadomość e-mail może dotyczyć kogoś, kogo znasz, dokonanego zakupu lub innej informacji osobistej.
Ataki typu spear-phishing na cele o wysokiej wartości można łączyć z exploitem zero-day w celu uzyskania maksymalnych obrażeń. Na przykład oszust może wysłać wiadomość e-mail do osoby z określonej firmy, mówiąc "Cześć Bob, czy mógłbyś rzucić okiem na ten raport biznesowy? Jane powiedziała, że przekazałabyś nam swoją opinię. "Z legalnie wyglądającym adresem e-mail. Link może przejść do strony internetowej z wbudowaną aplikacją Java lub Flash, która wykorzystuje lukę w dniu zerowym w celu złamania zabezpieczeń komputera. (Java jest szczególnie niebezpieczna, ponieważ większość ludzi ma nieaktualne i podatne na ataki wtyczki Java.) Po zaatakowaniu komputera, atakujący może uzyskać dostęp do swojej sieci firmowej lub użyć swojego adresu e-mail, aby przeprowadzić ukierunkowane ataki typu "spear phishing" przeciwko innym osobom w sieci. organizacja.
Scammer może również dołączyć niebezpieczny plik, który wygląda jak nieszkodliwy plik. Na przykład wiadomość e-mail typu "spear phishing" może mieć plik PDF, do którego w rzeczywistości dołączono plik .exe.
Ataki typu "spear-phishing" są wykorzystywane przeciwko dużym korporacjom i rządom w celu uzyskania dostępu do ich wewnętrznych sieci. Nie wiemy o każdej korporacji lub rządzie, które zostały naruszone przez udane ataki typu spear-phishing. Organizacje często nie ujawniają dokładnego rodzaju ataku, który ich zaatakował. Nawet nie lubią przyznać, że w ogóle zostali zhakowani.
Szybkie wyszukiwanie ujawnia, że organizacje, w tym Biały Dom, Facebook, Apple, Departament Obrony Stanów Zjednoczonych, The New York Times, Wall Street Journal i Twitter zostały prawdopodobnie zaatakowane przez ataki typu spear-phishing. To tylko niektóre z organizacji, o których wiemy, że zostały naruszone - zakres problemu jest prawdopodobnie znacznie większy.
Jeśli atakujący naprawdę chce zaryzykować cel o wysokiej wartości, atak typu "phishing" - być może w połączeniu z nowym exploitem zerodniowym zakupionym na czarnym rynku - jest często bardzo skutecznym sposobem. Ataki typu "spear phishing" są często wymieniane jako powód, dla którego cel o wysokiej wartości został naruszony.
Jako osoba indywidualna, jesteś mniej prawdopodobny, by stać się celem tak wyrafinowanego ataku niż rządy i korporacje masowe. Jednak atakujący mogą nadal próbować stosować taktykę spear phishingu, umieszczając dane osobowe w wiadomościach phishingowych. Ważne jest, aby zdać sobie sprawę, że ataki phishingowe stają się coraz bardziej wyrafinowane.
Jeśli chodzi o wyłudzanie informacji, powinieneś być czujny. Dbaj o aktualność swojego oprogramowania, aby zapewnić lepszą ochronę przed niepowołanym dostępem, jeśli klikniesz linki w wiadomościach e-mail. Zachowaj szczególną ostrożność podczas otwierania plików załączonych do wiadomości e-mail.Uważaj na nietypowe prośby o podanie danych osobowych, nawet te, które wydają się uzasadnione. Nie używaj ponownie haseł w różnych witrynach, na wypadek gdyby twoje hasło się wydostało.
Ataki phishingowe często starają się robić rzeczy, których legalne firmy nigdy by nie zrobiły. Twój bank nigdy nie wyśle Ci e-maila z prośbą o podanie hasła, firma, z której kupiłeś towar, nigdy nie wyśle Ci e-maila z prośbą o podanie numeru karty kredytowej, a nigdy nie dostaniesz wiadomości od uprawnionej organizacji z prośbą o podanie hasła lub inne poufne informacje. Nie klikaj linków w wiadomościach e-mail i nie podawaj poufnych danych osobowych, bez względu na to, jak przekonujące są strony phishingowe i phishingowe.
Podobnie jak wszystkie formy phishingu, phishing jest formą ataku socjotechnicznego, którego szczególnie trudno się bronić. Wystarczy jedna osoba, która popełni błąd, a napastnicy ustalą stopę w twojej sieci.
Image Credit: Florida Fish and Wildlife na Flickr