Ostatnio pojawia się sporo nowych doniesień o atakach phishingu. Sama otrzymuję przynajmniej jeden alert dziennie. Istnieje jednak groźniejsza odmiana tego cyberprzestępstwa, wycelowana bezpośrednio w konkretne firmy i osoby. W tym artykule znajdziesz skrót tego co warto wiedzieć o spear phishingu.
Phishing vs. spear phishing
Nazwa phishing (z ang. password harvesting fishing, czyli „łowienie haseł”) budzi dźwiękowe skojarzenie z fishingiem – czyli łowieniem ryb. Jest ona nieprzypadkowa, ponieważ przestępcy, podobnie jak wędkarze stosują odpowiednio przygotowaną „przynętę” – sfałszowaną wiadomość.
Standardowy phishing jest masową socjotechniczną kampanią kierowaną do przypadkowych osób. Sprawca podszywa się np. pod instytucje i za pomocą fałszywej wiadomości, która ma wyglądać jak autentyczna, stara się wyłudzić pieniądze lub prywatne dane.
Spear phishing jest o tyle groźniejszy, że jego celem są konkretne firmy i pracujące w nich osoby, które mają dostęp do istotnych danych czy środków pieniężnych: księgowi, administratorzy, kierownicy.
Inaczej niż przy zwykłym phishingu oszuści zbierają informacje na temat swojego celu (osoby, firmy). Obserwują i analizują zachowania danych osób np. w mediach społecznościowych, aby móc skuteczniej zastosować socjotechnikę.
Pod kogo mogą się podszyć "cyber wędkarze"?
- prezesa firmy lub kierownika
- dział HR, księgowości
- współpracownika
W jaki sposób spróbują do Ciebie dotrzeć?
Poprzez różne formy komunikacji:
- wiadomości e-mail
- media społecznościowe (również LinkedIn)
- komunikatory internetowe (np. What’s Up)
Co może się znaleźć w wiadomości?
- złośliwy załącznik
- fałszywy link
- prośba o udostępnienie danych
Jakie zasoby firmy ich interesują?
- dane do logowania
- tajemnica przedsiębiorstwa
- środki pieniężne
Polowanie na wieloryby - whaling
Whaling to odmiana spear phishingu. Jego celem są prezesi i wyższa kadra managerska w firmie. W tym wypadku cyber oszuści podają się m.in. za księgowość czy kontrahentów. Wykorzystują presję czasu jaka towarzyszy w pracy osobom pracującym na wyższych stanowiskach, a co za tym idzie ich zmniejszoną czujność. Oszuści dokonują ataku licząc, że w pośpiechu np. CEO otworzy złośliwy plik i jego urządzenie zostanie zainfekowane a oni uzyskają dostęp do wrażliwych danych.
Czy phishing jest karalny?
W kodeksie karnym nie znajdziemy definicji ani przepisu, który bezpośrednio dot. phishingu. Dlatego przypisanie go do konkretnego czynu zabronionego jest problematyczne. Działania sprawców phishingu są różnorodne więc w zależności od sytuacji, mogą zostać różnie zakwalifikowane.
Źródło zdjęcia: viarami
Teksty umieszczone na Linkedin lub mojej stronie internetowej mają charakter wyłącznie edukacyjny. Proszę nie traktuj ich jako porady prawnej w konkretnej sprawie. Sposób stosowania przepisów może się znacznie różnić w zależności od danej sytuacji. Informacje zawarte w artykułach nie dotyczą konkretnej sprawy a każdy stan faktyczny wymaga odrębnej analizy prawnej.
