Acest articol explorează spear phishing-ul, o formă mai sofisticată de phishing prin e-mail, care vizează ținte specifice prin personalizarea atacurilor.
- Atacatorii colectează informații detaliate despre țintă folosind social engineering și OSINT, făcând e-mailurile să pară legitime.
- Spear phishing-ul poate imita mesaje oficiale pentru a fura parole sau a iniția transferuri bancare frauduloase, fiind o amenințare majoră pentru persoane și organizații.
- Protecția împotriva acestor atacuri include verificarea solicitărilor prin alte canale, principiul celor 4 ochi și educația continuă în securitate cibernetică.
În articolul precedent am discutat de cea mai comună metodă de phishing care, deși este printre cele mai vechi, este la fel de actuală ca întotdeauna: phishing-ul prin e-mail.
Spear phishing-ul este o versiune mai specială, sau mai țintită, a phishing-ului prin e-mail.
Asta înseamnă că, în loc de mesaje trimise în masă la mai mulți utilizatori, atacatorii personalizează atacul pentru o singură persoană sau organizație.
Cum se face acest atac personalizat? Aceștia culeg, prima dată, informații relevante despre țintă. Această culegere de informații se face prin social engineering; știm cu toții cât de multe informații se pot afla de pe rețelele sociale. Sau prin OSINT (Open Source Intelligence). Adică se culeg informații din surse publice despre țintă — de exemplu nume de colegi, proiecte, detalii personale.
Aceste informații se folosesc pentru a face e-mailul cât mai credibil. Acest tip de phishing, de obicei, poate impersona un mesaj de la un departament sau companie care solicită resetarea parolei din diverse motive. În acest caz, în loc să reseteze parola, aceasta este furată.
Sunt cazuri când astfel de atacuri țintesc persoane cu funcții importante; în acel caz acestea se numesc whaling — astfel atacatorii încearcă să înșele „peștii cei mari”. Scopul frecvent fiind furtul de date sensibile sau transferuri bancare frauduloase.
O formă asociată este Business Email Compromise (BEC), unde infractorii se dau drept partenerul de afaceri și solicită o plată în contul lor.
Nu știu dacă ați fost la curent cu acest lucru, dar un astfel de atac a fost folosit în cazul transferului unui fotbalist român în anul 2024. Aceste detalii au apărut în presă abia în 2025, după ce ancheta a fost încheiată.
Practic, clubul care a cumpărat jucătorul a fost păcălit prin intermediul unor e-mailuri să transfere 5 milioane de dolari într-un cont din altă țară. Acest lucru a fost posibil pentru că cei care au efectuat plata respectivă nu au aplicat un minim de reguli de bună practică.
Cum ne ferim:
- Verificare prin alt canal: Orice solicitare sensibilă (transfer de bani, divulgare de date sensibile, schimbare de IBAN) primită pe e-mail trebuie verificată telefonic sau față-în-față cu persoana respectivă, indiferent cât de urgentă este cerința primită prin e-mail.
- Principiul celor 4 ochi: (nu, nu mă refer la glumițele din curtea școlii, la cei care purtau ochelari). În general, este recomandat să verificăm acțiunile sensibile prin intermediul unei alte persoane; dacă nouă ne-a scăpat ceva, persoana respectivă ar putea să observe că ceva nu este în regulă.
- Educația este esențială: folosim canale oficiale, nu ne grăbim și gândim de două ori înainte de a acționa. Învățătorul meu din clasele primare spunea că e mai bine să gândești de 10 ori și să vorbești o singură dată. Așa este și aici: trebuie să gândim înainte de a acționa; cu cât gândim mai mult, cu atât impulsul generat de mesajul e-mailului se va risipi și revenim la gândirea rațională și metodică.
La fel cum spuneam în articolul precedent, există o protecție tehnică larg implementată la nivelul clienților de e-mail pentru a depista astfel de e-mailuri; însă, cu cât phishing-ul țintit este mai elaborat construit, cu atât șansele ca acesta să păcălească filtrele sunt mai mari.
⚠️ Conținut generat automat cu OpenAI gpt-4o
