Spear-phishing là một dạng lừa đảo mới và nguy hiểm hơn. Thay vì đúc một mạng lưới rộng với hy vọng bắt được bất cứ điều gì cả, thủ công giáo phình tấn công cẩn thận và nhắm vào những cá nhân hoặc một bộ phận cụ thể.
Phishing Explained
Lừa đảo là hành vi mạo danh ai đó đáng tin cậy để thử và lấy thông tin của bạn. Ví dụ: một kẻ lừa đảo có thể gửi email spam giả vờ đến từ Bank of America yêu cầu bạn nhấp vào liên kết, truy cập trang web giả mạo Bank of America (trang web lừa đảo) và nhập chi tiết ngân hàng của bạn.
Tuy nhiên, tính năng lừa đảo không chỉ giới hạn trong email. Người đánh lừa có thể đăng ký tên trò chuyện như "Hỗ trợ Skype" trên Skype và liên hệ với bạn qua tin nhắn Skype, cho biết tài khoản của bạn đã bị xâm phạm và họ cần mật khẩu hoặc số thẻ tín dụng của bạn để xác minh danh tính của bạn. Điều này cũng đã được thực hiện trong các trò chơi trực tuyến, nơi kẻ lừa đảo mạo danh quản trị viên trò chơi và gửi tin nhắn yêu cầu mật khẩu của bạn mà họ sẽ sử dụng để lấy cắp tài khoản của bạn. Lừa đảo cũng có thể xảy ra qua điện thoại. Trong quá khứ, bạn có thể đã nhận được cuộc gọi điện thoại tự xưng là từ Microsoft và nói rằng bạn có vi rút mà bạn phải trả để xóa.
Những kẻ lừa đảo thường đúc một mạng lưới rất rộng. Email lừa đảo của Ngân hàng Hoa Kỳ có thể được gửi tới hàng triệu người, ngay cả những người không có tài khoản Bank of America. Bởi vì điều này, lừa đảo thường khá dễ dàng để phát hiện. Nếu bạn không có mối quan hệ với Bank of America và nhận được email tự xưng là từ họ, cần phải rõ ràng rằng email là lừa đảo. Phishers phụ thuộc vào thực tế rằng, nếu họ liên hệ với đủ người, ai đó cuối cùng sẽ rơi cho lừa đảo của họ. Đây là lý do tương tự mà chúng tôi vẫn có email spam - một người nào đó ở ngoài đó phải rơi cho họ hoặc họ sẽ không có lợi nhuận.
Hãy xem giải phẫu của một email lừa đảo để biết thêm thông tin.
Làm thế nào Spear Phishing là khác nhau
Nếu lừa đảo truyền thống là hành động đúc lưới rộng với hy vọng bắt được một cái gì đó, giáo lừa đảo là hành động nhắm mục tiêu cẩn thận một cá nhân hoặc tổ chức cụ thể và điều chỉnh cuộc tấn công cho cá nhân họ.
Mặc dù hầu hết các email lừa đảo không cụ thể, một cuộc tấn công lừa đảo trực tuyến sử dụng thông tin cá nhân để làm cho lừa đảo có vẻ thực. Ví dụ, thay vì đọc "Dear Sir, xin vui lòng bấm vào liên kết này cho sự giàu có và giàu có" email có thể nói "Hi Bob, xin vui lòng đọc kế hoạch kinh doanh này chúng tôi soạn thảo tại cuộc họp hôm thứ ba và cho chúng tôi biết những gì bạn nghĩ." có thể xuất hiện từ người bạn biết (có thể có địa chỉ email giả mạo, nhưng có thể có địa chỉ email thực sau khi người đó bị xâm phạm trong cuộc tấn công lừa đảo) thay vì người bạn không biết. Yêu cầu được chế tạo cẩn thận hơn và có vẻ như nó có thể hợp pháp. Email có thể đề cập đến người bạn biết, một giao dịch mua bạn đã thực hiện hoặc một phần thông tin cá nhân khác.
Tấn công lừa đảo trực tiếp trên các mục tiêu có giá trị cao có thể được kết hợp với một khai thác zero-day để gây sát thương tối đa. Ví dụ: một kẻ lừa đảo có thể gửi email cho một cá nhân tại một doanh nghiệp cụ thể nói “Xin chào Bob, bạn có vui lòng xem báo cáo kinh doanh này không? Jane nói anh sẽ cho chúng tôi một số phản hồi.”Với một địa chỉ email hợp pháp. Liên kết có thể chuyển đến trang web có nội dung Java hoặc Flash được nhúng, tận dụng lợi thế của zero-day để thỏa hiệp máy tính. Một khi máy tính bị xâm nhập, kẻ tấn công có thể truy cập vào mạng công ty của họ hoặc sử dụng địa chỉ email của họ để khởi động các cuộc tấn công lừa đảo nhằm mục đích chống lại các cá nhân khác trong cơ quan.
Kẻ lừa đảo cũng có thể đính kèm tệp nguy hiểm được ngụy trang trông giống như một tệp vô hại. Ví dụ: email lừa đảo trực tuyến có thể có tệp PDF thực sự là tệp.exe được đính kèm.
Ai thực sự cần phải lo lắng
Các cuộc tấn công phishing đang được sử dụng để chống lại các tập đoàn lớn và các chính phủ truy cập vào mạng nội bộ của họ. Chúng tôi không biết về mọi công ty hoặc chính phủ đã bị xâm phạm bởi các cuộc tấn công lừa đảo thương hiệu thành công. Các tổ chức thường không tiết lộ loại tấn công chính xác đã xâm phạm chúng. Họ thậm chí không muốn thừa nhận rằng họ đã bị tấn công.
Một tìm kiếm nhanh cho thấy rằng các tổ chức bao gồm Nhà Trắng, Facebook, Apple, Bộ Quốc phòng Hoa Kỳ, Thời báo New York, Tạp chí Phố Wall và Twitter đều có thể bị tổn hại bởi các cuộc tấn công lừa đảo giáo. Đó chỉ là một vài trong số các tổ chức mà chúng ta biết đã bị xâm phạm - mức độ của vấn đề có thể lớn hơn nhiều.
Nếu kẻ tấn công thực sự muốn thỏa hiệp mục tiêu có giá trị cao, một cuộc tấn công lừa đảo giáo - có lẽ kết hợp với một khai thác zero-day mới được mua trên thị trường chợ đen - thường là một cách rất hiệu quả để làm như vậy. Tấn công lừa đảo trực tuyến thường được đề cập là nguyên nhân khi mục tiêu có giá trị cao bị vi phạm.
Bảo vệ bạn khỏi Spear Phishing
Là một cá nhân, bạn ít có khả năng trở thành mục tiêu của cuộc tấn công tinh vi như vậy so với các chính phủ và các tập đoàn lớn. Tuy nhiên, những kẻ tấn công vẫn có thể cố gắng sử dụng chiến thuật lừa đảo chống lại bạn bằng cách kết hợp thông tin cá nhân vào email lừa đảo. Điều quan trọng là phải nhận ra rằng các cuộc tấn công lừa đảo đang trở nên tinh vi hơn.
Khi nói đến lừa đảo, bạn nên thận trọng. Giữ cho phần mềm của bạn được cập nhật để bạn được bảo vệ tốt hơn khỏi bị xâm phạm nếu bạn nhấp vào các liên kết trong email. Hãy thận trọng hơn khi mở các tệp đính kèm với email. Cẩn thận với các yêu cầu bất thường về thông tin cá nhân, ngay cả những thông tin có vẻ như là hợp pháp. Không sử dụng lại mật khẩu trên các trang web khác nhau, chỉ trong trường hợp mật khẩu của bạn không xuất hiện.
Các cuộc tấn công lừa đảo thường cố gắng làm những việc mà các doanh nghiệp hợp pháp sẽ không bao giờ làm. Ngân hàng của bạn sẽ không bao giờ gửi email cho bạn và yêu cầu mật khẩu của bạn, doanh nghiệp bạn đã mua hàng sẽ không bao giờ gửi email cho bạn và yêu cầu số thẻ tín dụng của bạn và bạn sẽ không bao giờ nhận được tin nhắn tức thì từ một tổ chức hợp pháp yêu cầu mật khẩu của bạn hoặc các thông tin nhạy cảm khác. Không nhấp vào các liên kết trong email và cung cấp thông tin cá nhân nhạy cảm, cho dù trang web lừa đảo trực tuyến và lừa đảo có thuyết phục đến mức nào.
Giống như tất cả các hình thức lừa đảo, spear-phishing là một dạng tấn công kỹ thuật xã hội đặc biệt khó phòng thủ. Tất cả những gì nó cần là một người phạm sai lầm và những kẻ tấn công sẽ thiết lập một cái trán trong mạng của bạn.
