Spyd Phishing: Hvad er det?
Den 12. januar 2016 blev der lanceret et cyberangreb, der ramte 80.000 kunder af en ukrainsk elforsyningsvirksomhed (Prykarpattyaoblenergo). Dette var første gang, vi kunne fuldt ud dokumentere og bekræfte, at en strømbrud skyldtes hackere fra en fjernplacering. Disse hackere har ikke altid det bedste udstyr eller ressourcer. Til gengæld har de en holdning og talent, der konfronterer sikkerhedsforanstaltninger med et enkelt princip i tankerne: Den svageste forbindelse i et sikkerhedssystem er det menneske, der bruger det.
En undersøgelse af ovennævnte angreb kom til den konklusion, at det var en phishing-hændelse. Mens dette emne blev diskuteret kort i en tidligere artikel, formoder jeg, at dette er et passende tidspunkt at udvide om emnet og tilbyde så meget vigtig information som muligt om denne form for angreb.
Hvad er Spear Phishing?
Den magiske i spyd phishing indebærer at indsamle oplysninger om en person (fødselsdato, navn, andre relevante oplysninger), før angrebet udføres. Selve angrebet vil inkorporere denne information for at overbevise den enkelte om, at afsenderen er en legitim enhed, der "kender" ofret. Spyd phishing er farlig, fordi det bruger rapporten mellem en person og en organisation for at nå sit formål, som normalt indebærer at få vigtig og nyttig information (ofte af økonomisk art, men ikke altid som det er tilfældet med identitetstyveri) om offeret.
FBI's hjemmeside bruger det hypotetiske eksempel på hackere, der efterligner et telekommunikationsfirma og sender sine kunder et link til en falsk side, hvor de vil indtaste deres fødselsdatoer og socialsikringsnumre. Dette er et lærebog eksempel på hvad jeg har beskrevet ovenfor. Ofte er ofre for spyd phishing ofte forbundet på en eller anden måde. De er normalt kunder af samme firma, kolleger eller klassekammerater.
Forskel mellem Spear Phishing og Plain Old Phishing
Den typiske, traditionelle phishing-stil indebærer at sende e-mails tilfældigt til en lang liste over mennesker. Hackerne håber at få nogle svar, men de fleste mennesker vil ikke blive offer for dette angreb. På grund af sofistikeret bag spydsfiskeri er det meget mere effektivt og mere sandsynligt at producere ofre selv blandt folk, der burde vide bedre end at stole på sådanne e-mails. Nogle spyd phishing angreb bruger endda officielle adresser på de virksomheder, de efterligner (en praksis kendt som spoofing), hvilket gør dem ekstremt farlige.
Smarte hackere, i stedet for at se på en stor databaselækage (som den ene Target led i marts 2014) som en liste over tilfældige e-mails, de kan slukke for til spark og fnise, se denne liste som en mulighed for at bruge de indsamlede oplysninger til at ofre kunder ved at bruge deres tillid til virksomheden som agn. Perverse? Ja. Mischievous? Absolut. Elegant? Åh ja!
Sådan arm dig selv imod det
For at bekæmpe spyd phishing er forebyggelse nøglen. Du skal fungere under princippet om, at ingen virksomhed vil bede dig om personlige oplysninger via en e-mail-besked. Ring aldrig til en virksomheds telefonnummer ved hjælp af den, der er angivet i e-mailen, da den kunne ejes og drives af hackerne snarere end virksomhedens enhed. Du skal altid søge efter firmaets officielle telefonnummer og ringe til dem, hvis du modtager en potentiel phishing-mail.
Hvis e-mailen kom fra en ven eller et familiemedlem, skal du ringe dem tilbage i stedet for at besvare via e-mail. Adressen kunne være spoofed.
Andre tips til at forhindre folk i at blive offer for spyd phishing? Fortæl os om dem i en kommentar!