Spear phishing är ett allvarligt hot mot organisationer över hela världen, men det kan vara svårt att förhindra detta målinriktade nätfiske.
En rapport från säkerhetsföretaget Ivanti belyser hur framgångsrik spear phishing är: nästan tre fjärdedelar (73 %) av organisationerna berättade för Ivanti att IT-personal är måltavlor för spear phishing, och nästan hälften av försöken (47 %) är framgångsrika.
Vad är Spear Phishing?
Spear phishing är en mycket målinriktad form av phishing. I en phishingkampanj skickas vanligtvis ett massmejl till många människor, men spear phishing-kampanjer fokuserar på en eller ett fåtal personer, som vanligtvis arbetar för eller är associerade med en viss organisation.
Spear phishing kommer ofta via e-post, men kan också vara telefonfiske (Vishing) eller nätfiske via mobilmeddelanden (SMShing).
Spear phishing använder avancerad social ingenjörstaktik för att skapa en effektiv spear phishing-kampanj baserad på insamlad information om ett mål. Den information som krävs för att fullända ett spear phishing-e-postmeddelande samlas in på vilket sätt som helst, t.ex. genom inlägg i sociala medier, företagswebbplatser, hackade onlinekonton osv.
Cyberbrottslingar har till och med varit kända för att skapa en relation med sin måltavla via e-post eller telefon, vinna den anställdes förtroende och uppmuntra den anställde att dela med sig av personliga uppgifter eller företagsuppgifter. När cyberkriminella har tillräckligt med information om en måltavla skapar de ett personligt e-postmeddelande som ser legitimt ut.
Målet med ett spear phishing-försök är vanligtvis att stjäla inloggningsuppgifter. Dessa uppgifter kan sedan användas för att få tillgång till ett företagsnätverk. Resultatet av en anställds sociala ingenjörskonst är en infektion med skadlig kod, inklusive utpressningstrojaner, datastöld, Business Email Compromise (BEC) och andra former av cyberattacker.
Även om användning av flerfaktorsautentisering (MFA) kan bidra till att minska risken för en attack är det ingen garanti: en nyligen genomförd nätfiskekampanj riktad mot Office 365-användare kunde kringgå all MFA som användes av de anställda.
Hur cyberkriminella använder Spear Phishing-attacker
Cyberkriminella använder spear phishing för att rikta en attack mot ett specifikt företag. Dessa kampanjer kan rikta sig direkt (en anställd) eller indirekt, dvs. fokusera på en leverantör i leveranskedjan för att angripa en organisation högre upp i leveranskedjan.
Ofta är spear phishing-attacker en del av en cykel av attacker där data, inklusive lösenord, stjäls, vilket leder till infektion av skadlig kod, ytterligare stöld av autentiseringsuppgifter och stulna data. Processen börjar med ett e-postmeddelande, Vishing eller SMShing. Spear phishing innebär ofta strategisk planering på hög nivå, vilket kan kräva flera koreograferade steg för att uppnå hackarens mål.
Exempel på Spear Phishing-attacker
Spear Vishing: En spear phishing-attack på Twitter år 2020 skapade rubriker när hackare lyckades skicka tweets från flera högprofilerade konton, däribland Joe Biden, Barack Obama, Bill Gates och Elon Musk. Twitter-attacken kretsade kring ett phishing-telefonsamtal (Vishing) till målanställda tills en av dem gav angriparna inloggningsuppgifter till interna verktyg. Dessa inloggningsuppgifter användes sedan för att eskalera privilegier till en högre nivå.
Spear phishing-e-post: ett spear phishing-e-postmeddelande utgav sig för att vara en USA:s arbetsmarknadsdepartement (DoL) för att rikta sig mot flera organisationer. Målet med det falska e-postmeddelandet var att stjäla inloggningsuppgifter till Office 365. E-postmeddelandet byggde på skickligt förklädda domäner för att få det att se ut som om det var legitimt från DoL.
Dessutom låtsades mejlet komma från en högt uppsatt DoL-anställd som uppmanade mottagarorganisationen att lämna in ett anbud på ett statligt projekt. Genom att klicka på "budknappen" fördes den anställde till en phishing-webbplats där inloggningsuppgifter till Office 365 stals.
Hur du upptäcker ett Spear Phishing-e-postmeddelande
Det är svårt att upptäcka dessa e-postmeddelanden, eftersom de har skapats med mycket arbete. Det finns dock några punkter att kontrollera som kan hjälpa de anställda att identifiera tecken som avslöjar dem.
- Ofta utnyttjar spear phishing-e-postmeddelanden auktoritetspositioner, t.ex. IT-support, för att tvinga en anställd att göra något, t.ex. att skriva in ett lösenord på en förfalskad webbsida. Kontrollera avsändarens e-postadress. Den kan se ut som den riktiga, men med vissa subtila skillnader.
- Stämmer e-postformatet med det du är van vid? Om mejlet till exempel ska komma från IT-supporten, är det skrivet och formaterat på samma sätt som tidigare mejl från IT-supporten?
- Kräver e-postmeddelandet att du fyller i för mycket uppgifter eller information som verkar onödig? Om du till exempel blir ombedd att logga in i ett företags molnprogram efter att ha klickat på en länk i ett e-postmeddelande utan någon tvingande anledning - verkar det bara misstänkt?
En annan lågteknologisk åtgärd som du kan göra för att förhindra en spear phishing-incident är att dubbelkolla med den förmodade avsändaren av e-postmeddelandet: ring dem för att kontrollera att e-postmeddelandet verkligen är från dem.
Skydda dig mot en attack
Skyddslager är det bästa sättet att hantera hotet från spear phishing. Här är de sex bästa sätten att skydda dig själv och ditt företag från en attack:
Dela inte för mycket på sociala medier
Cyberkriminella samlar den information som behövs för att skapa trovärdiga e-postmeddelanden från många källor, inklusive sociala medier. Skapa därför en policy som förklarar farorna med att dela med sig av uppgifter på sociala medier.
Klicka inte på misstänkta länkar i nätfiskemejl
Detta bör bli ett mantra på alla arbetsplatser. Även om en anställd inte går vidare och anger sina inloggningsuppgifter efter att ha klickat på en illasinnad länk, kommer hackaren troligen att ha koll på vem som har klickat och kommer att fortsätta att skicka allt mer sofistikerade phishingmejl till organisationen.
Använd robust autentisering
Även om det inte är helt säkert, hjälper robust autentisering till med ett skiktat tillvägagångssätt mot nätfiske. Skapa starka, unika lösenord och lägg till MFA där det finns stöd.
Dela aldrig känslig information på nätet
Det säger sig självt att känslig personlig information eller företagsinformation inte bör delas offentligt och på nätet, eftersom den kan samlas in och användas för att nätfiska anställda eller leverantörer i leveranskedjan.
Var försiktig och vaksam
Utbilda all personal och alla medarbetare i den taktik som används av cyberkriminella. Se till att denna utbildning genomförs regelbundet och använd en simulerad phishingplattform för att skicka ut simulerade phishingmeddelanden till de anställda som är mest utsatta.
Uppmuntra anställda att rapportera incidenter
När du har utbildat personalen i hur man upptäcker tecken på nätfiske kan du uppmuntra de anställda att rapportera incidenter. Detta bidrar till att bygga upp cyberresiliens, upprätthålla efterlevnaden av lagstiftningen och ger den information som behövs för att agera snabbt innan en incident blir en fullfjädrad cyberattack.
