Nyheterna är fulla av rapporter om "spjutfiskeattacker" som används mot regeringar, stora företag och politiska aktivister. Spear-phishing-attacker är nu det vanligaste sättet att företagsnätverk äventyras, enligt många rapporter.
Phishing Förklarad
Phishing är en övning av att försona någon trovärdig att försöka förvärva din information. Exempelvis kan en phisher skicka ut spam-e-postmeddelanden som låtsas vara från Bank of America och ber dig att klicka på en länk, besöka en falsk webbplats av Bank of America (en phishing-webbplats) och ange dina bankuppgifter.
Phishing är inte bara begränsad till e-post, dock. En phisher kan registrera ett chattnamn som "Skype Support" på Skype och kontakta dig via Skype-meddelanden och säga att ditt konto har äventyras och de behöver ditt lösenord eller kreditkortsnummer för att verifiera din identitet. Detta har också gjorts i onlinespel, där svindlarna efterliknar speladministratörer och skickar meddelanden som begär ditt lösenord, vilket de skulle använda för att stjäla ditt konto. Phishing kan också hända över telefonen. Tidigare kan du ha fått telefonsamtal som hävdar att vara från Microsoft och säger att du har ett virus du måste betala för att ta bort.
Phishers brukar ställa ett mycket brett nät. En e-postadress för Bank of America kan skickas till miljontals människor, även personer som inte har Bank of America-konton. På grund av detta är phishing ofta ganska lätt att upptäcka. Om du inte har ett förhållande till Bank of America och få ett mail som hävdar att de är från dem, borde det vara mycket tydligt att e-postmeddelandet är en bluff. Phishers är beroende av det faktum att om de kommer i kontakt med tillräckligt många människor kommer någon till slut att falla för deras bluff. Det är samma anledning att vi fortfarande har spam-e-postmeddelanden - någon där ute måste falla för dem eller de skulle inte vara lönsamma.
Ta en titt på anatomin för ett phishing-e-postmeddelande för mer information.
Hur Spear Phishing Är annorlunda
Om traditionell phishing är en handling att kasta ett brett nät i hopp om att fånga någonting, är spjutfiskning en uppgift att försiktigt rikta in en viss individ eller organisation och skräddarsy attacken mot dem personligen.
Medan de flesta phishing-e-postmeddelanden är inte särskilt specifika, en spjut-phishing-attack använder personlig information för att få bluffet verkligt verkligt. Till exempel, snarare än att läsa "Kära herre, snälla att klicka på den här länken för fantastiska rikedomar och rikedomar" kan e-posten säga "Hej Bob, var god läs den här affärsplanen som vi utarbetade vid tisdagens möte och låt oss veta vad du tycker." kan tyckas komma ifrån någon du känner (möjligen med en smidad e-postadress, men möjligen med en riktig e-postadress efter att personen skadats i ett phishing-angrepp) i stället för någon du inte vet. Begäran är mer noggrant utformad och ser ut som om den kan vara legitim. E-postmeddelandet kan referera till någon du känner till, ett köp du har gjort, eller annan personlig information.
Spjutfiskeangrepp på högvärdesmål kan kombineras med en nolldagars exploatering för maximal skada. Till exempel kan en bedragare maila en person på ett visst företag och säga "Hej Bob, skulle du gärna ta en titt på denna företagsrapport? Jane sa att du skulle ge oss lite feedback. "Med en legitim utseende e-postadress. Länken kan gå till en webbsida med inbäddat Java- eller Flash-innehåll som utnyttjar nolldagen för att kompromissa med datorn. (Java är särskilt farligt, eftersom de flesta har föråldrade och sårbara Java-plugin-program installerade.) När datorn har äventyras kan angriparen få åtkomst till sitt företagsnätverk eller använda sin e-postadress för att starta inriktade angreppsfiskeattacker mot andra individer i organisation.
En bedragare kan också bifoga en farlig fil som är förklädd för att se ut som en ofarlig fil. Exempelvis kan ett spear-phishing-e-postmeddelande ha en PDF-fil som faktiskt är en .exe-fil bifogad.
Vem behöver verkligen oroa sig
Spjutfiskeattacker används mot stora företag och regeringar för att komma åt sina interna nätverk. Vi vet inte om varje företag eller regering som har äventyras av framgångsrika spjutfiskeattacker. Organisationer beskriver ofta inte den exakta typen av attack som äventyrade dem. De kan inte ens erkänna att de har hackats alls.
En snabb sökning avslöjar att organisationer som Vita huset, Facebook, Apple, Förenta staternas försvarsdepartement, New York Times, Wall Street Journal, och Twitter har alla sannolikt äventyras av spjut-phishing-attacker. Det är bara några av de organisationer som vi vet har äventyras - problemets omfattning är sannolikt mycket större.
Om en angripare verkligen vill äventyra ett värdefullt mål, kan ett spjutfiskningsattack - kanske kombinerat med en nytt nolldagsutnyttjande köpt på den svarta marknaden - är ofta ett mycket effektivt sätt att göra det. Spear-phishing-attacker nämns ofta som orsaken när ett högvärdesmål bryts.
Skydda dig från Spear Phishing
Som en person är du mindre sannolikt att vara målet för en så avancerad attack än regeringarna och massiva företag är. Angripare kan dock fortfarande försöka använda spjutfiske-taktik mot dig genom att integrera personuppgifter i phishing-e-postmeddelanden. Det är viktigt att inse att phishing-attacker blir mer sofistikerade.
När det gäller phishing, bör du vara vaksam. Håll din programvara uppdaterad så att du är bättre skyddad mot att få kompromiss om du klickar på länkar i e-postmeddelanden. Var extra försiktig när du öppnar filer som bifogas e-postmeddelanden. Akta dig för ovanliga förfrågningar om personlig information, även sådana som verkar som om de kan vara legitima. Använd inte lösenord på olika webbplatser, bara om ditt lösenord kommer ut.
Phishing-attacker försöker ofta göra saker som legitima företag aldrig skulle göra. Din bank kommer aldrig att maila dig och be om ditt lösenord. Ett företag du har köpt varor från kommer aldrig att skicka e-post till dig och begära ditt kreditkortsnummer och du får aldrig ett direktmeddelande från en legitim organisation som ber dig om ditt lösenord eller annan känslig information. Klicka inte på länkar i e-postmeddelanden och ge känslig personlig information, oavsett hur övertygande phishing-e-posten och phishing-webbplatsen är.
Liksom alla former av phishing är spjutfiskning en form av socialteknikattack som är särskilt svårt att försvara sig mot. Allt som krävs är att en person gör ett misstag och attackerna kommer att ha etablerat sig i ditt nätverk.
Bildkrediter: Florida Fish and Wildlife on Flickr
Så här använder du din iPhones kamera som förstoringsglas i iOS 10
Om du någonsin har hittat dig och önskar att du hade ett förstoringsglas med dig, kan iOS 10 nu fungera som en utmärkt ersättare. Den nya förstoringsanordningen - för att inte förväxlas med textstorleken och zoomfunktionerna som gör din skärmtext större - använder kamerans kamera och ficklampa för att se till att du alltid kan läsa kvittot eller gräva ut den splinten.
Så här inaktiverar du "New App Installed" Notification i Windows 8 och 10
När du installerar en ny appliknande, säg en videospelare - men ställ inte in den nya appen som standard för filtyper det stöder när du öppnar en fil som app kan läsa in i det här exemplet kommer en videofil-Windows att meddela dig att du har en "ny app som kan öppna den här typen av fil" och visa en fönster för att välja en ny standardapp för den filtypen.
