Phishing to jedna z najpopularniejszych i najpowszechniejszych form ataków wykorzystujących inżynierię społeczną.
Będąc cyberatakiem, którego celem i wykorzystaniem jest ludzka inteligencja, phishing był w przeszłości skutecznym celem kilku małych i dużych firm. Jak wynika z ankiety, ponad 80% organizacji doświadczył co najmniej jednej udanej próby ataku phishingowego w 2020 r.
Co więcej, A Raport dotyczący trendów w zakresie aktywności phishingowej sugeruje, że ataki phishingowe znacznie wzrosły – o 150% w latach 2019–2022, odnotowując rekordową liczbę 4,7 miliona ataków w 2022 r.
Chociaż phishing to szeroka kategoria cyberataków, pod którą się obejmuje, inne rodzaje ataków phishingowych obejmują vishing, phishing e-mailowy, phishing spear, phishing klonowany i inne.
Spośród nich spear phishing jest jednym z najpowszechniejszych i najbardziej wyrafinowanych cyberataków, stanowiącym początek lub punkt wyjścia dla ponad 91% cyberataków.
Czym jednak phishing i spear phishing różnią się od siebie? Jakie kluczowe elementy odróżniają te dwa cyberataki i jak możesz uchronić przed nimi swoją organizację?
W tym artykule szczegółowo omówimy phishing i spear phishing i przyjrzymy się najważniejszym cechom, które odróżniają te ataki phishingowe.
Chodźmy!
Spis treści:
Co to jest phishing?
Atak phishingowy to rodzaj cyberataku, który rozprzestrzenia oszustwa za pośrednictwem wiadomości e-mail skierowanych do przypadkowych osób za pośrednictwem różnych kanałów i mediów, takich jak wiadomości tekstowe (smishing), e-maile (phishing e-mailowy) lub rozmowy telefoniczne (vishing).
Atakujący wysyłają masowo i w dużych ilościach e-maile phishingowe w celu uzyskania poufnych informacji o użytkownikach i szczegółach biznesowych, mając nadzieję, że spośród tysięcy prób phishingu przynajmniej jedna lub kilka zakończy się sukcesem.
Współcześni napastnicy zajmujący się phishingiem szeroko i inteligentnie modyfikują te e-maile i wiadomości, dzięki czemu wyglądają na wiarygodne z wiarygodnego źródła, takiego jak firma lub bank. Hakerzy wysyłają te e-maile losowo do użytkowników, oszukując ich i manipulując nimi, aby kliknęli złośliwe łącza lub dokumenty w wiadomości e-mail lub wykonali określone działanie, które wywołuje dalsze ataki.
W ataku phishingowym napastnicy używają najczęściej pilnego tonu głosu, wywołując u odbiorców poczucie strachu i manipulując nimi, aby pobrali zainfekowane dokumenty lub kliknęli złośliwe łącza, co grozi naruszeniem ich danych osobowych, takich jak dane bankowe lub dane logowania.
Zatem, jak sama nazwa wskazuje, phishing odnosi się do losowych i szeroko zakrojonych cyberataków e-mailowych, które wykorzystują niewinnych użytkowników lub odbiorców wiadomości e-mail w celu naruszenia poufnych danych i informacji.
Jednak w zależności od medium i taktyki phishing obejmuje różne cyberataki. Różne mechanizmy ataku phishingowego obejmują:
- Smishing: znany również jako phishing SMS, smishing to atak przeprowadzany za pośrednictwem wiadomości SMS lub SMS-ów mający na celu zainfekowanie telefonu lub urządzenia mobilnego użytkownika złośliwym oprogramowaniem.
- Vishing: Vishing to cyberatak phishingowy przeprowadzany za pośrednictwem rozmów telefonicznych lub pobranych protokołów internetowych, takich jak VoIP lub protokół Voice Over Internet Protocol.
- Wyskakujący phishing: Atak ten polega na inicjowaniu pilnego wyskakującego okienka lub komunikatów na ekranie użytkownika w formie wyskakujących okienek dotyczących bezpieczeństwa jego urządzenia.
- Wyłudzanie faksów: ten atak polega na wysłaniu przez osobę atakującą wiadomości phishingowej do użytkownika, w której stwierdza się, że otrzymał faks w załączniku do wiadomości e-mail, co zwykle prowadzi użytkowników do fałszywych lub sfałszowanych witryn internetowych i prosi ich o podanie danych logowania.
- Phishing przelewem bankowym: ten atak obejmuje przelewy bankowe w celu przeprowadzenia nieuczciwych działań.
Jeśli więc są to różne rodzaje ataków phishingowych, przyjrzyjmy się również, czym jest phishing typu spear i czym różni się od ataków wymienionych powyżej.
Co to jest phishing spearowy?
Spear phishing to bardziej zaawansowana i wyrafinowana forma ataku phishingowego, którego celem są określone lub wybrane osoby, organizacje lub ofiary, w przeciwieństwie do ataków phishingowych, których celem jest szeroka masa osób.
Zazwyczaj zamiast atakować grupę osób, ataki typu spear phishing atakują przede wszystkim konkretną firmę lub organizację, stosując taktyki socjotechniki, takie jak sfałszowane wiadomości e-mail.
W przypadku spear phishingu napastnicy często podszywają się pod pracowników, współpracowników lub znajomych biznesowych organizacji, aby wyłudzić poufne informacje organizacji. W tym przypadku celem może być nie tylko kradzież danych osobowych danej osoby, ale także włamanie się do serwera firmowego i uzyskanie dostępu do niego w celu wykonania ukierunkowanego szkodliwego działania.
Cyberprzestępcy często korzystają z technik inżynierii społecznej, takich jak sfałszowane wiadomości e-mail, wysyłając do ofiar wysoce spersonalizowane wiadomości e-mail, zbierając za pośrednictwem ich profili w mediach społecznościowych dane osobowe, takie jak imię i nazwisko oraz firma, dzięki czemu sfałszowane wiadomości e-mail wyglądają bardziej autentycznie, legalnie i wiarygodnie.
Pomaga to cyberprzestępcom budować zaufanie ofiar, zwiększając szanse, że odbiorcy wiadomości e-mail wykonają pożądane działanie. Oprócz fałszowania wiadomości e-mail napastnicy mogą wykorzystywać dynamiczne adresy URL i pobieranie typu drive-by, aby naruszyć zabezpieczenia firmy i przeprowadzić atak typu spear phishing.
Cyberprzestępcy często wykorzystują dwa rodzaje ataków podczas przeprowadzania phishingu typu spear:
- Whaling: ten atak typu spear phishing jest wymierzony głównie w kadrę kierowniczą wyższego szczebla posiadającą uprawnienia lub uprawnienia umożliwiające dostęp do poufnych informacji firmy. Ukierunkowanie na takie osoby umożliwia atakującym uzyskanie dostępu do wrażliwych danych, zainicjowanie transferu środków lub dokonanie naruszenia bezpieczeństwa danych.
- Oszustwa na stanowiskach dyrektorskich: podczas gdy ataki wielorybnicze są wymierzone w pracowników wyższego szczebla, ataki phishingowe w zakresie oszustw na dyrektorów generalnych są skierowane głównie do pracowników niższego lub młodszego szczebla, podszywając się pod kierownictwo wyższego szczebla lub wyższą kadrę kierowniczą, np. dyrektora generalnego firmy, udając, że jest to władza wysokiego szczebla. napastnicy mogą łatwo przekonać lub wywrzeć presję na młodszych pracownikach, aby podjęli nieautoryzowane działania. Atak ten nazywany jest także atakiem typu Business Email Compromise (BEC).
Teraz, gdy rozumiemy podstawową definicję i ideę phishingu i spear phishingu, przejdźmy do bardziej szczegółowych informacji, aby zrozumieć, czym te dwa ataki różnią się pod względem kluczowych czynników różnicujących.
Phishing a spear phishing: szybki rzut oka
Czynniki PhishingSpear PhishingStyl atakuAtaki na dużą skalę, wymierzone w szerszą i losową grupę osób.Atakuje konkretną organizację lub osobę za pomocą taktyk inżynierii społecznej.Poziom personalizacjiWystępuje często i jest mniej czasochłonny. Wysoce spersonalizowane, ponieważ atakujący dokładnie bada swoją ofiarę – włączając jej imię i nazwisko, organizację, profil stanowiska itp. Poziom pilności Stosuje przekonujący i pilny język, aby skłonić ofiary do podjęcia natychmiastowych działań bez namysłu. Zawiera element o minimalnej lub żadnej pilności, jak koncentruje się na zdobyciu zaufania ofiary, zanim zmusi ją do wykonania pożądanego działania. Główny cel Uzyskanie dostępu do wrażliwych danych ofiary, takich jak dane logowania, i uzyskanie dostępu do nich. Podczas gdy spear phishing może również próbować uzyskać dostęp do danych, takich jak dane karty kredytowej lub dane logowania, ostateczny cel może być znacznie wyższy, np. wydobycie tajemnic handlowych firmy itp. Banki częstotliwości wysyłają ogólne e-maile z prośbą o aktualizację hasła. Występuje rzadziej, ponieważ wymaga dużo czasu, wysiłku i badań. Poziom wysiłku Niski, ponieważ wiadomości są dość ogólne i oparte na szablonach. Wysoki, ponieważ wiadomości są sporządzane starannie i charakteryzują się zwiększoną personalizacją. Tonacja treści wiadomości Ogólna i formalna (czasami nieznana ofierze). Znajome i spersonalizowane, często zawarte w pozdrowieniach z imieniem ofiary. Przykłady Banki wysyłają ogólne e-maile z prośbą o aktualizację hasła. Pracownik wyższego szczebla lub władz wyższego szczebla proszący o przelew pieniężny na potrzeby projektu. Środki zapobiegawcze Filtrowanie poczty e-mail oraz podstawowe szkolenia i świadomość w zakresie cyberbezpieczeństwa. Zaawansowane zapory ogniowe, filtrowanie poczty e-mail i spójne zwiększanie świadomości cyberbezpieczeństwa dzięki symulacjom phishingu.
Phishing a spear phishing: objaśnienie funkcji
Chociaż phishing i phishing spear mogą mieć podobne cechy, różnią się od siebie pod względem głównego celu, taktyki lub metodologii ataku, środków bezpieczeństwa zastosowanych w celu ich ochrony oraz innych czynników.
Przyjrzyjmy się każdemu z nich jeden po drugim.
#1. Wektory ataku
Standardowe ataki phishingowe obejmują szerszą sieć poprzez ataki socjotechniczne, takie jak masowe wiadomości e-mail, złośliwe strony internetowe lub wiadomości SMS. Dlatego często próbują obrać za cel szeroką grupę osób, stosując wiele wektorów ataku lub taktyk, próbując dotrzeć do dużej liczby potencjalnych ofiar.
Z drugiej strony ataki typu spear phishing są znacznie bardziej ukierunkowane, specyficzne i spersonalizowane i wymierzone w konkretną organizację lub grupę osób. Chociaż spear phishing często wykorzystuje sfałszowane wiadomości e-mail jako wektor ataku, może również wykorzystywać media społecznościowe, rozmowy telefoniczne lub interakcje osobiste, aby atakować określone osoby.
#2. Zwodnicza taktyka
Ataki phishingowe wykorzystują i wysyłają masowo ogólne i źle napisane e-maile lub wiadomości, podszywając się pod legalne organizacje lub usługi. Stosują taktykę zastraszania lub tworzą w wiadomościach wrażenie pilności, nakłaniając ofiary do podania poufnych danych, takich jak dane logowania lub dane konta bankowego.
Dlatego napastnicy często używają ogólnych szablonów wiadomości e-mail, aby oszukać użytkowników i stosują taktykę strachu, opierając się na złośliwych linkach, fałszywych witrynach internetowych i załącznikach wywołujących złośliwe oprogramowanie, zmuszając ofiary do wykonania pożądanej czynności w celu zapewnienia bezpieczeństwa urządzenia lub konta.
Podczas gdy phishing opiera się na ogólnych taktykach oszukańczych, phishing spear wykorzystuje przekonującą i wysoce spersonalizowaną taktykę, przeprowadzając dokładne badania dotyczące docelowych ofiar w celu opracowania spersonalizowanych i wiarygodnych wiadomości.
Zawierają szczegółowe informacje o ofierze, takie jak jej imię i nazwisko, firma, stanowisko itp., imitując styl i ton głosu prawdziwej firmowej wiadomości e-mail, dzięki czemu wyglądają bardziej wiarygodnie i odróżniają je od zwykłych wiadomości phishingowych.
#3. Kierowanie
Atakujący atakują wiele osób jednocześnie w atakach phishingowych, korzystając z ogólnych wiadomości e-mail, koncentrując się w ten sposób na coraz szerszym zakresie oportunistyki. Dlatego ataki phishingowe polegają na wysyłaniu masowych wiadomości e-mail zamiast atakować konkretne osoby lub organizacje, mając nadzieję, że co najmniej kilka procent ofiar da się nabrać na ich zwodniczą taktykę.
Wręcz przeciwnie, spear phishing wykorzystuje ukierunkowaną inżynierię społeczną, a nie tylko zwykłe szczęście. Atakujący bardzo jasno, skoncentrowani i precyzyjni określają swoje docelowe ofiary i wysyłają spersonalizowane e-maile do wybranych osób z perspektywy ptaka.
Wybierają lub skupiają się na wysokiej wartości kadrze kierowniczej lub pracownikach wyższego szczebla, którzy idą na kompromis, aby uzyskać dostęp do wrażliwych danych biznesowych organizacji. Im wyższy poziom kierownictwa, na który są ukierunkowani, tym większy potencjalny wpływ narażenia ich na szwank.
Zatem w przypadku ataku typu spear phishing docelową ofiarę można uznać za środek do osiągnięcia celu, którym jest narażenie na szwank samej organizacji docelowej.
#4. Cele
Głównym celem ataków phishingowych jest zebranie dużej ilości poufnych i wrażliwych informacji poprzez atak na szerszą sieć osób. Informacje te mogą obejmować numery kart kredytowych, dane logowania, hasła do kont bankowych lub inne dane osobowe możliwie największej liczby docelowych osób.
Z drugiej strony cel ataków typu spear phishing jest bardziej ukierunkowany i może się znacznie różnić w zależności od końcowego celu atakującego, jakim jest sposób, w jaki chce złamać określoną firmę lub organizację.
Cele spear phishingu mogą obejmować dostęp do określonych kont firmowych, eksfiltrację poufnych informacji, kradzież zastrzeżonych zasobów lub danych, przeprowadzanie wewnętrznych cyberataków w organizacji lub prowadzenie ukierunkowanego szpiegostwa korporacyjnego.
#5. Wyzwania związane z wykrywaniem
Organizacje mogą wykrywać ataki typu phishing poprzez umieszczanie na czarnych listach domen, filtrowanie poczty e-mail i zapory ogniowe oraz oprogramowanie antywirusowe.
Jednak wykrycie kilku e-maili phishingowych może stanowić wyzwanie ze względu na ewoluujące, wyrafinowane ataki socjotechniczne, które manipulują ludzką inteligencją i taktykami, takimi jak podszywanie się pod wiarygodne osoby, używanie protokołu HTTPS w fałszywych witrynach internetowych, zaciemnianie adresów URL, pharming i nie tylko.
Jednocześnie w porównaniu z atakami phishingowymi wykrywanie ataków typu spear phishing może być jeszcze trudniejsze, ponieważ są one zaprojektowane w bardziej spersonalizowany sposób. Dlatego tradycyjne środki bezpieczeństwa, takie jak zapory ogniowe, często ich nie wykrywają.
Dlatego wykrywanie spear phishingu w dużej mierze opiera się na edukacji, świadomości i bystrym oku użytkowników oraz umiejętności dostrzegania subtelnych, zwodniczych znaków w wiadomościach e-mail.
#6. Środki zapobiegawcze
Pracownicy i organizacje mogą zapobiegać atakom typu phishing, stosując zapory ogniowe, oprogramowanie antywirusowe, filtrowanie poczty e-mail i stron internetowych, regularnie aktualizując hasła, instalując poprawki zabezpieczeń itp.
Kluczowe jest także szerzenie świadomości cyberbezpieczeństwa i prowadzenie szkoleń dla pracowników, aby zwiększyć ich czujność w zakresie łatwego rozpoznawania prób phishingu.
Zapobieganie spear phishingowi obejmuje podejście wielowarstwowe i wymaga połączenia solidnych rozwiązań w zakresie bezpieczeństwa poczty e-mail i edukacji użytkowników. Mogą one obejmować stosowanie ścisłej kontroli dostępu, uwierzytelnianie dwuskładnikowe (2FA), szkolenie i zwiększanie świadomości pracowników, solidne rozwiązania w zakresie bezpieczeństwa poczty elektronicznej, które identyfikują podejrzane wzorce wiadomości e-mail, oraz analizę zagrożeń.
#7. Przykłady z życia wzięte
Fałszywe i złośliwe wiadomości e-mail podszywające się pod renomowane organizacje i banki, takie jak PayPal lub profile w mediach społecznościowych, to częste przykłady przeprowadzania ataków phishingowych.
- System opieki zdrowotnej widma, organizacja zajmująca się ochroną zdrowia, zgłosiła atak typu „vishing” we wrześniu 2020 r., podczas którego pacjenci i członkowie organizacji otrzymali telefony od osób podających się za pracowników w celu wydobycia ich danych osobowych, w tym identyfikatora członka i innych szczegółów związanych z ich kontami. Napastnicy stosowali groźby i pochlebstwa, aby wywrzeć presję na ofiarę, aby przekazała żądane dane, uzyskała dostęp do urządzeń osobistych lub pieniędzy.
- Innym wziętym z życia przykładem ataku phishingowego jest sytuacja kiedy Tripwire zgłosił potężny atak we wrześniu 2020 r. Osoba atakująca wysyłała wiadomości SMS do ofiar podszywających się pod Pocztę Stanów Zjednoczonych (USPS). W wiadomości proszono ofiary o kliknięcie linku w celu wyświetlenia najważniejszych szczegółów dotyczących zbliżającej się dostawy USPS, co skierowało je do fałszywych witryn internetowych mających na celu kradzież danych uwierzytelniających ich konto Google.
Podobnie, oto dwa rzeczywiste przykłady kampanii typu spear phishing.
- Jednym z najsłynniejszych rzeczywistych przypadków ataku typu spear phishing jest sytuacja, w której Google i Facebook zostały oszukane, aby zapłacić 122 miliony dolarów w latach 2013–2015 w związku z przedłużającą się kampanią ataków typu spear phishing ze strony BEC. Atakujący podszywał się pod Quantę, wspólnego dostawcę obu firm i wysyłał e-maile z fałszywymi fakturami, które płaciły Google i Facebook. Jednak firmom udało się później odzyskać 49,7 mln dolarów ze skradzionej kwoty.
- Innym przykładem ataku typu spear phishing jest przegrana Pathe, wiodącej francuskiej grupy kinowej 19,2 mln euro w związku z oszustwem dyrektora generalnegokiedy atakujący wysłał kilka e-maili, podając się za dyrektora generalnego Marca Lacana, z prośbą do holenderskiego biura o przekazanie kwoty znajdującej się na czterech ranczach spółce Towering Stars General Trading LLC w Dubaju.
#8. Wskaźnik sukcesu
Chociaż wskaźnik skuteczności ataków phishingowych jest bardzo zróżnicowany, jest on porównywalnie niższy niż ataki typu spear phishing, ponieważ jest ogólny i mniej ukierunkowany.
Co więcej, skuteczność ataku phishingowego zależy przede wszystkim od jakości i zwodniczych taktyk zastosowanych w wiadomościach, świadomości ofiary w zakresie cyberbezpieczeństwa oraz zdolności do wykrycia sfałszowanej wiadomości.
Z drugiej strony ataki typu spear phishing mają wyższy wskaźnik skuteczności ze względu na ich przekonujący i spersonalizowany charakter. Odbiorcy e-maili chętniej zaufają sfałszowanym e-mailom i dadzą się nabrać na próby spear phishingu, ponieważ wydają się one bardziej wiarygodne i zawierają istotne i konkretne informacje.
Sposoby ochrony przed phishingiem i spear phishingiem
Zagrożenia i potencjalne skutki ataków typu phishing i spear phishing są większe, realne i bardzo złożone, a ponadto kosztują organizacje miliony dolarów.
Dlatego niezbędne jest podjęcie kluczowych środków zapobiegawczych w celu powstrzymania lub przynajmniej ograniczenia ryzyka ataków phishingowych. Oto kilka sposobów ochrony siebie i swojej organizacji przed wyrafinowanymi atakami typu phishing i spear phishing.
- Szyfruj poufne dane i informacje na swoim komputerze i urządzeniach mobilnych za pomocą szyfrowania danych, dzięki czemu osoby atakujące nie będą mogły uzyskać dostępu do tych danych bez odpowiedniego hasła.
- Fałszywe wiadomości e-mail służące do wyłudzania informacji są dla atakujących głównym sposobem kradzieży danych logowania. Dlatego uwierzytelnij swój adres e-mail za pomocą takich metod, jak konfiguracja SPF, DMARC i DKIM.
- Korzystaj z uwierzytelniania wieloskładnikowego (MFA), aby chronić poufny dostęp do konta firmowego, nawet jeśli Twoje dane logowania lub hasła zostaną naruszone. Usługa MFA sprawia, że hakerom jeszcze trudniej jest włamać się na Twoje konta.
- Aktualizuj i zabezpieczaj całe wewnętrzne oprogramowanie, aplikacje, systemy operacyjne i narzędzia sieciowe, instalując najnowsze poprawki zabezpieczeń, ochronę przed złośliwym oprogramowaniem oraz oprogramowanie antywirusowe i antyspamowe.
- Edukuj swoich pracowników i szerz świadomość cyberbezpieczeństwa na temat negatywnych skutków i konsekwencji ataków phishingowych, mechanizmów wykrywania i sposobów zapobiegania im, a także promuj stosowanie najlepszych praktyk w celu ograniczenia związanych z nimi zagrożeń.
- Prowadź regularne programy szkoleniowe z zakresu cyberbezpieczeństwa i symulacje phishingu, aby informować pracowników o najnowszych trendach i zagrożeniach w zakresie cyberbezpieczeństwa oraz sprawdzać ich zdolność do identyfikowania i zgłaszania fałszywych i złośliwych wiadomości e-mail.
Dlatego stworzenie kultury organizacyjnej skupionej na cyberbezpieczeństwie oraz włączenie najlepszych procedur i praktyk może znacząco pomóc w ograniczeniu potencjalnego wpływu ataków phishingowych i spear phishingowych.
Ostatnie słowa
Zarówno kampanie phishingowe, jak i ataki typu spear phishing są nieuniknioną i trudną rzeczywistością dzisiejszego cyfrowego świata. Cyberprzestępcy stosują dziś wyrafinowane taktyki, aby narażać na szwank osoby i organizacje, co prowadzi do ogromnych szkód finansowych i reputacyjnych.
Chociaż oba ataki mogą zaszkodzić wiarygodności organizacji, można im zapobiec, śledząc najnowsze trendy w zakresie cyberbezpieczeństwa i stosując najlepsze praktyki bezpieczeństwa — a zaczyna się od zrozumienia i zbadania samych ataków.
Ten artykuł pomaga zrozumieć różnicę między phishingiem a phishingiem typu spear oraz różnice między nimi pod względem głównego celu, celu, wpływu, wskaźnika sukcesu, taktyki, wektorów ataków i metod zapobiegania.
Dlatego postępuj zgodnie z najlepszymi praktykami bezpieczeństwa wymienionymi powyżej, aby uchronić siebie i swoją firmę przed złośliwym phishingiem i kampaniami phishingowymi typu spear phishing.
Następnie sprawdź rozwiązania zabezpieczające pocztę e-mail, które chronią Cię przed spamem, fałszowaniem i atakami typu phishing.