Τα νέα είναι γεμάτα αναφορές για «επιθέσεις ψαρέματος-ψαρέματος» που χρησιμοποιούνται εναντίον κυβερνήσεων, μεγάλων εταιρειών και πολιτικών ακτιβιστών. Οι επιθέσεις με ψαρέματα ψαρέματος (phear-phishing) είναι πλέον ο συνηθέστερος τρόπος με τον οποίο διακυβεύονται τα εταιρικά δίκτυα, σύμφωνα με πολλές αναφορές.
Το spear-phishing είναι μια νεότερη και πιο επικίνδυνη μορφή phishing. Αντί να ρίχνει ένα μεγάλο δίχτυ με την ελπίδα να πιάσει οτιδήποτε, ο δόρυ-ψαρέας επινοεί μια προσεκτική επίθεση και στοχεύει σε μεμονωμένους ανθρώπους ή σε ένα συγκεκριμένο τμήμα.
Επεξήγηση του ηλεκτρονικού ψαρέματος
Το ηλεκτρονικό ψάρεμα είναι η πρακτική της πλαστοπροσωπίας κάποιου αξιόπιστου για να προσπαθήσει να αποκτήσει τις πληροφορίες σας. Για παράδειγμα, ένας phisher ενδέχεται να στείλει ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που προσποιούνται ότι προέρχονται από την Bank of America ζητώντας σας να κάνετε κλικ σε έναν σύνδεσμο, να επισκεφθείτε έναν ψεύτικο ιστότοπο της Bank of America (έναν ιστότοπο ηλεκτρονικού ψαρέματος) και να εισαγάγετε τα τραπεζικά σας στοιχεία.
Ωστόσο, το ηλεκτρονικό ψάρεμα δεν περιορίζεται μόνο στο ηλεκτρονικό ταχυδρομείο. Ένας phisher θα μπορούσε να δηλώσει ένα όνομα συνομιλίας όπως το "Υποστήριξη Skype" στο Skype και να επικοινωνήσει μαζί σας μέσω μηνυμάτων Skype, λέγοντας ότι ο λογαριασμός σας έχει παραβιαστεί και χρειάζονται τον κωδικό πρόσβασης ή τον αριθμό της πιστωτικής σας κάρτας για να επαληθεύσετε την ταυτότητά σας. Αυτό έγινε επίσης σε διαδικτυακά παιχνίδια, όπου οι απατεώνες πλαστοπροσωπούν τους διαχειριστές παιχνιδιών και στέλνουν μηνύματα ζητώντας τον κωδικό πρόσβασής σας, τα οποία θα χρησιμοποιούσαν για να κλέψουν τον λογαριασμό σας. Το ηλεκτρονικό ψάρεμα θα μπορούσε επίσης να συμβεί μέσω τηλεφώνου. Στο παρελθόν, ενδέχεται να έχετε λάβει τηλεφωνικές κλήσεις που ισχυρίζονται ότι προέρχονται από τη Microsoft και λέτε ότι έχετε έναν ιό που πρέπει να πληρώσετε για να καταργήσετε.
Οι phishers γενικά ρίχνουν ένα πολύ ευρύ δίχτυ. Ένα ηλεκτρονικό ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος" της Bank of America μπορεί να σταλεί σε εκατομμύρια άτομα, ακόμη και σε άτομα που δεν έχουν λογαριασμούς Bank of America. Εξαιτίας αυτού, το ηλεκτρονικό ψάρεμα είναι αρκετά εύκολο να εντοπιστεί. Εάν δεν έχετε σχέση με την Bank of America και λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι προέρχεται από αυτές, θα πρέπει να είναι πολύ σαφές ότι το μήνυμα ηλεκτρονικού ταχυδρομείου είναι απάτη. Οι ψαράδες εξαρτώνται από το γεγονός ότι, εάν επικοινωνήσουν με αρκετά άτομα, κάποιος θα πέσει τελικά για την απάτη του. Αυτός είναι ο ίδιος λόγος για τον οποίο εξακολουθούμε να έχουμε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου - κάποιος εκεί έξω πρέπει να πέφτει γι 'αυτόν ή δεν θα ήταν κερδοφόρος.
Ρίξε μια ματιά στο την ανατομία ενός ηλεκτρονικού ψαρέματος ηλεκτρονικού "ψαρέματος" Για περισσότερες πληροφορίες.
Πώς είναι το Spear Phishing διαφορετικό
Εάν το παραδοσιακό ηλεκτρονικό ψάρεμα (phishing) είναι η πράξη του ρίχνοντας ένα μεγάλο δίχτυ με την ελπίδα να πιάσει κάτι, το ψαρέμα ψαρέματος είναι η πράξη στοχεύοντας προσεκτικά σε ένα συγκεκριμένο άτομο ή οργανισμό και προσαρμόζοντας την επίθεση σε αυτούς προσωπικά.
Ενώ τα περισσότερα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" δεν είναι πολύ συγκεκριμένα, μια επίθεση ψαρέματος ψαρέματος χρησιμοποιεί προσωπικά στοιχεία για να κάνει την απάτη να φαίνεται πραγματική. Για παράδειγμα, αντί να διαβάζετε "Αγαπητέ Κύριε, παρακαλώ κάντε κλικ σε αυτόν τον σύνδεσμο για υπέροχο πλούτο και πλούτο", το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να λέει "Γεια σας Μπομπ, διαβάστε αυτό το επιχειρηματικό σχέδιο που συντάξαμε στη συνάντηση της Τρίτης και ενημερώστε μας για τη γνώμη σας." Το email μπορεί να φαίνεται να προέρχεται από κάποιον που γνωρίζετε (πιθανώς με ένα πλαστή διεύθυνση email , αλλά πιθανότατα με μια πραγματική διεύθυνση ηλεκτρονικού ταχυδρομείου μετά από παραβίαση του ατόμου σε επίθεση ηλεκτρονικού ψαρέματος (phishing)) και όχι με κάποιον που δεν γνωρίζετε. Το αίτημα είναι πιο προσεκτικά επεξεργασμένο και φαίνεται ότι θα μπορούσε να είναι νόμιμο. Το μήνυμα ηλεκτρονικού ταχυδρομείου θα μπορούσε να αναφέρεται σε κάποιον που γνωρίζετε, σε μια αγορά που έχετε πραγματοποιήσει ή σε άλλα προσωπικά στοιχεία.
Οι επιθέσεις ψαρέματος ψαρέματος σε στόχους υψηλής αξίας μπορούν να συνδυαστούν με α μηδενική εκμετάλλευση για μέγιστη ζημιά. Για παράδειγμα, ένας απατεώνας θα μπορούσε να στείλει μήνυμα ηλεκτρονικού ταχυδρομείου σε ένα άτομο σε μια συγκεκριμένη επιχείρηση λέγοντας "Γεια σας Μπομπ, παρακαλώ ρίξτε μια ματιά σε αυτήν την επιχειρηματική αναφορά; Η Τζέιν είπε ότι θα μας δώσετε κάποια σχόλια. με μια νόμιμη διεύθυνση email. Ο σύνδεσμος θα μπορούσε να μεταβεί σε μια ιστοσελίδα με ενσωματωμένο περιεχόμενο Java ή Flash που εκμεταλλεύεται το μηδέν ημέρα για να θέσει σε κίνδυνο τον υπολογιστή. ( Η Java είναι ιδιαίτερα επικίνδυνη , καθώς τα περισσότερα άτομα έχουν εγκαταστήσει παλιές και ευπαθείς προσθήκες Java.) Μόλις ο υπολογιστής είναι σε κίνδυνο, ο εισβολέας θα μπορούσε να αποκτήσει πρόσβαση στο εταιρικό του δίκτυο ή να χρησιμοποιήσει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του για να ξεκινήσει στοχευμένες επιθέσεις ηλεκτρονικού ψαρέματος (phear-phishing) εναντίον άλλων ατόμων στον οργανισμό.
Ένας απατεώνας θα μπορούσε επίσης να συνδέσει ένα επικίνδυνο αρχείο αυτό είναι μεταμφιεσμένη να μοιάζει με ένα ακίνδυνο αρχείο . Για παράδειγμα, ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος ηλεκτρονικού ψαρέματος (phear-phishing) μπορεί να έχει ένα αρχείο PDF που είναι συνημμένο.
Ποιος πραγματικά χρειάζεται να ανησυχεί
Οι επιθέσεις ψαρέματος ψαρέματος χρησιμοποιούνται εναντίον μεγάλων εταιρειών και κυβερνήσεων για πρόσβαση στα εσωτερικά τους δίκτυα. Δεν γνωρίζουμε για κάθε εταιρεία ή κυβέρνηση που έχει παραβιαστεί από επιτυχείς επιθέσεις spear-phishing. Οι οργανισμοί συχνά δεν αποκαλύπτουν τον ακριβή τύπο επίθεσης που τους έθεσε σε κίνδυνο. Δεν θέλουν καν να παραδεχτούν ότι έχουν παραβιαστεί.
Μια γρήγορη αναζήτηση αποκαλύπτει ότι οργανισμοί όπως ο Λευκός Οίκος, το Facebook, η Apple, το Υπουργείο Άμυνας των ΗΠΑ, οι New York Times, η Wall Street Journal και το Twitter πιθανότατα έχουν παραβιαστεί από επιθέσεις ψαρέματος. Αυτές είναι μόνο μερικές από τις οργανώσεις που γνωρίζουμε ότι έχουν παραβιαστεί - η έκταση του προβλήματος είναι πιθανώς πολύ μεγαλύτερη.
Εάν ένας εισβολέας θέλει πραγματικά να θέσει σε κίνδυνο έναν στόχο υψηλής αξίας, μια επίθεση spear-phishing - ίσως σε συνδυασμό με μια νέα εκμετάλλευση μηδενικής ημέρας που αγοράστηκε στη μαύρη αγορά - είναι συχνά ένας πολύ αποτελεσματικός τρόπος για να γίνει αυτό. Οι επιθέσεις ψαρέματος ψαρέματος αναφέρονται συχνά ως αιτία όταν παραβιάζεται ένας στόχος υψηλής αξίας.
Προστατεύστε τον εαυτό σας από το ψαροτούφεκο
Ως άτομο, είναι λιγότερο πιθανό να είστε ο στόχος μιας τόσο περίπλοκης επίθεσης από τις κυβερνήσεις και τις μαζικές εταιρείες. Ωστόσο, οι εισβολείς ενδέχεται να εξακολουθούν να προσπαθούν να χρησιμοποιήσουν τακτικές ψαρέματος ψαρέματος εναντίον σας, ενσωματώνοντας προσωπικά στοιχεία σε μηνύματα ηλεκτρονικού "ψαρέματος". Είναι σημαντικό να συνειδητοποιήσετε ότι οι επιθέσεις ηλεκτρονικού ψαρέματος γίνονται πιο περίπλοκες.
Όσον αφορά το ηλεκτρονικό ψάρεμα, θα πρέπει να είστε προσεκτικοί. Διατηρήστε το λογισμικό σας ενημερωμένο, έτσι ώστε να προστατεύεστε καλύτερα από παραβίαση εάν κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου. Να είστε ιδιαίτερα προσεκτικοί όταν ανοίγετε αρχεία που επισυνάπτονται σε μηνύματα ηλεκτρονικού ταχυδρομείου. Προσέξτε τα ασυνήθιστα αιτήματα για προσωπικές πληροφορίες, ακόμη και αυτά που φαίνονται σαν να είναι νόμιμα. Μην επαναχρησιμοποιείτε κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους, σε περίπτωση που ο κωδικός πρόσβασής σας βγει.
Οι επιθέσεις ηλεκτρονικού "ψαρέματος" συχνά προσπαθούν να κάνουν πράγματα που οι νόμιμες επιχειρήσεις δεν θα κάνουν ποτέ. Η τράπεζά σας δεν θα σας στείλει ποτέ email και θα ζητήσει τον κωδικό πρόσβασής σας, μια επιχείρηση από την οποία αγοράσατε προϊόντα δεν θα σας στείλει ποτέ email και θα ζητήσει τον αριθμό της πιστωτικής σας κάρτας και δεν θα λάβετε ποτέ ένα άμεσο μήνυμα από έναν νόμιμο οργανισμό που θα σας ζητά τον κωδικό πρόσβασής σας ή άλλες ευαίσθητες πληροφορίες. Μην κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου και μην δώσετε ευαίσθητα προσωπικά στοιχεία, ανεξάρτητα από το πόσο πειστικό είναι το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος και ο ιστότοπος ηλεκτρονικού ψαρέματος.
Όπως όλες οι μορφές ηλεκτρονικού ψαρέματος, το ψαροτούφεκο είναι μια μορφή επίθεσης κοινωνικής μηχανικής που είναι ιδιαίτερα δύσκολο να υπερασπιστεί. Το μόνο που χρειάζεται είναι ένα άτομο που κάνει ένα λάθος και οι επιτιθέμενοι θα έχουν δημιουργήσει ένα χτύπημα στο δίκτυό σας.
Πιστωτική εικόνα: Φλόριντα Ψάρια και άγρια ζωή στο Flickr
