Τι είναι το Spear Phishing; Επεξήγηση, Παραδείγματα, Προστασία

Γνωρίζετε ήδη για το Phishing : τη διαδικασία του να βάζεις δόλωμα και να περιμένεις κάποιον να αποκαλύψει τα προσωπικά του στοιχεία. Το Phishing έρχεται σε πολλές γεύσεις όπως  Spear Phishing , Tabnabbing , Whaling , Tabjacking και Vishing and Smishing. Αλλά υπάρχει ένας άλλος τύπος, και αυτός είναι το Spear Phishing .

Μπορεί να έχετε ήδη συναντήσει Spear Phishing . Όταν χρησιμοποιείτε αυτήν την τεχνική, οι εγκληματίες του κυβερνοχώρου σας στέλνουν ένα μήνυμα από μια οντότητα που γνωρίζετε. Το μήνυμα σας ζητά προσωπικά και οικονομικά στοιχεία. Δεδομένου ότι φαίνεται να προέρχεται από μια γνωστή οντότητα, απλά απαντάτε χωρίς δεύτερη σκέψη.

Τι είναι το Spear Phishing

Τι είναι το Spear Phishing

Το Spear Phishing είναι μια μέθοδος όπου οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν μια στοχευμένη τεχνική για να σας εξαπατήσουν ώστε να πιστέψετε ότι λάβατε ένα νόμιμο email από μια γνωστή οντότητα, που σας ζητούσε τις πληροφορίες σας. Η οντότητα μπορεί να είναι ένα άτομο ή οποιοσδήποτε οργανισμός με τον οποίο συναλλάσσεστε.

Είναι εύκολο να το κάνετε να φαίνεται πρωτότυπο. Οι άνθρωποι πρέπει απλώς να αγοράσουν έναν σχετικό τομέα και να χρησιμοποιήσουν έναν υποτομέα που μοιάζει με τον οργανισμό που γνωρίζετε. Μπορεί επίσης να μοιάζει με το αναγνωριστικό email ενός ατόμου που γνωρίζετε. Για παράδειγμα, το something.com μπορεί να έχει έναν υποτομέα με το όνομα paypal.something.com . Αυτό τους επιτρέπει να δημιουργήσουν ένα αναγνωριστικό email που πηγαίνει [email protected] . Αυτό μοιάζει αρκετά με τα αναγνωριστικά(IDs) email που σχετίζονται με το PayPal .

Στις περισσότερες περιπτώσεις, οι εγκληματίες του κυβερνοχώρου παρακολουθούν τις δραστηριότητές σας στο Διαδίκτυο(Internet) , ειδικά στα μέσα κοινωνικής δικτύωσης. Όταν λάβουν πληροφορίες από εσάς σε οποιονδήποτε ιστότοπο, θα αρπάξουν την ευκαιρία να εξάγουν πληροφορίες από εσάς.

Για παράδειγμα, δημοσιεύετε μια ενημέρωση λέγοντας ότι αγοράσατε ένα τηλέφωνο από την Amazon σε οποιονδήποτε ιστότοπο κοινωνικής δικτύωσης. Στη συνέχεια, λαμβάνετε ένα email από την Amazon που λέει ότι η κάρτα σας είναι μπλοκαρισμένη και ότι πρέπει να επαληθεύσετε τον λογαριασμό σας προτού κάνετε άλλες αγορές. Δεδομένου ότι το αναγνωριστικό email μοιάζει με το Amazon , δίνετε εύκολα τις πληροφορίες που ζητούν.

Με άλλα λόγια, το Spear Phishing έχει στοχεύσει το Phishing(Spear Phishing has targetted Phishing) . Τα αναγνωριστικά(IDs) email και τα μηνύματα είναι εξατομικευμένα για εσάς – με βάση τις πληροφορίες που είναι διαθέσιμες στο Διαδίκτυο(Internet) για εσάς.

Παραδείγματα Spear Phishing

Ενώ το phishing είναι καθημερινό πράγμα και πολλοί το γνωρίζουν αρκετά ώστε να παραμείνουν προστατευμένοι, κάποιοι εξακολουθούν να πέφτουν θύματα του.

Ένα από τα καλύτερα και δημοφιλή παραδείγματα spear phishing είναι ο τρόπος με τον οποίο στοχεύτηκε η μονάδα RSA της (RSA)EMC . Η RSA(RSA) ήταν υπεύθυνη για την κυβερνοασφάλεια της EMC . Οι κυβερνοεγκληματίες έστειλαν δύο email, το καθένα με ένα αρχείο EXCEL που περιείχε ένα ενεργό MACRO . Ο τίτλος του email λέγεται ότι είναι Σχέδιο Προσλήψεων(Recruitment Plan) . Ενώ και τα δύο email φιλτράρονταν στους ανεπιθύμητους φακέλους(Junk Folders) των εργαζομένων, ένας από τους υπαλλήλους περιεργάστηκε και το ανακτούσε. Όταν άνοιξε, το MACRO άνοιξε μια κερκόπορτα για τα άτομα που έστειλαν το email. Στη συνέχεια μπόρεσαν να προμηθευτούν τα διαπιστευτήρια των υπαλλήλων. Παρά το γεγονός ότι είναι εταιρεία ασφαλείας, εάν η RSAθα μπορούσε να ξεγελαστεί, φανταστείτε τη ζωή ανυποψίαστων τακτικών χρηστών του Διαδικτύου(Internet) .

Σε ένα άλλο παράδειγμα σχετικά με μια εταιρεία κυβερνοασφάλειας, υπήρχαν μηνύματα ηλεκτρονικού ταχυδρομείου από τρίτα μέρη που ξεγέλασαν τους διευθυντές να πιστέψουν ότι οι υπάλληλοί τους ζητούσαν λεπτομέρειες. Όταν οι εγκληματίες του κυβερνοχώρου πήραν τις πληροφορίες παριστάνοντας ως υπάλληλοι μέσω email, μπόρεσαν να μεταφέρουν χρήματα από την εταιρεία σε λογαριασμούς offshore εγκληματιών. Λέγεται ότι το Ubiquity έχασε πάνω από 47 εκατομμύρια δολάρια λόγω της απάτης spear-phishing.

Οι απάτες Whaling(Whaling) & Spear Phishing είναι αναδυόμενα ζητήματα ασφάλειας στον κυβερνοχώρο. Υπάρχει μια λεπτή γραμμή διαφοράς μεταξύ των δύο. Το Spear Phishing(Spear Phishing) στοχεύει μια ομάδα ανθρώπων – όπως ένα email που στοχεύει υπαλλήλους μιας εταιρείας, πελάτες μιας εταιρείας ή ακόμα και ένα συγκεκριμένο άτομο. Το Whaling (Whaling) Scams στοχεύει συνήθως στελέχη υψηλού επιπέδου.

Προστασία Spear Phishing

Να θυμάστε πάντα ότι καμία εταιρεία ηλεκτρονικού εμπορίου δεν θα σας ζητήσει τα προσωπικά σας στοιχεία μέσω email ή τηλεφώνου. Εάν λάβετε οποιοδήποτε μήνυμα σε οποιαδήποτε μορφή που σας ζητά λεπτομέρειες που δεν αισθάνεστε άνετα να μοιραστείτε, θεωρήστε το ως απόπειρα ψαρέματος με δόρυ και κόψτε το απευθείας. Αγνοήστε(Ignore) τέτοια email, μηνύματα και απενεργοποιήστε τέτοιες κλήσεις. Μπορείτε να επιβεβαιώσετε με τον οργανισμό ή το άτομο πριν απαντήσετε στο μέλλον.

Μεταξύ άλλων μεθόδων προστασίας από το Spear Phishing , είναι η κοινή χρήση μόνο όσο χρειάζεται στους ιστότοπους κοινωνικής δικτύωσης. Μπορείτε να πείτε ότι είναι μια φωτογραφία του νέου σας τηλεφώνου και να τη δημοσιεύσετε αντί να προσθέσετε ότι το αγοράσατε από τον οργανισμό XYZ – σε μια συγκεκριμένη ημερομηνία.

Πρέπει να μάθετε να αναγνωρίζετε τις επιθέσεις ψαρέματος(identify Phishing Attacks) για να μάθετε περισσότερα σχετικά με την προστασία από το ηλεκτρονικό ψάρεμα γενικά. Βασικά(Basically) , θα πρέπει να έχετε καλό λογισμικό ασφαλείας που φιλτράρει καλά τα email σας. Μπορείτε να προσθέσετε πιστοποιήσεις email και κρυπτογραφήσεις στα προγράμματα-πελάτες email που χρησιμοποιείτε, ώστε να είστε καλύτερα προστατευμένοι. Πολλές(Many) από τις προσπάθειες ψαρέματος με δόρυ μπορεί να παγιδευτούν με προγράμματα ανάγνωσης πιστοποιητικών που είναι ενσωματωμένα ή εγκατεστημένα στο πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου.

Stay safe, stay sharp when online!



About the author

Είμαι προγραμματιστής λογισμικού με πάνω από 10 χρόνια εμπειρία. Ειδικεύομαι στον προγραμματισμό Mac και έχω γράψει πολλές χιλιάδες γραμμές κώδικα για διάφορες εφαρμογές Mac, συμπεριλαμβανομένων, ενδεικτικά, των: TextEdit, GarageBand, iMovie και Inkscape. Έχω επίσης εμπειρία με ανάπτυξη Linux και Windows. Οι δεξιότητές μου ως προγραμματιστής μου επιτρέπουν να γράφω υψηλής ποιότητας, ολοκληρωμένα σεμινάρια για διάφορες πλατφόρμες ανάπτυξης λογισμικού - από macOS έως Linux - καθιστώντας τα σεμινάρια μου την τέλεια επιλογή για όσους θέλουν να μάθουν περισσότερα για τα εργαλεία που χρησιμοποιούν.



Related posts