Spjutfiske: Vad är det?
Den 12 januari 2016 lanserades en cyberattack som drabbade 80 000 kunder från en ukrainsk elleverantör (Prykarpattyaoblenergo). Det var första gången vi kunde fullt ut dokumentera och bekräfta att ett strömavbrott orsakades av hackare från en avlägsen plats. Dessa hackare har inte alltid den bästa utrustningen eller resurserna. I gengäld har de en attityd och talang som konfronterar skyddsåtgärder med en enda princip i åtanke: Den svagaste länken i ett säkerhetssystem är den människa som använder den.
En undersökning av ovanstående attack kom fram till slutsatsen att det var en spjutfiskehändelse. Medan detta ämne diskuterades kort i en tidigare artikel, misstänker jag att detta är ett lämpligt ögonblick att expandera om ämnet och erbjuda så mycket viktig information som möjligt om denna typ av attack.
Vad är Spear Phishing?
Den magiska i spjutfiskning innebär att man samlar information om en individ (födelsedatum, namn, annan relevant information) innan attacken utförs. Själva attacken kommer att innehålla den informationen för att övertyga individen om att avsändaren är en legitim enhet som "vet" offret. Spjutfiskning är farligt eftersom det använder rapporten mellan en individ och en organisation för att uppnå sitt syfte, vilket vanligtvis innebär att man får viktig och användbar information (ofta av ekonomisk art, men inte alltid, som det är fallet med identitetsstöld) om offret.
FBI: s webbplats använder det hypotetiska exemplet av hackare som efterliknar ett telekommunikationsföretag och skickar sina kunder en länk till en falsk sida där de skulle skriva in sina födelsedatum och socialnummer. Detta är ett läroboksexempel på vad jag beskrev ovan. Vanligtvis är offer för spjutfiske ofta kopplade på något sätt. De är vanligtvis kunder av samma firma, medarbetare eller klasskamrater.
Skillnad mellan Spear Phishing och Plain Old Phishing
Den typiska, traditionella stilen för phishing innebär att skicka e-post slumpmässigt till en lång lista över människor. Hackarna hoppas få några svar, men de flesta kommer inte att bli offer för denna attack. På grund av sofistikationen bakom spjutfiske är det mycket effektivare och mer sannolikt att producera offer även bland personer som borde veta bättre än att lita på sådana e-postmeddelanden. Några spjutfiskeattacker använder även officiella adresser på de företag som de efterliknar (en praxis som kallas spoofing), vilket gör dem extremt farliga.
Smarta hackare, istället för att titta på en stor databasläckage (som den ena Target led i mars 2014) som en lista över slumpmässiga e-postmeddelanden som de kan avfyra på för sparkar och fnittrar, se den listan som en möjlighet att använda den information som samlats in för att utsätta kunder genom att använda sitt förtroende i företaget som bete. Perverst? Ja. Busig? Absolut. Elegant? Åh ja!
Hur man armar sig mot den
För att bekämpa spjutfiskning är förebyggande nyckeln. Du måste arbeta enligt principen att inget företag kommer att be dig om personlig information via ett e-postmeddelande. Ringa aldrig ett företags telefonnummer med den som finns i e-postmeddelandet eftersom det kan ägas och drivas av hackarna snarare än företagets enhet. Du bör alltid söka efter företagets officiella telefonnummer och ringa dem om du får ett eventuellt phishing-e-postmeddelande.
Om e-postmeddelandet kom från en vän eller familjemedlem, ring dem tillbaka istället för att svara via e-post. Adressen kan vara spoofed.
Några andra tips för att förhindra att människor blir offer för spjutfiske? Berätta om dem i en kommentar!