Spear phishing on vakava uhka organisaatioille kaikkialla maailmassa, mutta tätä hyvin kohdennettua phishing-tietokalastusta voi olla vaikea estää.
Tietoturvayhtiö Ivantin raportissa korostetaan spear phishingin onnistumisprosenttia: lähes kolme neljäsosaa (73 %) organisaatioista kertoi Ivanti-yritykselle, että spear phishing on kohdistunut IT-henkilöstöön, ja lähes puolet yrityksistä (47 %) onnistuu.
Mikä on Spear Phishing?
Spear phishing on erittäin kohdennettu phishingin muoto. Phishing-kampanjassa lähetetään tavallisesti massasähköpostia monille ihmisille, mutta spear phishing -kampanjat kohdistuvat yhteen tai muutamaan henkilöön, jotka yleensä työskentelevät tietyssä organisaatiossa tai ovat yhteydessä siihen.
Spear phishing -kalastelu tapahtuu usein sähköpostitse, mutta se voi olla myös puhelimitse tapahtuvaa phishingiä (Vishing) tai mobiiliviestien avulla tapahtuvaa phishingiä (SMShing).
Spear phishing käyttää kehittyneitä sosiaalisen manipuloinnin taktiikoita tehokkaan spear phishing -kampanjan laatimiseen kohteen kerättyjen tietojen perusteella. Spear phishing -sähköpostiviestin parantamiseen tarvittavat tiedot kerätään millä tahansa keinoin, kuten sosiaalisen median viesteillä, yrityksen verkkosivustoilla, hakkeroitujen verkkotilien avulla jne.
Tietoverkkorikollisten tiedetään jopa solmineen suhteen kohteeseensa sähköpostitse tai puhelimitse, saavuttavan työntekijän luottamuksen ja rohkaisevan häntä jakamaan henkilökohtaisia tai yrityksen tietoja. Kun tietoverkkorikollisella on tarpeeksi tietoa kohteesta, hän luo henkilökohtaisen sähköpostin, joka näyttää lailliselta.
Spear phishing -yrityksen tavoitteena on yleensä varastaa kirjautumistiedot. Näiden tietojen avulla voidaan sitten päästä yrityksen verkkoon. Työntekijän sosiaalisen manipuloinnin tuloksena on haittaohjelmatartunta, mukaan lukien lunnasohjelmat, tietovarkaudet, Business Email Compromise (BEC) ja muut tietoverkkohyökkäyksen muodot.
Vaikka monitekijätodennuksen (MFA) käyttäminen voi auttaa vähentämään hyökkäysriskiä, se ei ole mikään tae: Office 365 -käyttäjiin kohdistunut äskettäinen phishing-kampanja pystyi kiertämään työntekijöiden käyttämän MFA:n.
Miten verkkorikolliset käyttävät Spear Phishing -hyökkäyksiä?
Verkkorikolliset käyttävät spear phishingiä kohdistaakseen hyökkäyksen tiettyyn yritykseen. Nämä kampanjat voivat kohdistua suoraan (työntekijään) tai epäsuorasti, esimerkiksi keskittyä toimitusketjun myyjään hyökätäkseen toimitusketjussa ylempänä olevaan organisaatioon.
Usein spear phishing -hyökkäykset ovat osa hyökkäyssykliä, jossa tietoja, kuten salasanoja, varastetaan; tämä johtaa haittaohjelmatartuntoihin, uusiin tunnistetietojen varkauksiin ja varastettuihin tietoihin. Prosessi alkaa sähköpostiviestillä, Vishing- tai SMShingillä. Spear phishing -hyökkäykseen liittyy usein korkean tason strategista suunnittelua, joka voi vaatia useita koreografioituja vaiheita hakkerin tavoitteen saavuttamiseksi.
Esimerkkejä Spear Phishing -hyökkäyksistä
Spear Vishing: Twitterissä vuonna 2020 tehty spear phishing -hyökkäys nousi otsikoihin, kun hakkerit onnistuivat lähettämään twiittejä useilta korkean profiilin tileiltä, kuten Joe Bidenilta, Barack Obamalta, Bill Gatesilta ja Elon Muskilta. Twitter-hyökkäyksen keskiössä oli phishing-puhelu (Vishing) kohteena olleille työntekijöille, kunnes yksi heistä antoi hyökkääjille kirjautumistiedot yrityksen sisäisiin työkaluihin. Näitä tunnistetietoja käytettiin sitten etuoikeuksien eskalointiin korkeammalle tasolle.
Spear phishing -sähköposti: Spear phishing -sähköpostiviestissä esiintyi Yhdysvaltain työministeriötä (DoL) useisiin organisaatioihin. Väärennetyn sähköpostin tavoitteena oli varastaa Office 365 -kirjautumistiedot. Sähköposti perustui taitavasti naamioituihin verkkotunnuksiin, jotta sähköposti näyttäisi olevan laillisesti peräisin DoL:ltä.
Lisäksi sähköpostiviestissä esitettiin, että se oli peräisin ministeriön johtavalta työntekijältä, joka kehotti vastaanottajaorganisaatiota tekemään tarjouksen hallituksen hankkeesta. Tarjouspainiketta napsauttamalla työntekijä siirtyi phishing-sivustolle, jossa Office 365 -tunnukset varastettiin.
Miten havaitset Spear Phishing -sähköpostin
Näitä sähköpostiviestejä on tunnetusti vaikea havaita yksinkertaisesti siksi, että niiden luomiseen on käytetty niin paljon työtä. On kuitenkin joitakin tarkistettavia kohtia, jotka voivat auttaa työntekijöitä tunnistamaan paljastavat merkit.
- Usein spear phishing -sähköpostiviesteissä käytetään hyväksi auktoriteettiasemaa, esimerkiksi IT-tukea, jotta työntekijä pakotetaan toimimaan, esimerkiksi syöttämään salasana väärennetylle verkkosivulle. Tarkista lähettäjän sähköpostiosoite. Se saattaa näyttää aidolta, mutta siinä on joitakin hienovaraisia eroja.
- Vastaako sähköpostin muoto sitä, mihin olet tottunut? Jos sähköpostin oletetaan esimerkiksi olevan IT-tukihenkilöltä, vastaako sen kirjoitustapa ja muotoilu IT-tukihenkilön aiempia sähköpostiviestejä?
- Vaatiiko sähköposti liian paljon tietoja tai tietoja, jotka vaikuttavat tarpeettomilta? Pyydetäänkö sinua esimerkiksi kirjautumaan yrityksen pilvisovellukseen, kun olet napsauttanut sähköpostissa olevaa linkkiä ilman pakottavaa syytä - vaikuttaako se vain epäilyttävältä?
Toinen matalan teknologian keino, jolla voit estää spear phishing -tilanteen, on tarkistaa sähköpostin oletettu lähettäjä: soita hänelle ja tarkista, että sähköpostiviesti on todella häneltä.
Suojautuminen hyökkäykseltä
Suojauksen kerroksellisuus on paras tapa torjua spear phishing -uhkaa. Seuraavassa on kuusi tärkeintä tapaa suojella itseäsi ja yritystäsi hyökkäykseltä:
Älä jaa liikaa sosiaalisessa mediassa
Verkkorikolliset keräävät uskottavien sähköpostiviestien luomiseen tarvittavat tiedot monista lähteistä, kuten sosiaalisesta mediasta. Ota siis käyttöön toimintatapa, jossa selitetään sosiaalisessa mediassa tapahtuvan tietojen liiallisen jakamisen vaarat.
Älä napsauta epäilyttäviä linkkejä phishing-sähköposteissa.
Tästä pitäisi tulla kaikkien työpaikkojen mantra. Vaikka työntekijä ei antaisikaan tunnuksia napsautettuaan haitallista linkkiä, hakkerilla on todennäköisesti tilintarkastus siitä, kuka on napsauttanut linkkiä, ja hän jatkaa yhä hienostuneempien phishing-sähköpostiviestien lähettämistä kyseiselle organisaatiolle.
Käytä vankkaa todennusta
Vaikka se ei olekaan epäonnistumisen varmaa, vankka todennus auttaa monikerroksisessa lähestymistavassa phishingin torjunnassa. Luo vahvoja, yksilöllisiä salasanoja ja lisää MFA, jos se on tuettu.
Älä koskaan jaa arkaluonteisia tietoja verkossa
On sanomattakin selvää, että arkaluonteisia henkilö- tai yritystietoja ei pitäisi jakaa julkisesti ja verkossa, koska niitä kerätään ja käytetään työntekijöiden tai toimitusketjuun liittyvien toimittajien phishing-toimintoihin.
Ole varovainen ja valpas
Kouluta kaikki työntekijät ja yhteistyökumppanit tietoverkkorikollisten käyttämistä taktiikoista. Varmista, että tämä koulutus toteutetaan säännöllisesti, ja käytä simuloitua phishing-alustaa, jonka avulla voit lähettää simuloituja phishing-viestejä riskialttiimmille työntekijöille.
Kannusta työntekijöitä ilmoittamaan vaaratilanteista
Kun olet kouluttanut henkilöstöäsi huomaamaan tietojenkalastelusta kertovat merkit, rohkaise työntekijöitä ilmoittamaan tapauksista. Tämä auttaa rakentamaan kyberkestävyyttä, ylläpitämään sääntelyn noudattamista ja tarjoaa tietoa, jota tarvitaan nopeaan toimintaan ennen kuin tapauksesta tulee täysimittainen kyberhyökkäys.