Spear phishing är en sofistikerad form av cyberattack där angriparna riktar in sig på specifika individer eller organisationer, ofta med hjälp av personlig information för att öka sina chanser att lyckas. Till skillnad från generiska phishing-försök, som kastar ett brett nät, är spear phishing mycket fokuserat och skräddarsytt, vilket gör det farligare. Angriparna kan utge sig för att vara betrodda kontakter eller använda ett bekant språk för att lura offren att avslöja känslig information, t.ex. lösenord eller finansiella uppgifter. Att förstå taktiken bakom spear phishing och vidta förebyggande åtgärder är avgörande för att skydda den personliga och organisatoriska säkerheten.
Vad är spear phishing? Precis som nätfiske, men lite mer direkt
Vi har alla vid det här laget hört talas om termen phishing och hur det fungerar, där ett generiskt e-postmeddelande skickas med en krypterad URL eller bilaga och när det klickas på "BOOM" ... har du fångats. Men vad vi ser nu är en ökning av spear phishing.
Spear phishing är tekniskt sett samma sak men med ett mer direkt och riktat tillvägagångssätt. Hackarna lägger ner tid på att undersöka en enskild persons eller en liten grupp personers liv, intressen och arbetsuppgifter och skapar ett e-postmeddelande som verkar legitimt och intressant, tillräckligt intressant för att man ska klicka på det. Och om den personen klickar och därmed aktiverar den skadliga programvaran kan den spridas och orsaka skadliga effekter inom
verksamhet.
Federal Bureau of Investigation har genomfört en detaljerad undersökning av spear phishing och rapporterat att spear phishing oftast riktas mot företag som använder "banköverföringar som en vanlig metod för att överföra pengar för affärsändamål". Detta är också känt som BEC-bedrägeriet som definieras som ett "...sofistikerat bedrägeri som riktar sig mot företag som arbetar med utländska leverantörer och/eller företag som regelbundet utför banköverföringar. Bedrägeriet genomförs genom att legitima e-postkonton för företag komprometteras med hjälp av social ingenjörskonst eller tekniker för datorintrång för att genomföra obehöriga överföringar av medel."
Här är en snabb titt på hur "Spear Phishermen" riktar in sig på och fångar
Spear Phishing på Facebook
Dina uppdateringar kan avslöja en hel del om dig som person. Dina utgiftsvanor, din hunds namn, ett foto av dig nyligen på semester i Grekland eller köpet av din nya fina bil. Phisharna kan skapa ett trovärdigt e-postmeddelande som ber dig att granska din senaste semester eller att köpa rabatterad hundmat som har din hunds namn på sig, vilket skulle innehålla en länk fylld med skadlig kod. Vi säger inte att du aldrig mer ska uppdatera något, men var uppmärksam och tänk efter innan du skriver eller klickar!
Spear Phishing på Twitter
Din Twitter är full av hashtags, #syster #bästavän #familj ... och vanligtvis kopplade till dessa är taggar med personnamn, platser och till och med bilder. Detta gör det enkelt för phisharna att skapa en "göm dig bakom"-persona. Om du får ett mejl med din systers namn på skulle du automatiskt tycka att det är okej och aldrig tro att det är ett nätfiskemejl, men tyvärr är det så ibland.
Spear Phishing på LinkedIn
Du har din bild, din företagstitel, företagsnamnet, alla anslutna anställda och allt som du är intresserad av är synligt. Phisharna kan använda detta mot dig och för att
manipulera dig. Är inte det en skrämmande tanke? Allt du gör på nätet och vad du interagerar med är i princip byggstenar för din egen spear phishing-attack.
Om du sätter ihop dessa är du det främsta målet för en spear phishing-skandal, som om du klickar på den kan skickas vidare till dina kollegor, vilket sedan blir en snöbollseffekt. Var försiktig och starta inte snöbollen
.
Spear Phishing: Hur man undviker och minskar risken för att bli ett offer
1) Hur undviker man spear phishing? Var uppmärksam
Nu när alla dina uppgifter finns på nätet är det mycket lätt att få tag på och använda din information. Ge inte bort för mycket och lägg aldrig ut några personliga uppgifter som adress, telefonnummer eller bankuppgifter. Njut ändå av det, lägg upp roliga foton, berätta för dina vänner att du hade en fantastisk dag på stranden med din familj, berätta till och med för alla att du åt en burrito till lunch ... men var försiktig. Om du får ett mejl om en "gratis burrito" från din favoritrestaurang vid havet är det förmodligen inte en slump! Var medveten och håll dig vaksam.
2) Hur undviker man Spear Phishing? Kontrollera länkarna
Spear phishing-e-postmeddelanden innehåller vanligtvis länkar där du ombeds klicka för att ändra ett lösenord, verifiera uppgifter eller registrera dig för något nytt och exklusivt. Men innan du klickar är det bästa du kan göra att kontrollera webbadressen genom att hålla muspekaren över länken. Om det är ett phishingbedrägeri kan du vara säker på att webbadressen är något helt irrelevant för e-postmeddelandet och ibland följs av en rad slumpmässiga siffror och siffror.
3) Hur undviker man Spear Phishing? Använd logik
Varför skulle din arbetskamrat vilja veta dina bankuppgifter? Varför skulle din chef skicka en länk till dig för att du ska klicka på en länk för att se din telefonräkning? Det skulle de troligen inte, så om du är det minsta osäker ska du kontakta personen direkt och kontrollera om det var han eller hon som skickade e-postmeddelandet. Och om du får ett phishing-mejl, radera det omedelbart! Bättre att vara på den säkra sidan än att vara ledsen.
Läs mer om hur du skyddar dina anställda från spear phishing
Förbättra din medvetenhet om cybersäkerhet genom MetaCompliance's utbildningsprogram, särskilt MetaPhish, vår avancerade phishing-simuleringsplattform.