Kako je spear phishing drugačija
Ako je tradicionalni phishing čin bacanja široke mreže u nadi da će se nešto uhvatiti, phishing je čin pažljivog ciljanja određenog pojedinca ili organizacije i prilagođavanja napada njima lično.
Dok većina phishing e-poruka nije baš specifična, napad na krađu identiteta koristi lične podatke kako bi prevara izgledala stvarno. Na primjer, umjesto da čitate "Dragi gospodine, kliknite na ovu vezu za fantastično bogatstvo i bogatstvo", e-poruka može reći "Zdravo Bobe, molim vas pročitajte ovaj poslovni plan koji smo izradili na sastanku u utorak i recite nam što mislite.” Može se činiti da e-mail dolazi od nekoga koga poznajete (vjerovatno s krivotvorenom adresom e-pošte, ali moguće sa stvarnom adresom e-pošte nakon što je osoba kompromitovana u phishing napadu), a ne od nekoga koga ne poznajete. Zahtjev je pažljivije izrađen i izgleda da bi mogao biti legitiman. E-pošta se može odnositi na nekoga koga poznajete, kupovinu koju ste obavili ili neki drugi dio ličnih podataka.
Spear-phishing napadi na mete visoke vrijednosti mogu se kombinirati s eksploatacijom nulti dana za maksimalnu štetu. Na primjer, prevarant bi mogao poslati e-poruku pojedincu u određenom preduzeću i reći: „Zdravo Bobe, hoćeš li molim te pogledati ovaj poslovni izvještaj? Jane je rekla da ćeš nam dati neke povratne informacije.” sa legitimnom adresom e-pošte. Veza bi mogla ići na web stranicu sa ugrađenim Java ili Flash sadržajem koji koristi prednost nultog dana da kompromituje računar. (Java je posebno opasna, jer većina ljudi ima instalirane zastarjele i ranjive Java dodatke.) Jednom kada je računar kompromitovan, napadač može pristupiti njihovoj korporativnoj mreži ili koristiti njihovu adresu e-pošte da pokrene ciljane napade phishing protiv drugih pojedinaca u organizacija.
Prevarant bi također mogao priložiti opasnu datoteku koja je prerušena da izgleda kao bezopasna datoteka. Na primjer, e-poruka za krađu identiteta može imati priloženu PDF datoteku koja je zapravo.exe datoteka.
Ko zaista treba da brine
Spear-phishing napadi se koriste protiv velikih korporacija i vlada za pristup njihovim internim mrežama. Ne znamo za svaku korporaciju ili vladu koja je kompromitirana uspješnim phishing napadima. Organizacije često ne otkrivaju tačan tip napada koji ih je kompromitovao. Oni čak i ne vole da priznaju da su uopšte hakovani.
Brza pretraga otkriva da su organizacije uključujući Bijelu kuću, Facebook, Apple, Ministarstvo odbrane SAD-a, New York Times, Wall Street Journal i Twitter vjerovatno kompromitovane napadima phishing-a. To su samo neke od organizacija za koje znamo da su kompromitovane – stepen problema je vjerovatno mnogo veći.
Ako napadač zaista želi da kompromituje metu visoke vrednosti, napad spear-phishing – možda u kombinaciji sa novim eksploatacijom nultog dana kupljenom na crnom tržištu – često je veoma efikasan način da to učini. Spear-phishing napadi se često spominju kao uzrok kada se probije meta visoke vrijednosti.
Zaštitite se od krađe identiteta
Kao pojedinac, manje je vjerovatno da ćete biti meta tako sofisticiranog napada nego vlade i velike korporacije. Međutim, napadači i dalje mogu pokušati koristiti taktiku krađe identiteta protiv vas ugrađivanjem ličnih podataka u phishing emailove. Važno je shvatiti da phishing napadi postaju sve sofisticiraniji.
Kada je u pitanju phishing, trebali biste biti oprezni. Održavajte svoj softver ažurnim kako biste bili bolje zaštićeni od kompromitovanja ako kliknete na veze u e-porukama. Budite posebno oprezni kada otvarate datoteke priložene e-porukama. Čuvajte se neobičnih zahtjeva za ličnim podacima, čak i onih koji izgledaju kao da bi mogli biti legitimni. Nemojte ponovo koristiti lozinke na različitim web stranicama, samo u slučaju da vaša lozinka izađe.
Phishing napadi često pokušavaju učiniti stvari koje legitimne kompanije nikada ne bi učinile. Vaša banka vam nikada neće poslati e-poštu i zatražiti vašu lozinku, preduzeće od koje ste kupili robu nikada vam neće poslati e-poštu i zatražiti broj vaše kreditne kartice, i nikada nećete dobiti trenutnu poruku od legitimne organizacije koja od vas traži lozinku ili druge osjetljive informacije. Nemojte klikati na linkove u e-porukama i odavati osjetljive lične podatke, bez obzira na to koliko su uvjerljivi phishing email i stranica za krađu identiteta.
Kao i svi oblici phishinga, phishing je oblik napada socijalnog inženjeringa od kojeg se posebno teško braniti. Sve što je potrebno je da jedna osoba napravi grešku i napadači će uspostaviti uporište u vašoj mreži.
