Pisaliśmy jakiś czas temu o spear-phishingu czyli ukierunkowanym ataku, który dedykowany jest ograniczonej liczbie osób, a maile z mają wyglądać na tyle wiarygodnie i profesjonalnie, że atakujący powinien dać się nabrać.
Zatem jeśli ktoś myśli, że phishing to tylko bezmyślne wysyłanie wiadomości i wykorzystywanie ataków do do rozprzestrzeniania szkodliwego oprogramowania w wersji przekrętu nigeryjskiego to nie jest to prawda. - Przykładem fachowych mailingów, celowo wysyłanych do wyselekcjonowanej grypy osób jest ceo fraud – informuje Righard Zwienenberg, Senior Research Fellow w firmie Eset. - Pojawił się nowy mailing na rynku, gdy atakujący udaje, że jest twoim szefem i próbuje uzyskać dzięki Tobie przesłanie ważnych informacji czy po prostu wysłanie pieniędzy na konto, zakupienie pewnych produktów, opłacenie faktur - dodaje Zwieneberg.
Aby tak się powiódł, atakujący musi poznać wiele informacji na temat funkcjonowania firmy, od sposobów kierowania do hierarchicznej struktury. Dzięki temu łatwiej będzie podszyć się pod osoby zarządzające, a jednocześnie wiadome będzie do kogo ma trafić rzeczona korespondencja.
- Bardzo często to same firmy odsłaniają się umieszczając na stronach internetowych czy w folderach większość informacji o strukturze zarządzania. Zdarza się, że wiele informacji firmowych pojawia się również na serwisach społecznościowych, np. o urlopach osób decyzyjnych – zauważa Righard Zwienenberg.
Choć ataki phishingowe tego typu skierowane są w stronę firm, to łatwo sobie wyobrazić, że Polsce mogą być na nie narażane także urzędy, które mnóstwo informacji o sobie umieszczają w sieci, a także w informacjach dotyczących procedur przetargowych.