Chcąc wyjaśnić, na czym polega spear phishing należy przypomnieć, że sam phishing to rodzaj ataku socjotechnicznego, oparty o metody manipulacji użytkownikiem systemu bez próby forsowania technicznych zabezpieczeń.

Celem phishingu jest wyłudzanie wrażliwych danych (np. danych do logowania) lub nakłonienie użytkownika do zainstalowania na komputerze złośliwego oprogramowania (np. ransomware). Hakerzy do przeprowadzenia phishingu najczęściej wykorzystują rozsyłane masowo wiadomości, w których podają się za instytucje zaufania publicznego, fundacje czy firmy. Użytkownik pod wpływem impulsu wywołanego fałszywą wiadomością (np. od zakładu energetycznego z wezwaniem do uregulowania płatności za energię elektryczną), klika zainfekowany link, co skutkuje instalacją niechcianego oprogramowania na jego urządzeniu, lub zostawia swoje dane logowania w formularzu do złudzenia przypominającym na przykład stronę banku. Tak pozyskane informacje oszuści mogą później wykorzystać do przechwycenia pieniędzy z konta bankowego ofiary phishingu.

Phishing jest prawdopodobnie najczęściej występującym rodzajem ataków cybernetycznych. Każda osoba posiadająca publiczny adres e-mail, niezabezpieczony przez dedykowane oprogramowanie zewnętrzne, może otrzymać na swoją skrzynkę pocztową wiadomość typu SPAM wysłaną przez przestępców w celu przeprowadzenia ataku phishingowego.

Atak typu spear phishing jest bardziej wysublimowaną formą phishingu. Przestępcy przed jego przeprowadzeniem wykonują wnikliwą pracę wywiadowczą, by uzyskać jak najwięcej informacji o osobie lub grupie osób będących celem oszustwa, by zwiększyć skuteczność swoich działań. Oszuści podszywają się pod konkretne osoby lub organizacje, które ofiara zna i którym ufa, wysyłają do niej fałszywe wiadomości, często zawierające informacje z życia prywatnego celem zwiększenia ich wiarygodności.

Odmianą spear phishingu jest whaling, w przypadku którego ofiarami padają wysoko postawieni menadżerowie oraz prezesi dużych spółek.

Spear phishing vs. phishing - czym dokładnie się różnią? 

Phishing bazuje na bardzo dużej ilości wysyłanych wiadomości lub intensyfikacji innych form dotarcia. Oszuści kontaktują się z tysiącami przypadkowych osób, nie czyniąc w zasadzie żadnych, dodatkowych starań w celu zwiększenia skuteczności, bo sama skala działania przynosi dla nich oczekiwane efekty.

W przeciwieństwie do tradycyjnej formy phishingu spear phishing jest zdecydowanie bardziej skuteczny. Wymaga od oszustów większego zaangażowania, a także niemal bezpośredniego kontaktu z ofiarą, jednak dobrze przygotowany atak może zmylić nawet najbardziej świadomego zagrożeń użytkownika sieci.

Po przybliżeniu tego, czym jest spear phishing i w kogo jest wycelowany, przedstawiamy kilka przykładów zastosowania tego rodzaju oszustwa.

Spear phishing – przykłady:

• Spear phishing w wiadomościach e-mail – pracownicy atakowanej firmy otrzymują spersonalizowane e-maile, których rzekomym adresatem są np. klienci lub współpracownicy z innych oddziałów. Treść takiej fałszywej wiadomości przygotowana jest w taki sposób, aby nakłonić odbiorcę do kliknięcia odnośników lub podzielenia się ważnymi informacjami.

• Spear phishing z fałszywą domeną – oszuści, podając się np. za bank odbiorcy, przesyłają do niego wiadomość z prośbą o uzupełnienie formularza kontaktowego lub aktualizację danych osobistych. Za cel obierają rzeczywistego klienta banku i nawiązują do wykorzystywanych przez niego produktów. Odnośnik prowadzi do fałszywej domeny, która przypomina stronę banku, jednak służy wyłącznie przechwytywaniu haseł i loginów.

• Użytkownik korzystający z zaufanego komunikatora może otrzymać e-mail imitujący powiadomienie (np. o wiadomości w MS Teams). Klikając odnośnik w celu sprawdzenia wiadomości, przenosi się do zainfekowanej domeny.

Atak spear phishingowy może zostać przeprowadzony w każdej firmie czy organizacji. Przykładem jednego z takich bardziej spektakularnych jest ten, który miał miejsce m.in. w 2016 roku, w trakcie kampanii prezydenckiej w USA, podczas którego padły komputery sztabu wyborczego Hilary Clinton. Oszuści zaatakowali wówczas ponad 1800 maszyn i powołali specjalną domenę służącą do uwiarygodnienia swoich działań.

Podstawę ochrony przed atakami socjotechnicznymi stanowi świadomość pracowników w obszarze potencjalnych zagrożeń w sieci. Z tego też względu wiele firm decyduje się na okresowe szkolenia w zakresie tzw. security awareness. Niejednokrotnie okazuje się, że pracownicy nie znają podstawowych zasad cyberbezpieczeństwa, w tym właściwego postępowania z załącznikami i odnośnikami w wiadomościach e-mail czy używania haseł zabezpieczających.

Ze szkoleń security awareness korzystają m.in. klienci Netii, którzy często decydują się również na usługę Netia SOC. W ramach niej specjaliści Security Operations Center całodobowo monitorują sieć i w razie potrzeby błyskawiczne reagują na incydenty i zajmują się usuwaniem wykrytych podatności.

Doskonałym uzupełnieniem szkoleń w zakresie zwiększania świadomości pracowników są kontrolowane ataki phishingowe, czyli przeprowadzane w bezpiecznym środowisku testy sprawdzające zachowanie pracowników w sytuacji potencjalnie niebezpiecznej. Po przeprowadzeniu kontrolowanego ataku klient Netii otrzymuje szczegółowy raport, wskazujący obszary wymagające poprawy.

Jeśli chcesz uzyskać więcej informacji o ataku typu spear phishing i tym, jak wzmocnić cyberbezpieczeństwo w firmie, skontaktuj się z naszymi specjalistami.