Nyhetene er fulle av rapporter om “spear-phishing-angrep” som brukes mot regjeringer, store selskaper og politiske aktivister. Spear-phishing-angrep er nå den vanligste måten bedriftsnettverk kompromitteres på, ifølge mange rapporter.
Spear-phishing er en nyere og farligere form for phishing. I stedet for å kaste et bredt nett i håp om å fange noe i det hele tatt, lager spydfiskeren et forsiktig angrep og retter det mot enkeltpersoner eller en bestemt avdeling.
Phishing forklart
Phishing er praksis å utgi seg for å være pålitelig for å prøve å skaffe seg informasjon. For eksempel kan en phisher sende ut spam-e-post som later til å være fra Bank of America og ber deg om å klikke på en lenke, gå til et falskt Bank of America-nettsted (et phishing-nettsted) og oppgi bankopplysningene dine.
Phishing er imidlertid ikke bare begrenset til e-post. En phisher kan registrere et chat-navn som "Skype Support" på Skype og kontakte deg via Skype-meldinger og si at kontoen din er kompromittert og at de trenger passordet eller kredittkortnummeret ditt for å bekrefte identiteten din. Dette har også blitt gjort i online-spill, der svindlere etterligner spilladministratorer og sender meldinger som ber om passordet ditt, som de vil bruke til å stjele kontoen din. Phishing kan også skje over telefon. Tidligere har du kanskje mottatt telefonsamtaler som hevder å være fra Microsoft og sier at du har et virus du må betale for å fjerne.
Phishers kaster generelt et veldig bredt nett. En phishing-e-post fra Bank of America kan sendes til millioner av mennesker, til og med personer som ikke har Bank of America-kontoer. På grunn av dette er phishing ofte ganske lett å få øye på. Hvis du ikke har et forhold til Bank of America og får en e-post som hevder å være fra dem, bør det være veldig klart at e-posten er svindel. Phishers er avhengige av det faktum at hvis de kontakter nok folk, vil noen til slutt falle for svindelen deres. Dette er den samme grunnen til at vi fremdeles har spam-e-post - noen der ute må falle for dem, ellers ville de ikke være lønnsomme.
Se på anatomien til en phishing-e-post for more information.
Hvordan Spear Phishing er annerledes
Hvis tradisjonell phishing er det å kaste et bredt nett i håp om å fange noe, er spear phishing handling som nøye retter seg mot en bestemt person eller organisasjon og skreddersyr angrepet til dem personlig.
Mens de fleste phishing-e-poster ikke er veldig spesifikke, bruker et spear-phishing-angrep personlig informasjon for å få svindelen til å virke ekte. For eksempel, i stedet for å lese "Kjære herre, vennligst klikk på denne lenken for fantastisk rikdom og rikdom", kan det være i e-postmeldingen "Hei Bob, vennligst les denne forretningsplanen vi utarbeidet på tirsdagens møte og gi oss beskjed om hva du synes." E-posten kan se ut til å komme fra noen du kjenner (muligens med en forfalsket e-postadresse , men muligens med en ekte e-postadresse etter at personen ble kompromittert i et phishing-angrep) i stedet for noen du ikke kjenner. Forespørselen er mer nøye utformet og ser ut som den kan være legitim. E-posten kan henvise til noen du kjenner, et kjøp du har gjort eller annen personlig informasjon.
Spyd-phishing-angrep på høyverdige mål kan kombineres med en null-dagers utnyttelse for maksimal skade. En svindler kan for eksempel sende en e-post til en person til en bestemt bedrift og si: "Hei Bob, vil du ta en titt på denne forretningsrapporten? Jane sa at du ville gi oss noen tilbakemeldinger. ” med en legitim e-postadresse. Koblingen kan gå til en webside med innebygd Java- eller Flash-innhold som utnytter null-dagers tid til å kompromittere datamaskinen. ( Java er spesielt farlig , ettersom folk flest har utdaterte og sårbare Java-plugin-moduler installert.) Når datamaskinen er kompromittert, kan angriperen få tilgang til bedriftens nettverk eller bruke e-postadressen sin til å starte målrettede spydfiskeangrep mot andre personer i organisasjonen.
En svindler kan også legge ved en farlig fil det er forkledd for å se ut som en ufarlig fil . For eksempel kan en e-post med spydfiske ha en PDF-fil som faktisk er en .exe-fil vedlagt.
Som virkelig trenger å bekymre seg
Spyd-phishing-angrep blir brukt mot store selskaper og regjeringer for å få tilgang til deres interne nettverk. Vi vet ikke om alle selskaper eller regjeringer som har blitt kompromittert av vellykkede spydfiskeangrep. Organisasjoner avslører ofte ikke den eksakte typen angrep som kompromitterte dem. De liker ikke engang å innrømme at de i det hele tatt har blitt hacket.
Et raskt søk avslører at organisasjoner, inkludert Det hvite hus, Facebook, Apple, det amerikanske forsvarsdepartementet, The New York Times, Wall Street Journal og Twitter, sannsynligvis har blitt kompromittert av spydfiskeangrep. Dette er bare noen få av organisasjonene vi vet har blitt kompromittert - omfanget av problemet er sannsynligvis mye større.
Hvis en angriper virkelig vil kompromittere et høyt verdimål, er et spydfiskeangrep - kanskje kombinert med en ny null-dagers utnyttelse kjøpt på det svarte markedet - ofte en veldig effektiv måte å gjøre det på. Spyd-phishing-angrep blir ofte nevnt som årsaken når et høyt verdimål brytes.
Beskytte deg mot Spear Phishing
Som individ er du mindre sannsynlig å være målet for et så sofistikert angrep enn regjeringer og massive selskaper. Angriperne kan imidlertid fremdeles prøve å bruke taktikk mot spydfisking mot deg ved å inkludere personlig informasjon i phishing-e-post. Det er viktig å innse at phishing-angrep blir mer sofistikerte.
Når det gjelder phishing, bør du være årvåken. Hold programvaren oppdatert slik at du blir bedre beskyttet mot å bringe kompromittert hvis du klikker på koblinger i e-post. Vær ekstra forsiktig når du åpner filer som er vedlagt e-post. Vokt dere for uvanlige forespørsler om personlig informasjon, til og med de som virker som om de kan være legitime. Ikke bruk passord på nytt på forskjellige nettsteder, bare i tilfelle passordet ditt ikke kommer ut.
Phishing-angrep prøver ofte å gjøre ting som legitime bedrifter aldri ville gjort. Banken din vil aldri sende deg en e-post og be om passordet ditt, en bedrift du har kjøpt varer fra, vil aldri sende deg en e-post og be om kredittkortnummeret ditt, og du vil aldri få en øyeblikkelig melding fra en legitim organisasjon som ber deg om passordet ditt eller annen sensitiv informasjon. Ikke klikk på koblinger i e-post og gi ut sensitiv personlig informasjon, uansett hvor overbevisende phishing-e-postadressen og phishing-nettstedet er.
Som alle former for phishing er spear-phishing en form for sosialteknisk angrep som er spesielt vanskelig å forsvare seg mot. Alt som trengs er at en person gjør en feil, og angriperne vil ha etablert et tårn i nettverket ditt.
Bildekreditt: Florida fisk og dyreliv på Flickr
