Tato zpráva je plná zpráv o „útokech typu phishing“, které se používají proti vládám, velkým korporacím a politickým aktivistům. Podle mnoha zpráv jsou nyní útoky typu phear spear nejběžnějším způsobem napadení podnikových sítí.
Spear-phishing je novější a nebezpečnější forma phishingu. Místo toho, aby vrhl širokou síť v naději, že vůbec něco chytí, provede kopí-phisher pečlivý útok a zamíří na jednotlivé lidi nebo konkrétní oddělení.
Vysvětlení phishingu
Phishing je praxe vydávání se za někoho důvěryhodného, aby se pokusil získat vaše informace. Například phisher může rozesílat nevyžádané e-maily, které předstírají, že pocházejí z Bank of America a žádají vás, abyste klikli na odkaz, navštívili falešný web Bank of America (phishingový web) a zadali vaše bankovní údaje.
Phishing se však neomezuje pouze na e-mail. Phisher může zaregistrovat název chatu jako „Podpora Skype“ na Skypu a kontaktovat vás prostřednictvím zpráv Skype s tím, že váš účet byl prolomen a potřebuje vaše heslo nebo číslo kreditní karty k ověření vaší identity. To se také stalo v online hrách, kde podvodníci se vydávají za správce her a posílají zprávy s žádostí o vaše heslo, které by použili k odcizení vašeho účtu. K phishingu může dojít také prostřednictvím telefonu. V minulosti jste možná obdrželi telefonní hovory, které tvrdily, že jsou od společnosti Microsoft, a říkali, že máte virus, který musíte odstranit.
Phisherové vrhají obecně velmi širokou síť. Phishingový e-mail Bank of America může být zasílán milionům lidí, dokonce i lidem, kteří nemají účty Bank of America. Z tohoto důvodu je phishing často poměrně snadno zjistitelný. Pokud nemáte vztah s Bank of America a dostanete e-mail s tvrzením, že jste od nich, mělo by být zcela jasné, že e-mail je podvod. Phishers závisí na skutečnosti, že pokud kontaktují dostatek lidí, někdo nakonec podlehne jejich podvodu. To je stejný důvod, proč stále máme nevyžádané e-maily - někdo tam venku musí být zamilovaný, jinak by nebyl ziskový.
Podívejte se na anatomie phishingového e-mailu Pro více informací.
Jak se phishing s kopími liší
Pokud je tradičním phishingem vrhání široké sítě v naději, že něco chytíte, phishing v oštěpu je akt pečlivého zacílení na konkrétní osobu nebo organizaci a přizpůsobení útoku osobně.
I když většina phishingových e-mailů není příliš konkrétní, phishingový útok typu spear využívá osobní údaje, aby se podvod zdál skutečný. Například namísto čtení „Vážený pane, klikněte prosím na tento odkaz, abyste získali báječné bohatství“, v e-mailu může být uvedeno „Ahoj Bob, přečtěte si prosím tento obchodní plán, který jsme vypracovali na úterní schůzce, a dejte nám vědět, co si myslíte.“ Zdá se, že e-mail pochází od někoho, koho znáte (pravděpodobně s padělaná e-mailová adresa , ale pravděpodobně se skutečnou e-mailovou adresou poté, co byla osoba napadena phishingovým útokem), spíše než někoho, koho neznáte. Žádost je zpracována pečlivěji a vypadá to, že by mohla být legitimní. E-mail může odkazovat na někoho, koho znáte, na nákup, který jste provedli, nebo na jinou osobní informaci.
Spear-phishingové útoky na vysoce hodnotné cíle lze kombinovat s a zneužití nulového dne pro maximální poškození. Například podvodník mohl poslat e-mail jednotlivci v konkrétní firmě a řekl: „Ahoj Bobe, prohlédněte si prosím tuto obchodní zprávu? Jane řekla, že nám dáte nějakou zpětnou vazbu. “ s legitimně vypadající e-mailovou adresou. Odkaz může přejít na webovou stránku s vloženým obsahem Java nebo Flash, která využívá nultého dne ke kompromitaci počítače. ( Java je obzvláště nebezpečná , protože většina lidí má nainstalované zastaralé a zranitelné zásuvné moduly Java.) Jakmile je počítač napaden, útočník by mohl získat přístup k jejich podnikové síti nebo použít svou e-mailovou adresu k provedení cílených útoků typu phishing na kopí proti jiným osobám v organizaci.
Podvodník může také připojit nebezpečný soubor to je maskovaný, aby vypadal jako neškodný spis . Například e-mail s phishingem oštěpem může mít připojený soubor PDF, který je ve skutečnosti souborem exe.
Kdo se opravdu musí obávat
K přístupu do jejich interních sítí se proti velkým korporacím a vládám používají útoky typu phishing. Nevíme o každé korporaci nebo vládě, která byla kompromitována úspěšnými phishingovými útoky. Organizace často nezveřejňují přesný typ útoku, který je napadl. Dokonce neradi přiznávají, že byli vůbec hacknuti.
Rychlé vyhledávání odhalí, že organizace včetně Bílého domu, Facebooku, Apple, amerického ministerstva obrany, The New York Times, Wall Street Journal a Twitteru byly pravděpodobně kompromitovány phishingovými útoky. Je to jen několik organizací, o kterých víme, že byly kompromitovány - rozsah problému je pravděpodobně mnohem větší.
Pokud chce útočník skutečně kompromitovat cíl vysoké hodnoty, je útok phishingem kopí - možná v kombinaci s novým exploitem nulového dne zakoupeným na černém trhu - často velmi účinným způsobem, jak toho dosáhnout. Spear-phishingové útoky jsou často zmiňovány jako příčina při porušení cíle vysoké hodnoty.
Chraňte se před phishingem kopím
Jako jednotlivce je méně pravděpodobné, že se stanete terčem tak sofistikovaného útoku, než jsou vlády a obrovské korporace. Útočníci se však stále mohou pokusit použít proti vám taktiku phishingu pomocí oštěpu začleněním osobních údajů do phishingových e-mailů. Je důležité si uvědomit, že phishingové útoky jsou stále sofistikovanější.
Pokud jde o phishing, měli byste být ostražití. Udržujte svůj software aktuální, abyste byli lépe chráněni před zneužitím, pokud kliknete na odkazy v e-mailech. Při otevírání souborů připojených k e-mailům buďte velmi opatrní. Dejte si pozor na neobvyklé žádosti o osobní údaje, dokonce i na ty, které vypadají, jako by mohly být legitimní. Nepoužívejte hesla znovu na různých webových stránkách, pro případ, že by se vaše heslo dostalo ven.
Phishingové útoky se často snaží dělat věci, které by legitimní podniky nikdy neudělaly. Vaše banka vám nikdy nebude posílat e-maily a žádat o heslo, firma, od které jste zakoupili zboží, vám nikdy nebude posílat e-maily a žádat o číslo vaší kreditní karty a nikdy vám nebude zaslána okamžitá zpráva od legitimní organizace, která vás požádá o heslo nebo jiné citlivé informace. Neklikejte na odkazy v e-mailech a neuvádějte citlivé osobní údaje, bez ohledu na to, jak přesvědčivý je phishingový e-mail a phishingový web.
Stejně jako všechny formy phishingu je phishing oštěpem formou útoku sociálního inženýrství, proti které je obzvláště těžké se bránit. Stačí, když jedna osoba udělá chybu a útočníci si ve vaší síti vytvoří špičku.
Kredit obrázku: Florida Fish and Wildlife on Flickr
