Cos'è Spear Phishing e come vengono abbattute le grandi società?
La notizia è piena di rapporti di "attacchi di spear-phishing" usati contro governi, grandi corporazioni e attivisti politici. Gli attacchi di spear-phishing sono ora il modo più comune di compromettere le reti aziendali, secondo molti rapporti.
Lo spear-phishing è una nuova e più pericolosa forma di phishing. Invece di lanciare una vasta rete nella speranza di catturare qualcosa, il pirata spara un attacco attento e lo punta a singole persone oa un reparto specifico.
Spiegazione del phishing
Il phishing è la pratica di spacciarsi per qualcuno fidato per cercare di acquisire le tue informazioni. Ad esempio, un phisher potrebbe inviare email di spam che fingono di essere da Bank of America chiedendoti di fare clic su un link, visitare un sito Web falso della Bank of America (un sito di phishing) e inserire i tuoi dati bancari.
Tuttavia, il phishing non è limitato alle e-mail. Un phisher potrebbe registrare un nome chat come "Supporto Skype" su Skype e contattarti tramite messaggi Skype, dicendo che il tuo account è stato compromesso e che hanno bisogno della tua password o numero di carta di credito per verificare la tua identità. Questo è stato fatto anche nei giochi online, dove i truffatori impersonano amministratori di giochi e inviano messaggi che chiedono la tua password, che useranno per rubare il tuo account. Il phishing potrebbe anche accadere per telefono. In passato, potresti aver ricevuto telefonate che affermano di provenire da Microsoft e dire che hai un virus che devi pagare per rimuovere.
I phisher in genere lanciano una rete molto ampia. Un'e-mail di phishing della Bank of America può essere inviata a milioni di persone, anche a persone che non hanno conti Bank of America. Per questo motivo, il phishing è spesso abbastanza facile da individuare. Se non hai una relazione con Bank of America e ricevi un'e-mail che dichiara di provenire da loro, dovrebbe essere molto chiaro che l'email è una truffa. I phisher dipendono dal fatto che, se entrano in contatto con un numero sufficiente di persone, qualcuno alla fine si innamorerà della loro truffa. Questo è lo stesso motivo per cui abbiamo ancora e-mail di spam: qualcuno là fuori deve essere in caduta per loro o non sarebbe redditizio.
Dai un'occhiata all'anatomia di un'email di phishing per ulteriori informazioni.
Come lo spear phishing è diverso
Se il phishing tradizionale è l'atto di lanciare una vasta rete nella speranza di catturare qualcosa, lo spear phishing è l'atto di attirare con attenzione un individuo o un'organizzazione specifica e di adattare personalmente l'attacco a loro.
Mentre la maggior parte delle e-mail di phishing non è molto specifica, un attacco di spear-phishing usa le informazioni personali per far sembrare la truffa reale. Ad esempio, piuttosto che leggere "Gentile Signore, per favore clicca questo link per favolose ricchezze e ricchezze" l'email potrebbe dire "Ciao Bob, per favore leggi questo business plan che abbiamo redatto alla riunione di martedì e facci sapere cosa ne pensi." potrebbe sembrare che provenga da qualcuno che conosci (possibilmente con un indirizzo email falsificato, ma possibilmente con un vero indirizzo email dopo che la persona è stata compromessa in un attacco di phishing) piuttosto che qualcuno che non conosci. La richiesta è più attentamente realizzata e sembra che possa essere legittima. L'email potrebbe riferirsi a qualcuno che conosci, a un acquisto effettuato o a un'altra informazione personale.
Gli attacchi Spear-phishing su obiettivi di alto valore possono essere combinati con un exploit zero-day per il massimo danno. Ad esempio, un truffatore potrebbe inviare un'email a una persona in un determinato business dicendo "Ciao Bob, vorresti dare un'occhiata a questo rapporto commerciale? Jane ha detto che ci avresti dato un feedback. "Con un indirizzo email dall'aspetto legittimo. Il collegamento potrebbe andare a una pagina Web con contenuto Java o Flash incorporato che sfrutta lo zero-day per compromettere il computer. (Java è particolarmente pericoloso poiché la maggior parte delle persone ha installato plug-in Java obsoleti e vulnerabili.) Una volta che il computer è stato compromesso, l'utente malintenzionato può accedere alla rete aziendale o utilizzare il proprio indirizzo e-mail per lanciare attacchi mirati di spear-phishing contro altre persone nel organizzazione.
Un truffatore potrebbe anche allegare un file pericoloso che è camuffato per sembrare un file innocuo. Ad esempio, un'e-mail di spear-phishing può avere un file PDF che in realtà è un file .exe allegato.
Chi ha davvero bisogno di preoccuparsi
Gli attacchi di spear-phishing vengono utilizzati contro le grandi aziende e i governi per accedere alle loro reti interne. Non sappiamo di ogni società o governo che è stato compromesso da attacchi di spear-phishing di successo. Le organizzazioni spesso non rivelano il tipo esatto di attacco che le ha compromesse. A loro non piace nemmeno ammettere di essere stati hackerati.
Una rapida ricerca rivela che organizzazioni come la Casa Bianca, Facebook, Apple, il Dipartimento della Difesa degli Stati Uniti, il New York Times, il Wall Street Journal e Twitter sono state probabilmente compromesse dagli attacchi di spear-phishing. Queste sono solo alcune delle organizzazioni che sappiamo essere state compromesse: la portata del problema è probabilmente molto più grande.
Se un utente malintenzionato vuole davvero compromettere un obiettivo di alto valore, un attacco di spear-phishing - magari combinato con un nuovo exploit zero-day acquistato sul mercato nero - è spesso un modo molto efficace per farlo. Gli attacchi di spear-phishing sono spesso citati come causa quando un bersaglio di alto valore viene violato.
Proteggersi da Spear Phishing
Come individuo, è meno probabile che tu sia l'obiettivo di un attacco così sofisticato rispetto ai governi e alle grandi società. Tuttavia, gli aggressori possono ancora tentare di usare tattiche di spear-phishing contro di te incorporando informazioni personali in email di phishing. È importante rendersi conto che gli attacchi di phishing stanno diventando sempre più sofisticati.
Quando si tratta di phishing, dovresti essere vigile. Mantieni aggiornato il tuo software in modo da proteggerti meglio dai contenuti compromessi se fai clic sui link nelle e-mail. Sii più cauto quando apri i file allegati alle e-mail. Fai attenzione alle richieste insolite di informazioni personali, anche a quelle che sembrano legittime. Non riutilizzare le password su siti Web diversi, nel caso in cui la password non venga utilizzata.
Gli attacchi di phishing spesso cercano di fare cose che le aziende legittime non farebbero mai. La tua banca non ti invierà mai e-mail per chiedere la tua password, un'azienda che hai acquistato beni non ti invierà mai email e chiederà il numero della tua carta di credito e non riceverai mai un messaggio istantaneo da un'organizzazione legittima che ti chiede la tua password o altre informazioni sensibili. Non fare clic sui collegamenti nelle e-mail e fornire informazioni personali sensibili, indipendentemente da quanto siano convincenti l'e-mail di phishing e il sito di phishing.
Come tutte le forme di phishing, lo spear-phishing è una forma di attacco di ingegneria sociale particolarmente difficile da difendere. Tutto ciò che serve è che una persona commetta un errore e gli aggressori abbiano stabilito un appiglio nella tua rete.
Immagine di credito: Florida Fish and Wildlife su Flickr