TIP#1596: Co je to Spear Phishing

Spear phishing (rhybaření) je zmíněnu už v Co je to phishing a proč tomu říkáme rhybaření? jako cílená varianta phishingu (rhybaření). To má vyjadřovat spojení se slovem kopí/oštep (spear) – ve významu „nabodnutí/zásah“ konkrétního člověka či subjektu. V poslední době se tento termín objevil v médiích v souvislosti s „útoky“ na české nemocnice. Tam ale o žádné útoky nejde, pouze o klasické klikání na malware a ransomware ve spamu, tedy v žádné cílené podobě. Navíc spojené s nefunkčním zabezpečením systémů.

Spear phishing využije konkrétní útočník pro dosažení nějakého cíle u určitého člověka, organizace či firmy. Velmi promyšleným způsobem ho zpravidla napadne přes malware, ransomware, nainstaluje do počítače backdoor či jiné software, které mu umožní dosáhnout nějakého podstatně zajímavějšího cíle. Může jít i o přímé či následné nasazení ransomware a poté vymáhání vysokého výkupného, často v kombinaci s únikem dat – ukradená data budou zveřejněna, pokud výkupné nebude zaplaceno.

Cílem může být krádež dat pro průmyslovou špionáž, diskreditaci novináře či politika. Může se chtít dostat k přístupovým údajům do dalších systémů. Velmi často se spear phishing používá pro státy organizované kampaně a míří na novináře, aktivisty, politické oponenty, disidenty. Státy placené hackerské skupiny pak útočí třeba i na jiné státy.

TIP: Jak vlastně mohu chytit do počítače virus, malware či adware? A jak ho nechytit?

Dostat na cílové zařízení (počítač, mobil, tablet, atd) potřebné malware využívá sociální inženýrství, velmi často v chytře vytvořených podvržených e-mailech. Často také zkouší známé i doposud neznámé (0day) bezpečností chyby kdy se oběť (uživatele) pokouší dostat na webové stránky, které obsahují útočný kód. Může využívat i reklamní systémy do kterých je vložená zacílená škodlivá reklama (malvertising).

Jak zaznívá v úvodu výše uvedeného videa je typickým nástrojem phishingu e-mail. Ten lze velmi efektivně falšovat (Jak je možné, že někdo může falšovat odesílatele e-mailu?) a lze tak vytvořit velmi důvěryhodně vypadající e-maily – ty mají za cíl přimět uživatele podívat se na nějaký web kde je škodlivý (útočný) kód nebo už v samotném mailu je útočná příloha (vydávající se za něco zcela jiného).

Vedle přiloženého programu (který cíl otevře ačkoliv by nic takového otevřít nikdy neměl) či bezpečnostních chyb se často používá i možnost spouštět makra ve Wordu/Excelu. Časté bývá i použití archivních formátů ZIP/RAR (viz Mailem opět chodí faktury obsahující ransomware. Stačí otevřít ZIP a spustit v něm uložený JavaScript) – uvnitř je pak útočný soubor. Aby vše prošlo antivirovou kontrolou bývá ZIP/RAR opatřený heslem.

5d6ac-2016-03-24-08_21_29-start

TIP: Jedna z rozšířených variant spear phishingu je i  CEO fraud. E-maily s příkazy platbě které v cílené podobě mohou způsobovat obrovské škody.

Zatímco obyčejný phishing je taková ta hromadně rozesílaná zpráva o nutnosti přihlásit se do bankovnictví (míří na miliony lidí a prostě čeká kdo se náhodou nachytá, starší příklad) spear phishing sice vypadá podobně, ale míří přesně na konkrétního člověka či konkrétní lidi. Předchází mu dlouhé studium a analyzování toho, jak ho vytvořit, aby pomocí sociálního inženýrství zabral. Slouží k tomu veřejně dostupné zdroje, sociální sítě, weby kde se daný člověk vyskytuje, jeho koníčky, záliby, pracovní povinnosti, znalost (firemního) prostředí. Na sociálních sítích i vstup do okruhu přátel, komunikace s obětí i jeho přáteli či kolegy.

Útok přes e-mail pak může jít jak na pracovní e-mailové adresy tak na soukromé, ale může se odehrávat i přes sociální sítě – malware může dorazit přes chatovací aplikace, může se objevit ve skupinách na Facebooku. Stáhnout si ho mohou i zcela jiní lidé, než je správný cíl – u nich ale nic škodlivého nenastane, malware si ohlídá, jestli je „ve správných rukou“.

Problém s opravdu profesionálním spear phishingem je, že je velmi obtížné rozpoznatelný a klasické antivirové či antimalware programy na něj budou schopné reagovat jenom výjimečně. Samotné malware je také vytvořené na míru.