Spear-phishing je novšia a nebezpečnejšia forma phishingu. Namiesto toho, aby casting širokú sieť v nádeji, že niečo chytiť, spear-phisher remeselne opatrný útok a zameriava ho na jednotlivcov alebo konkrétne oddelenie.
Phishing vysvetlil
Phishing je praktizovanie zosobnenia niekoho, kto je dôveryhodný, aby sa pokúsil získať vaše informácie. Napríklad phisher by mohol poslať e-maily s nevyžiadanou poštou, ktoré predstierali, že sú z Bank of America a požiadajú vás, aby ste klikli na odkaz, navštívili falošnú internetovú stránku Bank of America (phishing site) a zadali svoje bankové údaje.
Phishing nie je obmedzený iba na e-mail. Phisher by sa mohol zaregistrovať v systéme Skype ako Skype Support a kontaktovať vás prostredníctvom Skype správ, že Váš účet bol ohrozený a potrebujú vaše heslo alebo číslo kreditnej karty na overenie vašej identity. To sa taktiež deje v online hrách, kde sa podvodníci vydávajú za správcov hier a posielajú správy s požiadavkou na heslo, ktoré by použili na ukradnutie vášho účtu. Phishing sa môže vyskytnúť aj telefonicky. V minulosti ste možno dostali telefonické hovory, ktoré tvrdia, že pochádza od spoločnosti Microsoft a hovoria, že máte vírus, ktorý musíte zaplatiť za odstránenie.
Phishers všeobecne odovzdávajú veľmi širokú sieť. Email phishingu Bank of America môže byť zaslaný miliónom ľudí, dokonca aj ľuďom, ktorí nemajú účty Bank of America. Z tohto dôvodu je phishing často pomerne ľahko rozpoznateľný. Ak nemáte vzťah s Bank of America a nedostanete e-mail s tvrdením, že je od nich, malo by byť veľmi jasné, že e-mail je podvod. Phishers závisia od skutočnosti, že ak sa dostanú do kontaktu s dostatočným počtom ľudí, niekto sa nakoniec dostane podvodu. To je rovnaký dôvod, prečo stále máme e-maily s nevyžiadanou poštou - niekto z nich musí byť pre nich spadnutý, alebo by neboli ziskové.
Pozrite si anatómiu phishingovej e-mailovej správy pre viac informácií.
Ako je Spear Phishing odlišný
Ak je tradičné phishing aktom odovzdania širokej siete v nádeji na chytenie niečoho, spear phishing je akt opatrného zamerania na konkrétneho jednotlivca alebo organizáciu a prispôsobenie útoku osobne.
Zatiaľ čo väčšina e-mailov s phishingom nie je veľmi špecifická, útok typu phishing s použitím oštepov využíva osobné informácie na to, aby sa podvod považoval za skutočný. Napríklad skôr ako čítať "Vážený pane, prosím, kliknite na tento odkaz pre báječné bohatstvo a bohatstvo" e-mail môže povedať "Ahoj Bob, prosím, prečítajte si tento obchodný plán, ktorý sme pripravili na utorok stretnutia a dajte nám vedieť, čo si myslíte. sa zdá, že pochádza od niekoho, koho poznáte (možno s falošnou e-mailovou adresou, ale pravdepodobne s skutočnou e-mailovou adresou po tom, ako bola osoba napadnutá v prípade útoku typu phishing), a nie niekoho, koho nepoznáte. Žiadosť je dôkladnejšie vytvorená a vyzerá to, že by mohla byť legitímna. E-mail by mohol odkazovať na niekoho, koho poznáte, na nákup, ktorý ste vykonali, alebo na inú osobnú informáciu.
Útoky spôsobujúce neoprávnené kopírovanie na ciele s vysokou hodnotou môžu byť kombinované s využitím nultého dňa na maximálne poškodenie. Napríklad, podvodník by mohol e-mailom jednotlivca v konkrétnom podniku povedať "Ahoj Bob, prosím, pozri sa na túto obchodnú správu? Jane povedala, že nám poskytnete spätnú väzbu. "S legitímne vyzerajúcou e-mailovou adresou. Odkaz môže ísť na webovú stránku s vloženým obsahom Java alebo Flash, ktorý využíva nulový deň na kompromitáciu počítača. (Java je obzvlášť nebezpečné, pretože väčšina ľudí má zastarané a zraniteľné zásuvné moduly Java.) Po napadnutí počítača by útočník mohol pristupovať k firemnej sieti alebo použiť svoju e-mailovú adresu na spustenie cielených útokov typu phishing na kopy proti iným osobám organizácie.
Scammer by mohol pripojiť aj nebezpečný súbor, ktorý je skrytý, aby vyzeral ako neškodný súbor. Napríklad e-mail s phishingom o spear môže mať súbor PDF, ktorý je v skutočnosti pripojený k súboru.exe.
Kto sa skutočne musí starať
Pri veľkých korporáciách a vládach sa používajú útoky typu phishing na oštepovanie, ktoré majú prístup k interným sieťam. Nevieme o každej spoločnosti alebo vláde, ktorá bola ohrozená úspešnými útokmi proti kopírovaniu. Organizácie často nezverejňujú presný typ útoku, ktorý ich ohrozil. Dokonca nemajú radi pripustiť, že boli vôbec v hacke.
Rýchle vyhľadávanie odhaľuje, že organizácie vrátane Bieleho domu, Facebooku, Apple, Ministerstva obrany USA, The New York Times, Wall Street Journal a Twitter sú pravdepodobne ohrozené útokmi typu phishing. To sú len niektoré organizácie, o ktorých vieme, že boli ohrozené - rozsah problému je pravdepodobne omnoho väčší.
Ak útočník naozaj chce kompromitovať cieľ s vysokou hodnotou, často je to veľmi efektívny spôsob útoku typu phishing na oštep - možno v kombinácii s novým zneužitím na nulu na čiernom trhu. Útoky typu phishing sú často uvedené ako príčina, keď dôjde k prekročeniu cieľa s vysokou hodnotou.
Chráňte sa pred kopírovaním
Ako jednotlivec ste menej pravdepodobné, že ste cieľom takého sofistikovaného útoku, ako vlády a masívne podniky. Avšak útočníci sa môžu pokúšať o použitie taktiky proti kopírovaniu pod vplyvom kopírovania proti vám tým, že obsahujú osobné údaje do phishingových e-mailov. Je dôležité si uvedomiť, že phishingové útoky sú stále sofistikovanejšie.
Pokiaľ ide o phishing, mali by ste byť ostražití. Udržujte svoj softvér aktuálny, aby ste boli lepšie chránení pred poškodením, ak kliknete na odkazy v e-mailoch. Buďte veľmi opatrní pri otváraní súborov priložených k e-mailom. Dajte si pozor na neobvyklé žiadosti o osobné informácie, dokonca aj tie, ktoré sa zdajú byť oprávnené. Nepoužívajte opakované použitie hesiel na rôznych webových stránkach, len ak sa vaše heslo dostane von.
Phishingové útoky sa často snažia robiť veci, ktoré by legitímne firmy nikdy neurobili. Vaša banka vás nikdy nepošle e-mailom a nepožiada vás o heslo, spoločnosť, od ktorej ste získali tovar, vám nikdy neposiela e-mail a požiada o číslo vašej kreditnej karty a nikdy nedostanete okamžitú správu od legitímnej organizácie, ktorá vás požiada o vaše heslo alebo iných citlivých informácií. Neklikajte na odkazy v e-mailoch a poskytnite citlivé osobné informácie, bez ohľadu na to, ako presvedčivý je email phishingu a phishingového webu.
Podobne ako všetky formy neoprávneného získavania údajov je spev-phishing formou útoku sociálneho inžinierstva, proti ktorému je obzvlášť ťažké brániť. Jediné, čo urobí, je, že jedna osoba urobí chybu a útočníci budú mať vo vašej sieti vytvorené toehold.
