Spear phishing – co to za atak? Jest jednym z najbardziej skutecznych sposobów na kradzież danych – polega na przechwytywaniu wrażliwych informacji od konkretnej, starannie wyselekcjonowanej osoby. W artykule szczegółowo wyjaśniamy, czym jest spear phishing i jak można się przed nim ochronić w firmie.
Co to jest spear phishing? Na czym polega ten atak?
Wszystkie ataki phishingowe opierają na się tym samym mechanizmie – cyberprzestępcy preparują wiadomości e-mail lub SMS i wykorzystują różne elementy socjotechniki, aby wyłudzić dane. Zazwyczaj podszywają się pod konkretne osoby lub instytucje i wysyłają spreparowane wiadomości, w których np. proszą o dane do logowania, dane karty bankowej lub inne wrażliwe dane. Takie wiadomości często do złudzenia przypominają prawdziwe.
Spear phishing, w przeciwieństwie do innych ataków phishingowych, skupia się na kradzieży wrażliwych danych od konkretnej jednostki. Nie ma więc masowego charakteru. Przestępca, który chce pozyskać poufne dane, musi przed samym atakiem przeprowadzić drobiazgowy research: znaleźć potencjalną ofiarę, ocenić, czy atak będzie opłacalny, a dopiero na końcu go przeprowadzić, wykorzystując zbudowane zaufanie.
Dlatego poszkodowanymi w wyniku spear phishingu nie są przypadkowe osoby z cyfrowego tłumu, a starannie wyselekcjonowane jednostki. Spear phishing najczęściej odbywa się za pomocą trzech ścieżek: fałszywej domeny, wiadomości e-mail bądź spreparowanego powiadomienia.
Spear phishing vs phishing vs whaling – różnice
Spear phishing i whaling to rodzaje phishingu – wszystkie są do siebie podobne, różnią się szczegółami:
- Phishing – to ogólne określenie na wszelkie ataki polegające na próbie wyłudzenia danych poprzez spreparowanie wiadomości. Cyberprzestępcy mogą podszyć się pod znajomą osobę, firmę (markę) lub instytucję (np. bank). „Zwykłe” ataki phishingowe nie są przeprowadzane na osobę pełniącą istotną funkcję w danej organizacji. Mogą też być przeprowadzane masowo na dużej grupie osób.
- Spear phishing – bardziej zaawansowana forma klasycznego phishingu. Spersonalizowana wiadomość e-mail, powiadomienie lub link do fałszywej domeny zostają wysłane do konkretnej osoby. Cyberprzestępcy bazują na zaufaniu, które budują u swojej ofiary. Zwiększają tym samym szansę powodzenia ataku. Informacje pozyskują z powszechnie dostępnych źródeł: stron internetowych oraz wpisów na mediach społecznościowych.
- Whaling – ta odmiana spear phishingu koncentruje się wokół osób na kierowniczych stanowiskach: CEO, dyrektorów czy menedżerów. Celem ataku jest kradzież poufnych danych od pracowników zajmujących najwyższe stanowiska w danej firmie. Kluczowy jest fakt, że to właśnie te osoby podejmują najważniejsze decyzje oraz mają bezpośredni dostęp do finansów firmy.
Ataki typu spear phishing – przykłady
Spear phishing jest dość złożonym zjawiskiem, ale ma jeden główny cel – kradzież wrażliwych danych, firmowych bądź prywatnych. Hakerom w dokonaniu cyberprzestępstwa pomagają trzy elementy: fałszywa domena, nieprawdziwe powiadomienia i spreparowane wiadomości e-mail.
Spear phishing i fałszywa domena
W tym przypadku cyberprzestępcy przygotowują najpierw fałszywą domenę, do złudzenia przypominającą prawdziwą (np. stronę banku). Taka domena od rzeczywistej może różnić się tylko jedną literą w adresie URL (tzw. typosquatting). Różnice tkwią w szczegółach – hakerzy używają alternatywnych znaków w nazwie domeny lub zamaskowanego adresu URL.
Następnie cyberprzestępcy preparują wiadomość z linkiem do fałszywej domeny – mogą podawać się np. za przedstawiciela banku. Ofiara otrzymuje wiadomość, że konieczne będzie zaktualizowanie danych osobowych bądź też wprowadzenie poufnych informacji do formularza kontaktowego. Ponieważ wiadomość spear phishingowa jest spersonalizowana (może zawierać np. imię, nazwisko i stanowisko firmowe ofiary), prawdopodobieństwo przejścia na fałszywą domenę jest większe niż w przypadku zwykłego ataku phishingowego.
Jeśli protokoły zabezpieczeń właściciela strony, pod którą podszywa się haker, nie są odpowiednie, ofiary mogą dostać maila nawet z legalnej domeny. W efekcie przestępca otrzymuje nieautoryzowany dostęp do obcego konta.
Spear phishing w wiadomościach e-mail
Cyberprzestępca, po wcześniejszym sprawdzeniu kontaktów potencjalnej ofiary (imion i nazwisk współpracowników, nazw stanowisk czy adresów e-mail), wysyła do niej wiadomość. Może przybrać chwilowo tożsamość współpracownika ofiary, aby zwiększyć wiarygodność komunikatu, i zachęcić do kliknięcia w zainfekowany link. Jeśli odbiorca wiadomości to zrobi, zostanie przeniesiony na zainfekowaną stronę lub do pliku zarażonego złośliwym oprogramowaniem – dojdzie wtedy do kradzieży danych.
Spear phishing i fałszywe powiadomienia
Co oznacza spear phishing w tym kontekście? Cyberprzestępca tworzy powiadomienie, które wygląda na autentyczne. Może być to np. powiadomienie z aplikacji o konieczności zaktualizowania danych osobowych czy natychmiastowego zalogowania się do banku, ponieważ zaszło podejrzenie nieautoryzowanej transakcji. Link prowadzi do fałszywej strony internetowej, na której ofiara musi podać hasło do konta bankowego, a nawet dane firmowe. Finalnie poufne informacje mogą zostać sprzedane na czarnym rynku lub przekazane konkurencji.
Jak uchronić firmę przed atakiem typu spear phishing?
Oto 7 kroków, które powinna podjąć firma, aby zwiększyć ochronę przed spear phishingiem oraz podobnymi atakami:
- Ochronę firmy przed cyberatakiem warto zacząć od zwiększenia świadomości pracowników (tzw. security awareness), aby nie ulegali presji autorytetu oraz czasu. Klikanie w niesprawdzone linki i pobieranie podejrzanych załączników są obarczone dużym ryzykiem ataku.
- Pomocna będzie również wzmożona czujność – podejrzane komunikaty warto skonfrontować ze współpracownikami, m.in. zapytać o to, czy znają ich nadawcę. Podejrzenia mogą wzbudzić też literówki, dziwnie brzmiące sformułowania lub loga, które nie wyglądają autentycznie.
- Trzeba zweryfikować dostawcę usług poczty firmowej, czyli upewnić się, że posiada on mechanizmy ochrony przed cyberatakami, w tym przed spear phishingiem. Warto skupić się na takich zabezpieczeniach jak: SPF, DMARC i DKIM. Dzięki nim serwer pocztowy odbiorcy potrafi odróżnić, która wiadomość wysłano z uprawnionego serwera, a którą nie.
- Istotna jest aktualizacja oprogramowania używanego w firmie Regularne usuwanie luk w zabezpieczeniach zwiększy poziom ochrony przedsiębiorstwa.
- Ataki typu spear phishing pomoże zatrzymać wiele zróżnicowanych zabezpieczeń, począwszy od wprowadzenia programów antywirusowych, a skończywszy na zastosowaniu filtrów antyspamowych i monitorowaniu ruchu sieciowego. Umożliwiają one wykrycie potencjalnych niebezpieczeństw i ich zablokowanie zanim trafią na komputery pracowników firmy.
- Firma powinna wdrożyć także procedurę zgłaszania niepewnych wiadomości – ustrukturyzowanie procesu może zmniejszyć ryzyko spear phishingu wśród pracowników firmy.
- Przydatne mogą okazać się też rozszerzone – zewnętrzne i wewnętrzne – szkolenia z bezpieczeństwa IT.
Chroń swoją firmę przed spear phishingiem!
W naszej ofercie znajdziesz usługi z zakresu cyberbezpieczeństwa dla firm. Zapewniamy firmom bezpieczeństwo technologiczne (m.in. ochronę przed atakami typu spear phishing.
Wśród usług związanych z cyberbezpieczeństwem znajdują się dedykowane rozwiązania, takie jak EMM/MDM, które oferują zdalne zarządzanie bezpieczeństwem danych na urządzeniach mobilnych pracowników. Umów się na rozmowę z naszym Doradcą Biznesowym, który odpowie na wszystkie pytania.