Vypadá to jako běžný phishingový e-mail? Avšak co dělat, když vše nasvědčuje tomu, že
e-mail přišel od správce IT ve vašem podniku a varování se týká vašeho podnikového účtu? Kliknete na takový odkaz?
Právě v to doufají dnešní phisheři. Ve skutečnosti se výše zmíněná zpráva neobjevila v běžném přívalu e-mailů rozeslaných s cílem zachytit příjemce, kteří mají eBay nebo PayPal účty. Místo toho ji letos v květnu obdrželi výlučně studenti a učitelé z University of Kentucky jako součást řízeného "spear-phishingového" útoku proti malé univerzitní kampeličce čítající 33 000 členů. Další všeobecně známý incident se týkal izraelské společnosti, která využila spear-phishingových technik pro instalaci spywaru na osobních počítačích u jednoho ze svých konkurentů.
Podle Petera Cassidyho, generálního tajemníka pracovní skupiny Anti-Phishing Working Group, spear-phisheři fungují podobně jako obchodníci, kteří vytvoří zprávu a potom ji nasměrují k těm správným lidem.
Tyto cílené útoky úspěšně využívají sociální inženýrství k obelhávání lidí, kteří nerozliší obecně šířený spam od typického phishingového útoku, říká Cassidy kdo by však očekával e-mail zaměřený na menší firmu či organizaci?
Očekávejte ho: podle zprávy Global Security Index společnosti IBM se zachycené spear-pishingové útoky rozrostly z pouhých 56 výskytů v lednu 2005 na více než 600 000 případů v červnu. Erik Larkin
Spear-phisher určí cílovou firmu s podrobným on-line adresářem a stáhne si seznam e-mailových adres.Aby dokázal vytvořit přesvědčivější iluzi, phisher vybere důležitou osobu, která poslouží jako "zdroj" zprávy.Spear-phisher napíše e-mail, který obsahuje co nejvíce detailů specifických pro danou firmu, a pak ho rozešle na adresy z cílového seznamu.Zaměstnanec firmy nerozezná útok a zadá své uživatelské jméno a heslo.
Vloupání!
Phisher zneužije získaná data pro odcizení důležitých firemních informací.
Chraňte se:
n Buďte nedůvěřiví: nezáleží na tom, odkud e-mail přichází. Pokud se týká informací o vašem účtu, v žádném případě mu nedůvěřujte.
n Zatelefonujte: pokud obdržíte podezřelý e-mail, v každém případě zatelefonujte organizaci, o níž je v něm zmínka.
n Neklikejte na podezřelé odkazy v e-mailu: raději navštivte stránku společnosti samostatně.
n Vyzkoušejte nástrojovou lištu NetCraft: tento antiphishingový nástroj (toolbar.netcraft.com) je schopen varovat vás před podezřelými stránkami.