18Aug
Wiadomości są pełne raportów o "atakach typu" spear phishing "używanych przeciwko rządom, dużym korporacjom i działaczom politycznym. Ataki typu "spear phishing" są obecnie najczęstszym sposobem, w jaki sieci korporacyjne są zagrożone, wynika z wielu raportów.
Spear-phishing to nowsza i bardziej niebezpieczna forma phishingu. Zamiast rzucać szeroką sieć w nadziei na złapanie czegokolwiek, włóczęga wykonuje dokładny atak i kieruje go do pojedynczych osób lub określonego działu.
Wyłudzanie informacji wyłudzających informacje
Wyłudzanie danych to praktyka polegająca na podszywaniu się pod kogoś, kto jest godny zaufania, aby spróbować zdobyć twoje informacje. Na przykład phisher może wysyłać wiadomości spamowe udając, że pochodzą z Bank of America, prosząc o kliknięcie łącza, odwiedzić fałszywą witrynę Bank of America( stronę phishingową) i podać dane bankowe.
Phishing nie ogranicza się jednak tylko do poczty e-mail. Phisher może zarejestrować nazwę czatu taką jak "Skype Support" na Skype i skontaktować się z Tobą za pośrednictwem wiadomości Skype, informując, że Twoje konto zostało przejęte i potrzebuje twojego hasła lub numeru karty kredytowej, aby zweryfikować twoją tożsamość.Dokonano tego również w grach online, w których oszuści podszywają się pod administratorów gier i wysyłają wiadomości z prośbą o podanie hasła, których użyliby do kradzieży konta. Phishing może się również zdarzyć przez telefon. W przeszłości można było odbierać połączenia telefoniczne pochodzące od firmy Microsoft i informować, że masz wirusa, który musisz zapłacić za usunięcie.
Phisherzy zazwyczaj rzucają bardzo szeroką sieć.E-mail phishingowy Bank of America może być wysyłany do milionów osób, nawet osób, które nie mają kont w Bank of America. Z tego powodu wyłudzanie informacji jest często dość łatwe do wykrycia. Jeśli nie masz relacji z Bank of America i otrzymujesz wiadomość e-mail z informacją, że pochodzi od nich, powinno być jasne, że wiadomość e-mail jest oszustwem. Phisherzy zależą od tego, że jeśli zetkną się z wystarczającą liczbą osób, ktoś wpadnie na ich oszustwo. Z tego samego powodu nadal mamy spamowe wiadomości e-mail - ktoś tam musi się dla nich zakochać, inaczej nie byłoby to opłacalne.
Aby uzyskać więcej informacji, zapoznaj się z anatomią wiadomości phishingowej.
Jak wyłudzanie spearów jest różne
Jeśli tradycyjne phishing jest aktem rzucania szerokiej sieci w nadziei, że coś złapie, spear phishing jest aktem starannego celowania w konkretną osobę lub organizację i dostosowania ataku do nich osobiście.
Podczas gdy większość wiadomości phishingowych nie jest zbyt specyficznych, atak typu "phishing" wykorzystuje dane osobowe, aby oszustwo wyglądało na prawdziwe. Na przykład, zamiast czytać "Szanowny Panie, proszę kliknąć ten link, aby uzyskać wspaniałe bogactwo i bogactwo", e-mail może brzmieć "Cześć Bob, przeczytaj ten biznesplan, który opracowaliśmy na wtorkowym spotkaniu i daj nam znać, co myślisz".może wydawać się pochodzić od kogoś, kogo znasz( prawdopodobnie z podrobionym adresem e-mail, ale prawdopodobnie z prawdziwym adresem e-mail po włamaniu do ataku typu phishing), a nie kimś, kogo nie znasz. Wniosek jest starannie dopracowany i wygląda na uzasadniony. Wiadomość e-mail może dotyczyć kogoś, kogo znasz, dokonanego zakupu lub innej informacji osobistej.
Ataki typu "spear-phishing" na cele o wysokiej wartości można łączyć z exploitem zero-day w celu uzyskania maksymalnych obrażeń.Na przykład oszust może wysłać wiadomość e-mail do osoby z określonej firmy, mówiąc "Cześć Bob, czy mógłbyś rzucić okiem na ten raport biznesowy? Jane powiedziała, że przekazałabyś nam swoją opinię. "Z legalnie wyglądającym adresem e-mail. Link może przejść do strony internetowej z wbudowaną aplikacją Java lub Flash, która wykorzystuje lukę w dniu zerowym w celu złamania zabezpieczeń komputera.(Java jest szczególnie niebezpieczna, ponieważ większość ludzi ma nieaktualne i podatne na ataki wtyczki Java.) Po zaatakowaniu komputera, atakujący może uzyskać dostęp do swojej sieci firmowej lub użyć swojego adresu e-mail, aby przeprowadzić ukierunkowane ataki typu "spear phishing" przeciwko innym osobom w sieci.organizacja.
Scammer może również dołączyć niebezpieczny plik, który wygląda jak nieszkodliwy plik. Na przykład wiadomość e-mail typu "spear phishing" może mieć plik PDF, do którego w rzeczywistości dołączono plik. exe.
Kto naprawdę musi się martwić
Ataki typu Spear-phishing są stosowane przeciwko dużym korporacjom i rządom w celu uzyskania dostępu do ich wewnętrznych sieci. Nie wiemy o każdej korporacji lub rządzie, które zostały naruszone przez udane ataki typu spear-phishing. Organizacje często nie ujawniają dokładnego rodzaju ataku, który ich zaatakował.Nawet nie lubią przyznać, że w ogóle zostali zhakowani.
Szybkie wyszukiwanie ujawniło, że organizacje, w tym Biały Dom, Facebook, Apple, Departament Obrony Stanów Zjednoczonych, The New York Times, Wall Street Journal i Twitter zostały prawdopodobnie zaatakowane przez ataki typu spear-phishing. To tylko niektóre z organizacji, o których wiemy, że zostały naruszone - zakres problemu jest prawdopodobnie znacznie większy.
Jeśli atakujący naprawdę chce zaryzykować cel o wysokiej wartości, atak typu "phishing" - być może w połączeniu z nowym exploitem zerodniowym zakupionym na czarnym rynku - jest często bardzo skutecznym sposobem na to. Ataki typu "spear phishing" są często wymieniane jako powód, dla którego cel o wysokiej wartości jest naruszony.
Ochrona przed atakiem włóczni
Jako osoba indywidualna, jesteś mniej prawdopodobnym celem tak wyrafinowanego ataku niż rządy i wielkie korporacje. Jednak atakujący mogą nadal próbować stosować taktykę spear phishingu, umieszczając dane osobowe w wiadomościach phishingowych. Ważne jest, aby zdać sobie sprawę, że ataki phishingowe stają się coraz bardziej wyrafinowane.
Jeśli chodzi o wyłudzanie informacji, powinieneś być czujny. Dbaj o aktualność swojego oprogramowania, aby zapewnić lepszą ochronę przed niepowołanym dostępem, jeśli klikniesz linki w wiadomościach e-mail. Zachowaj szczególną ostrożność podczas otwierania plików załączonych do wiadomości e-mail. Uważaj na nietypowe prośby o podanie danych osobowych, nawet te, które wydają się uzasadnione. Nie używaj ponownie haseł w różnych witrynach, na wypadek gdyby twoje hasło się wydostało.
Ataki typu "phishing" często próbują robić rzeczy, których legalne firmy nigdy by nie zrobiły. Twój bank nigdy nie wyśle Ci e-maila z prośbą o podanie hasła, firma, z której kupiłeś towar, nigdy nie wyśle Ci e-maila z prośbą o podanie numeru karty kredytowej, a nigdy nie dostaniesz wiadomości od uprawnionej organizacji z prośbą o podanie hasłalub inne poufne informacje. Nie klikaj linków w wiadomościach e-mail i nie podawaj wrażliwych danych osobowych, bez względu na to, jak przekonujące są strony phishingowe i phishingowe.
Podobnie jak wszystkie formy phishingu, phishing jest formą ataku socjotechnicznego, którego szczególnie trudno się bronić.Wystarczy jedna osoba, która popełni błąd, a napastnicy ustalą stopę w twojej sieci.
Image Credit: Florida Fish and Wildlife na Flickr