Spear phishing je cílený phishing, kterému se lze jen těžko bránit
Zatímco pro tradiční phishing je typické rozeslání obrovského množství mailů, často i na špatné adresy, tak v případě spear phishingu je tomu přesně naopak.
Útočník v takovém případě zašle e-mail konkrétní osobě, zpravidla zaměstnanci na určité pozici nebo vysoce postavenému manažerovi dané společnosti. Takový mail adresovaný konkrétní osobě může být těžko zachycen nějakým antiphishingovým filtrem, především proto, že se nevyskytuje ve větším množství a nevykazuje ani žádné znaky typické pro phishing mail. Rozuměj, adresa odesílatele, ani adresa SMTP serveru se nenachází na žádném blacklistu a z mailu nevedou žádné odkazy do internetu.
Pokud je navíc takový e-mail poslán oběti přímo z prostředí dané společnosti, tak ta zpravidla ani nepojme podezření, že by se mohlo jednat o phishing, a to i přesto, že je v tomto směru poučená. Jak by také mohla, když mail přišel od osoby, kterou dobře zná, z mailu nevedou žádné odkazy kamsi do internetu, není po ní požadováno zadání žádných údajů a mail po formální i obsahové stránce naprosto odpovídá zvyklostem v dané společnosti.
Na tomto místě je nutné zdůraznit, že přípravě samotného e-mailu je ze strany útočníka věnována značná pozornost, a útočník se za tímto účelem neváhá detailně seznámit s firemní kulturou, organizační strukturou a poměry, které v dané společnosti panují. Je tedy použit správný jazyk, v textu mailu nenalezneme žádné gramatické chyby ani stylistické nedostatky, tedy pokud se jich běžně nedopouští samotná osoba, jejíž identita je pro tento účel zneužita.
Takto pečlivě připravený e-mail obsahující přílohu se škodlivým kódem se používá v rámci APT útoku, kdy nic netušící oběť mail otevře, klikne na přiloženou přílohu, a spolu s přidruženou aplikací tak spustí i škodlivý kód, který zneužije nějaké (zero-day) zranitelnosti k tomu, aby se úspěšně zavedl do paměti a zajistil si své spuštění i po restartu počítače.
Právě v přípravě samotného e-mailu je patrný podstatný rozdíl mezi tradičním phishingem a spear phishingem. Jak již bylo naznačeno v samotném úvodu, tradiční phishing, který je cílen na větší počet klientů určité služby, není příliš sofistikovaný a přípravě samotného e-mailu není věnována dostatečná pozornost, neboť útočník spoléhá na to, že se, obrazně řečeno, do jeho sítě nebo na jeho návnadu nějaká ta čudla vždycky chytne.
V případě spear phishingu, kdy je cílem útočníka ulovit velkou rybu, pokud se budeme nadále držet výše uvedeného příměru, však není možné její inteligenci podceňovat a tak útočník musí nejprve důkladně prozkoumat teritorium, ve kterém se rozhodne lovit a vyzbrojit se harpunou (anglicky spear, odtud spear phishing), protože velkou rybu na nějakou zapáchající návnadu nechytí.
Phishing | Spear phishing |
Mail je rozeslán na velký počet adres. | Mail je zaslán pouze jednomu příjemci. |
V mailu se nachází odkaz do internetu. | Mail neobsahuje odkaz do internetu. |
Mail přijde od osoby nebo firmy, kterou znáte. | Mail přijde od osoby nebo firmy, kterou znáte. |
Je požadováno zadání určitých údajů. | Není požadováno zadání žádných údajů. |
Mail obsahuje (neúmyslné) chyby. | Mail neobsahuje (neúmyslné) chyby. |
Mail zpravidla neobsahuje žádnou přílohu. | Mail zpravidla obsahuje přílohu. |
Cílem je získání přihlašovacích nebo osobních údajů. | Cílem je získání citlivých informací, které jsou předmětem duševního vlastnictví. |
Ve výše uvedené tabulce je zachycen rozdíl mezi obyčejným phishingem a spear phishingem. Vidíte, že něco mají obě formy společného a v něčem se zase liší. Nicméně je zřejmé, že odhalit spear phishing je mnohem náročnější. Ale i tradiční phishing se vyvíjí a zdokonaluje, takže si dejte pozor.
Jak se před spear phishingem bránit?
Moc možností nemáte. Těžko lze předpokládat, že příjemce bude před každým otevřením přílohy kontaktovat odesílatele a zjišťovat, zda mu danou zprávu opravdu poslal. Nehledě na to, že i v případě, kdy by odesílatel tuto skutečnost potvrdil, tak příjemce nemá vůbec žádnou jistotu, že malware nacházející se na počítači odesílatele do jím zaslané přílohy nějaký ten škodlivý kód nezačlenil.
S radami typu „Neotvírejte přílohy e-mailů od lidí, které neznáte.“ nebo „Neotvírejte přílohy, jejichž zaslání jste nepožadovali.“ neuspějete. Pokud bude příloha e-mailu obsahovat škodlivý kód, který antimalware na serveru, přes který e-maily prochází a na zařízení oběti, kde je e-mail otevírán, nerozpozná, jakože ne, tak pak již nezbývá, než se spolehnout na nějaké host-based DLP nebo NBA řešení, které činnost takového malwaru zastaví nebo vás na něj alespoň upozorní.
Štítky: phishing
K článku “Spear phishing je cílený phishing, kterému se lze jen těžko bránit” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.