18Aug

Vad är "Spear Phishing", och hur tar det ner stora företag?

Nyheterna är fulla av rapporter om "spjut-phishing-attacker" som används mot regeringar, stora företag och politiska aktivister. Spjut-phishing-attacker är nu det vanligaste sättet att företagsnätverk äventyras, enligt många rapporter.

Spjutfiskning är en nyare och farligare form av phishing. I stället för att kasta ett brett nät i hopp om att fånga någonting alls, handlar spjutfiskaren en noggrann attack och syftar till enskilda personer eller en viss avdelning.

Phishing Explained

Phishing är en övning av att försona någon trovärdig att försöka förvärva din information. Exempelvis kan en phisher skicka ut spam-e-postmeddelanden som låtsas vara från Bank of America och ber dig att klicka på en länk, besöka en falsk Bank of America-webbplats( en phishing-webbplats) och ange dina bankuppgifter.

Phishing är dock inte bara begränsad till e-post. En phisher kan registrera ett chattnamn som "Skype Support" på Skype och kontakta dig via Skype-meddelanden och säga att ditt konto har äventyras och de behöver ditt lösenord eller kreditkortsnummer för att verifiera din identitet. Detta har också gjorts i onlinespel, där svindlarna efterliknar speladministratörer och skickar meddelanden som begär ditt lösenord, vilket de skulle använda för att stjäla ditt konto. Phishing kan också hända över telefonen. Tidigare kan du ha fått telefonsamtal som hävdar att du är från Microsoft och säger att du har ett virus du måste betala för att ta bort.

Phishers kastar generellt ett mycket brett nät. En e-postadress för Bank of America kan skickas till miljontals människor, även personer som inte har Bank of America-konton. På grund av detta är phishing ofta ganska lätt att upptäcka. Om du inte har ett förhållande till Bank of America och få ett mail som hävdar att de är från dem, borde det vara mycket tydligt att e-postmeddelandet är en bluff. Phishers är beroende av det faktum att om de kommer i kontakt med tillräckligt många människor kommer någon till slut att falla för deras bluff. Det är samma anledning att vi fortfarande har spam-e-postmeddelanden - någon där ute måste falla för dem eller de skulle inte vara lönsamma.

Ta en titt på anatomin för ett phishing-e-postmeddelande för mer information.

Hur spjutfiskning är annorlunda

Om traditionell phishing är en handling att ställa ett brett nät i hopp om att fånga någonting, är spjutfiskning en handling att noggrant rikta in sig mot en viss individ eller organisation och skräddarsy attacken mot dem personligen.

Medan de flesta phishing-e-postmeddelanden inte är särskilt specifika, använder en spjutfiskningsangrepp personlig information för att få bedrägerierna verkliga. Till exempel, snarare än att läsa "Kära herre, snälla att klicka på den här länken för fantastiska rikedomar och rikedomar" kan e-posten säga "Hej Bob, var god läs den här affärsplanen som vi utarbetade vid tisdagens möte och låt oss veta vad du tycker."kan tyckas komma ifrån någon du känner( möjligen med en smidad e-postadress, men möjligen med en riktig e-postadress efter att personen skadats i ett phishing-angrepp) i stället för någon du inte vet. Begäran är mer noggrant utformad och ser ut som om den kan vara legitim. E-postmeddelandet kan referera till någon du känner, ett köp du har gjort, eller en annan del av personlig information.

Spear-phishing-attacker på högvärdesmål kan kombineras med en nolldagars exploatering för maximal skada. Till exempel kan en bedragare maila en person på ett visst företag och säga "Hej Bob, skulle du gärna ta en titt på denna företagsrapport? Jane sa att du skulle ge oss lite feedback. "Med en legitim utseende e-postadress. Länken kan gå till en webbsida med inbäddat Java- eller Flash-innehåll som utnyttjar nolldagen för att kompromissa med datorn.(Java är särskilt farligt, eftersom de flesta har föråldrade och sårbara Java-plugin-program installerade.) När datorn har äventyras kan angriparen få åtkomst till sitt företagsnätverk eller använda sin e-postadress för att starta inriktade angreppsfiskeattacker mot andra individer iorganisation.

En svindlare kan också bifoga en farlig fil som är förklädd för att se ut som en ofarlig fil. Ett e-postmeddelande med spjutfiske kan till exempel ha en PDF-fil som faktiskt är en. exe-fil bifogad.

Vem behöver verkligen oroa sig

Spjutfiskeangrepp används mot stora företag och regeringar för att komma åt sina interna nätverk. Vi vet inte om varje företag eller regering som har äventyras av framgångsrika spjutfiskeattacker. Organisationer beskriver ofta inte den exakta typen av attack som äventyrade dem. De gillar inte ens att erkänna att de har hackats alls.

En snabb sökning avslöjar att organisationer som Vita huset, Facebook, Apple, Förenta staternas försvarsdepartement, New York Times, Wall Street Journal och Twitter har alla sannolikt äventyras av spjut-phishing-attacker. Det är bara några av de organisationer som vi vet har äventyras - problemets omfattning är sannolikt mycket större.

Om en angripare verkligen vill äventyra ett värdefullt mål är ett spjutfiskningsattack - kanske kombinerat med en ny nolldagars exploit köpt på den svarta marknaden - ofta ett mycket effektivt sätt att göra det. Spjut-phishing-attacker nämns ofta som orsaken när ett högvärdesmål bryts.

Skydda dig själv från Spjut Phishing

Som individ är du mindre sannolikt att vara målet för en så sofistikerad attack än regeringar och massiva företag är. Angripare kan dock fortfarande försöka använda spjutfiske-taktik mot dig genom att integrera personuppgifter i phishing-e-postmeddelanden. Det är viktigt att inse att phishing-attacker blir mer sofistikerade.

När det gäller phishing, bör du vara vaksam. Håll din programvara uppdaterad så att du är bättre skyddad mot att få kompromiss om du klickar på länkar i e-postmeddelanden. Var extra försiktig när du öppnar filer som bifogas e-postmeddelanden. Akta dig för ovanliga förfrågningar om personlig information, även sådana som verkar som om de kan vara legitima. Använd inte lösenord på olika webbplatser, bara om ditt lösenord kommer ut.

Phishing-attacker försöker ofta göra saker som legitima företag aldrig skulle göra. Din bank kommer aldrig att maila dig och be om ditt lösenord. Ett företag du har köpt varor från kommer aldrig att skicka e-post till dig och be om ditt kreditkortsnummer och du får aldrig ett direktmeddelande från en legitim organisation som ber dig om ditt lösenordeller annan känslig information. Klicka inte på länkar i e-postmeddelanden och ge känslig personlig information, oavsett hur övertygande phishing-e-posten och phishing-webbplatsen är.

Liksom alla former av phishing är spjutfiskning en form av socialteknikattack som är särskilt svår att försvara mot. Allt som krävs är en person som gör ett misstag och attackerna kommer att ha etablerat sig i ditt nätverk.

Bildkrediter: Florida Fish and Wildlife på Flickr