Vad är Spear Phishing, och hur tar det ner stora företag?
Nyheten är full av rapporter om "spjutfiskeattacker" som används mot regeringar, stora företag och politiska aktivister. Spjut-phishing-attacker är nu det vanligaste sättet att företagsnätverk äventyras, enligt många rapporter.
Spjutfiskning är en nyare och farligare form av phishing. I stället för att kasta ett brett nät i hopp om att fånga någonting alls, handlar spjutfiskaren en noggrann attack och syftar till enskilda personer eller en särskild avdelning.
Phishing förklaras
Phishing är en praxis att försona någon trovärdig att försöka förvärva din information. Exempelvis kan en phisher skicka ut spam-e-postmeddelanden som låtsas vara från Bank of America och ber dig att klicka på en länk, besöka en falsk Bank of America-webbplats (en phishing-webbplats) och ange dina bankuppgifter.
Phishing är dock inte bara begränsat till e-post. En phisher kunde registrera ett chattnamn som "Skype Support" på Skype och kontakta dig via Skype-meddelanden och säga att ditt konto har äventyras och de behöver ditt lösenord eller kreditkortsnummer för att verifiera din identitet. Detta har också gjorts i onlinespel, där svindlarna efterliknar speladministratörer och skickar meddelanden som begär ditt lösenord, vilket de skulle använda för att stjäla ditt konto. Phishing kan också hända via telefon. Tidigare kan du ha fått telefonsamtal som hävdar att du är från Microsoft och säger att du har ett virus du måste betala för att ta bort.
Phishers kastar i allmänhet ett mycket brett nät. En e-postadress från Bank of America kan skickas till miljontals människor, även personer som inte har Bank of America-konton. På grund av detta är phishing ofta ganska lätt att upptäcka. Om du inte har ett förhållande till Bank of America och få ett mail som hävdar att de är från dem, ska det vara mycket tydligt att e-postmeddelandet är en bluff. Phishers är beroende av det faktum att om de kommer i kontakt med tillräckligt många människor kommer någon till slut att falla för deras bluff. Det är samma anledning att vi fortfarande har spam-e-postmeddelanden - någon där ute måste falla för dem eller de skulle inte vara lönsamma.
Ta en titt på anatomin för ett phishing-email för mer information.
Hur Spear Phishing är annorlunda
Om traditionell phishing är en handling om att casta ett brett nät i hopp om att fånga någonting, är spjutfiskning en handling att noggrant rikta in sig mot en viss individ eller organisation och skräddarsy attacken mot dem personligen.
Medan de flesta phishing-e-postmeddelanden inte är särskilt specifika, använder en spjutfiskningsattack personlig information för att få bedrägerierna verkliga. Till exempel, snarare än att läsa "Kära herre, vänligen klicka på den här länken för fantastiska rikedomar och rikedomar" kan e-postmeddelandet säga "Hej Bob, var god läs den här affärsplanen som vi utarbetade vid tisdagens möte och låt oss veta vad du tycker." kan tyckas komma ifrån någon du känner (möjligen med en smidig e-postadress, men möjligen med en riktig e-postadress efter att personen skadats i ett phishing-angrepp) i stället för någon du inte känner till. Begäran är noggrant utformad och ser ut som om den kan vara legitim. E-postmeddelandet kan referera till någon du känner, ett köp du har gjort, eller en annan del av personlig information.
Spjut-phishing-attacker på högvärdesmål kan kombineras med en nolldagars exploatering för maximal skada. Till exempel kan en bedragare maila en person på ett visst företag och säga "Hej Bob, skulle du gärna ta en titt på denna företagsrapport? Jane sa att du skulle ge oss lite feedback. "Med en legitim utseende e-postadress. Länken kan gå till en webbsida med inbäddat Java- eller Flash-innehåll som utnyttjar nolldagen för att kompromissa med datorn. (Java är särskilt farligt, eftersom de flesta har föråldrade och sårbara Java-plugin-program installerade.) När datorn har äventyras kan angriparen få åtkomst till sitt företagsnätverk eller använda sin e-postadress för att starta inriktade angreppsfiskeattacker mot andra individer i organisation.
En svindlare kan också bifoga en farlig fil som är förklädd för att se ut som en ofarlig fil. Ett e-postmeddelande med spjutfiske kan till exempel ha en PDF-fil som faktiskt är en .exe-fil bifogad.
Vem behöver verkligen oroa sig
Spjut-phishing-attacker används mot stora företag och regeringar för att komma åt sina interna nätverk. Vi vet inte om varje företag eller regering som har äventyras av framgångsrika spjutfiskeattacker. Organisationer beskriver ofta inte den exakta typen av attack som äventyrade dem. De gillar inte ens att de har hackats alls.
En snabb sökning avslöjar att organisationer som Vita huset, Facebook, Apple, Försvarsdepartementet, New York Times, Wall Street Journal och Twitter har alla sannolikt äventyras av spjut-phishing-attacker. Det är bara några av de organisationer som vi vet har äventyras - problemets omfattning är sannolikt mycket större.
Om en angripare verkligen vill äventyra ett värdefullt mål är ett spjutfiskningsattack - kanske kombinerat med en ny nolldagars exploit köpt på den svarta marknaden - ofta ett mycket effektivt sätt att göra det. Spjut-phishing-attacker nämns ofta som orsaken när ett mål med högt värde bryts.
Skydda dig från Spear Phishing
Som individ är du mindre sannolikt att vara målet för en så sofistikerad attack än regeringar och massiva företag är. Anfallare kan dock fortfarande försöka använda spjutfiskningstaktik mot dig genom att integrera personuppgifter i phishing-e-postmeddelanden. Det är viktigt att inse att phishing-attacker blir mer sofistikerade.
När det gäller phishing, bör du vara vaksam. Håll din programvara uppdaterad så att du är bättre skyddad mot att få kompromiss om du klickar på länkar i e-postmeddelanden. Var extra försiktig när du öppnar filer som bifogas e-postmeddelanden. Akta dig för ovanliga förfrågningar om personlig information, även sådana som verkar som om de kan vara legitima. Använd inte lösenord på olika webbplatser, bara om ditt lösenord går ut.
Phishing-attacker försöker ofta göra saker som legitima företag aldrig skulle göra. Din bank kommer aldrig att maila dig och be om ditt lösenord. Ett företag du har köpt varor från kommer aldrig att skicka e-post till dig och be om ditt kreditkortsnummer och du får aldrig ett direktmeddelande från en legitim organisation som ber dig om ditt lösenord eller annan känslig information. Klicka inte på länkar i e-postmeddelanden och ge känslig personlig information, oavsett hur övertygande phishing-e-posten och phishing-webbplatsen är.
Liksom alla former av phishing är spjutfiskning en form av socialteknikattack som är särskilt svår att försvara mot. Allt som krävs är en person som gör ett misstag och attackerna kommer att ha etablerat sig i ditt nätverk.
Bildkrediter: Florida Fish and Wildlife on Flickr