Definición de Spear Phishing | Que é Spear Phishing?

Índice analítico

Estafa de spearphishing

Definición de Spear Phishing

O spear phishing é un ciberataque que engana a unha vítima para que revele información confidencial. Calquera pode ser obxectivo dun ataque de spearphishing. Os delincuentes poden dirixirse a empregados públicos ou empresas privadas. Os ataques de spear phishing pretenden proceder dun compañeiro ou dun amigo da vítima. Estes ataques poden incluso imitar modelos de correo electrónico de empresas coñecidas como FexEx, Facebook ou Amazon. 
 
O obxectivo dun ataque de phishing é conseguir que a vítima faga clic nunha ligazón ou descargue un ficheiro. Se a vítima fai clic nunha ligazón e é atraída a escribir información de inicio de sesión nunha páxina web falsa, acaba de entregar as súas credenciais ao atacante. Se a vítima descarga un ficheiro, entón instálase malware no ordenador e, nese momento, a vítima cedeu todas as actividades e información localizadas nese ordenador.
 
Un bo número de ataques de phishing están patrocinados polo goberno. Ás veces, os ataques veñen de ciberdelincuentes que venden a información a gobernos ou corporacións. Un ataque de spear-phishing exitoso contra unha empresa ou goberno pode levar a un forte rescate. Grandes empresas como Google e Facebook perderon diñeiro con estes ataques. Hai uns tres anos, BBC informou que ambas empresas foron estafados dunha suma duns 100 millóns de dólares cada un por un só hacker.

En que se diferencia o Spear Phishing do Phishing?

Aínda que o phishing e o spear-phishing son similares nos seus obxectivos, son diferentes no método. Un ataque de phishing é un intento único dirixido a un gran grupo de persoas. Faise con aplicacións dispoñibles deseñadas para ese fin. Estes ataques non requiren moita habilidade para levar a cabo. A idea dun ataque de phishing regular é roubar credenciais a gran escala. Os delincuentes que fan isto normalmente teñen como obxectivo revender as credenciais na web escura ou esgotar as contas bancarias das persoas.
 
Os ataques de phishing son moito máis sofisticados. Normalmente están dirixidos a empregados, empresas ou organizacións específicos. A diferenza dos correos electrónicos xenéricos de phishing, os correos electrónicos de spear phishing parecen proceder dun contacto lexítimo que o destino recoñece. Este pode ser un xefe de proxecto ou un xefe de equipo. Obxectivos están planificados e ben investigado. Un ataque de spearphishing adoita aproveitar a información dispoñible públicamente para imitar a persoa do obxectivo. 
 
Por exemplo, un atacante pode investigar a vítima e descubrir que ten un fillo. Despois poden usar esa información para crear unha estratexia de como usar esa información contra eles. Por exemplo, poden enviar un anuncio falso da empresa preguntando se queren unha gardería gratuíta para os seus fillos proporcionada pola empresa. Este é só un exemplo de como un ataque de spearphishing utiliza datos coñecidos publicamente (normalmente a través das redes sociais) contra ti.
 
Despois de obter as credenciais da vítima, o atacante pode roubar máis información persoal ou financeira. Isto inclúe información bancaria, números de seguridade social e números de tarxeta de crédito. O spear phishing require máis investigación sobre as súas vítimas para penetrar nas súas defensas con éxito.Un ataque de spear-phishing adoita ser o inicio dun ataque moito maior a unha empresa. 
Phishing de lanza

Como funciona un ataque Spear Phishing?

Antes de que os cibercriminales leven a cabo ataques de phishing, investigan os seus obxectivos. Durante este proceso, atopan os correos electrónicos, os postos de traballo e os compañeiros dos seus obxectivos. Parte desta información atópase na páxina web da empresa na que traballa o destino. Atopan máis información pasando por LinkedIn, Twitter ou Facebook do obxectivo. 
 
Despois de recoller información, o cibercriminal pasa a elaborar a súa mensaxe. Crean unha mensaxe que parece que procede dun contacto coñecido do obxectivo, como un xefe de equipo ou un xestor. Hai varias formas en que o cibercriminal pode enviar a mensaxe ao obxectivo. Os correos electrónicos úsanse polo seu uso frecuente en ambientes corporativos. 
 
Os ataques de spear-phishing deben ser fáciles de identificar debido ao enderezo de correo electrónico que se utiliza. O atacante non pode ter o mesmo enderezo que o que posúe a persoa pola que se fai pasar por o atacante. Para enganar ao obxectivo, o atacante falsifica o enderezo de correo electrónico dun dos contactos do obxectivo. Isto faise facendo que o enderezo de correo electrónico pareza o máis semellante posible ao orixinal. Poderían substituír unha "o" por un "0" ou unha "l" minúscula por unha "I" en maiúscula, etc. Isto, unido ao feito de que o contido do correo electrónico parece lexítimo, dificulta a identificación dun ataque de phishing.
 
O correo electrónico enviado normalmente contén un ficheiro adxunto ou unha ligazón a un sitio web externo que o destino podería descargar ou facer clic. O sitio web ou o ficheiro adxunto contería malware. O malware execútase unha vez que se descarga no dispositivo do destino. O malware establece a comunicación co dispositivo do cibercriminal. Unha vez que isto comeza, pode rexistrar as pulsacións de teclas, recoller datos e facer o que lle ordene o programador.

Quen ten que preocuparse polos ataques de Spear Phishing?

Todo o mundo debe estar atento aos ataques de phishing. Algunhas categorías de persoas teñen máis probabilidades de facelo ser atacado que outros. As persoas que teñen traballos de alto nivel en industrias como a saúde, as finanzas, a educación ou o goberno teñen un maior risco. Un ataque de spear phishing exitoso en calquera destas industrias pode levar a:

  • Unha violación de datos
  • Grandes pagos de rescate
  • Ameazas á Seguridade Nacional
  • Perda de reputación
  • Repercusións legais

 

Non podes evitar recibir correos electrónicos de phishing. Aínda que uses un filtro de correo electrónico, chegarán algúns ataques de spearphishing.

A mellor forma de xestionar isto é adestrando aos empregados sobre como detectar correos electrónicos falsificados.

 

Como previr os ataques de Spear Phishing?

Hai varios pasos que podes tomar para evitar ataques de phishing. A continuación móstrase unha lista de medidas preventivas e protectoras contra ataques de spear-phishing:
 
  • Evita publicar demasiada información sobre ti nas redes sociais. Esta é unha das primeiras paradas dun cibercriminal para buscar información sobre ti.
  • Asegúrate de que o servizo de hospedaxe que utilizas teña seguridade de correo electrónico e protección antispam. Isto serve como primeira liña de defensa contra un ciberdelincuente.
  • Non faga clic nas ligazóns ou ficheiros adxuntos ata que estea seguro da orixe do correo electrónico.
  • Teña coidado cos correos electrónicos non solicitados ou con solicitudes urxentes. Intente verificar tal solicitude a través doutro medio de comunicación. Fale á persoa sospeitosa unha chamada telefónica, un texto ou unha conversa cara a cara.
 
As organizacións deben educar aos seus empregados sobre as tácticas de phishing. Isto axuda aos empregados a saber que facer cando atopan un correo electrónico de spear phishing. Isto é a educación pode ser alcanzado cunha simulación de phishing.
 
Unha forma de ensinar aos seus empregados a evitar ataques de phishing é mediante simulacións de phishing.

Que son as simulacións de phishing?

Unha simulación de spear phishing é unha excelente ferramenta para que os empregados se familiaricen coas tácticas de spear phishing dos ciberdelincuentes. Trátase dunha serie de exercicios interactivos deseñados para ensinar aos seus usuarios a identificar correos electrónicos de spear phishing para evitalos ou denuncialos. Os empregados que están expostos a simulacións de spear phishing teñen moitas máis posibilidades de detectar un ataque de spear phishing e reaccionar adecuadamente.

Como funciona unha simulación de spear phishing?

  1. Informa aos empregados de que recibirán un correo electrónico de phishing "falso".
  2. Envíalles un artigo que describa como detectar correos electrónicos de phishing de antemán para asegurarse de que estean informados antes de probalos.
  3. Envía o correo electrónico de phishing "falso" nun momento aleatorio durante o mes en que anuncias a formación de phishing.
  4. Mide as estatísticas de cantos empregados sufriron o intento de phishing en comparación coa cantidade que non o fixeron ou quen informou do intento de phishing.
  5. Continúa adestrando enviando consellos sobre a concienciación sobre phishing e probando aos teus compañeiros de traballo unha vez ao mes.

 

>>>Podes obter máis información sobre como atopar o simulador de phishing adecuado AQUÍ.<<

panel de control gophish
Como facer unha proba gratuíta de phishing para a túa organización

Por que quero simular un ataque de phishing?

Se a túa organización é afectada por ataques de spearphishing, as estatísticas sobre ataques exitosos serán aleccionadores para ti.

A taxa de éxito media dun ataque de phishing é unha taxa de clics do 50 % para correos electrónicos de phishing. 

Este é o tipo de responsabilidade que a súa empresa non quere.

Cando creas conciencia sobre o phishing no teu lugar de traballo, non só estás protexendo aos empregados ou á empresa contra a fraude con tarxetas de crédito ou o roubo de identidade.

Unha simulación de phishing pode axudarche a evitar violacións de datos que lle custan millóns de demandas á túa empresa e millóns de confianza dos clientes.

>>Se queres consultar un montón de estatísticas de phishing, consulta a nosa Guía definitiva para comprender o phishing en 2021 AQUÍ.<<

Se queres iniciar unha proba gratuíta de GoPhish Phishing Framework certificado por Hailbytes, podes contactar connosco aquí para máis información ou comeza hoxe a túa proba gratuíta en AWS.

Implementa GoPhish Phishing Platform en Ubuntu 18.04 en AWS

servizos

Nosa Empresa

O noso enderezo

Hailbytes

9511 Queens Guard Ct.

Laurel, MD 20723

Teléfono: (732) 771-9995

Correo electrónico: info@hailbytes.com

solucións

Preguntas frecuentes sobre seguridade

Redes sociais