Loại tội phạm này đã tồn tại hơn 20 năm và cực kỳ nguy hiểm. Một điều thậm chí còn nguy hiểm hơn là một loại tấn công lừa đảo có tên gọi Spearphising. Spear phishing thực chất là một cuộc tấn công lừa đảo được nhắm mục tiêu và nghiên cứu kỹ lưỡng. Đây là một phương pháp mà bọn tội phạm mạng sử dụng kỹ thuật nhắm mục tiêu để lừa bạn tin rằng, bạn đã nhận được một email hợp pháp từ một đối tượng đã biết, yêu cầu bạn cung cấp thông tin của mình. Email có thể là từ một người hoặc bất kỳ tổ chức nào mà bạn biết.
Một câu chuyện về sự thận trọng
Giả sử tôi là một tội phạm mạng và có một tổ chức mà tôi muốn tấn công. Có thể tổ chức đủ lớn để có những thông tin hoặc tài sản tôi muốn đánh cắp, nhưng không lớn đến mức tổ chức coi trọng an ninh mạng của mình. Với rất nhiều thông tin về các công ty trực tuyến, việc nghiên cứu một danh sách mục tiêu như thế này là rất dễ dàng. Khi tôi đã đưa ra lựa chọn của mình về một công ty, tôi chuyển sang bước tạo một chức danh công việc.
Tôi bắt đầu lập danh sách các loại vị trí trong công ty có thể có quyền truy cập vào những thứ mà tôi đang tìm cách đánh cắp. Khi tôi có các danh mục chức danh, tôi có thể tra cứu các chức danh này trên trang web của công ty, tìm kiếm chúng trên LinkedIn hoặc thậm chí gọi cho quầy lễ tân và hỏi tên của phó chủ tịch.
Khi tôi có một danh sách các tên mà tôi tin rằng có thể là con đường dẫn đến những thứ mà tôi tìm kiếm, tôi bắt đầu nghiên cứu tên của chúng. Chỉ cần nhập tên của người đó lên Google và tôi có thể thu thập được hàng loạt thông tin quan trọng. Giả sử mục tiêu mong muốn của tôi có tên là Bob Important, và bằng cách trên Google nhập tên của đối tượng, tôi phát hiện ra anh ấy có tài khoản Facebook. Tôi nhấp vào tài khoản Facebook của Bob, nhưng Bob đủ thông minh để biết cách khóa quyền riêng tư của tài khoản của mình, vì vậy tôi chưa thể tìm thấy bất cứ thông tin gì. Nhưng mặc dù anh ấy đã khóa quyền riêng tư trong tài khoản của mình, anh ấy đã không bấm riêng vào tùy chọn “Ai có thể xem danh sách Bạn bè của bạn?” và đánh dấu là "Chỉ bạn bè" hoặc "Riêng tư". Mặc dù tôi không thể nhìn thấy thông tin về Bob, nhưng tôi có thể biết bạn bè của anh ấy là ai.
Tôi chọn một trong những người bạn của Bob Important một cách ngẫu nhiên, tôi lấy ví dụ một người bạn của Bob là Sally Friend và tôi nhấp vào tài khoản của cô ấy. Tài khoản của cô ấy cũng là riêng tư, nhưng điều đó không quan trọng vì tôi không cần tài khoản của cô ấy - tôi chỉ cần lưu hình ảnh của cô ấy. Tôi có thể lưu nó ngay từ Facebook hoặc vào Google hình ảnh, tìm kiếm tên của cô ấy và từ đó tôi có thể tải xuống hình ảnh của Sally.
Tại thời điểm này, tôi tạo một tài khoản Facebook khác và tự gọi mình là Sally Friend và tôi sử dụng hình ảnh thực tế của Sally Friend làm ảnh đại diện. Hãy nhớ rằng, tôi không thực sự cần hack tài khoản của Sally, Bob hoặc bất cứ ai vào thời điểm này. Tôi chỉ đơn giản là sử dụng thông tin có sẵn trên mạng xã hội.
Khi tôi đã tạo tài khoản Facebook Sally Friend giả mạo của mình, tôi gửi yêu cầu kết bạn tới Bob Important. Sau khi anh ta chấp nhận yêu cầu kết bạn từ Sally giả, anh ta hiện có hai Sally trong danh sách bạn bè trên Facebook của mình. Một là Sally thật và một là tội phạm mạng.
Bây giờ với tư cách là tội phạm mạng, tôi thấy mọi thứ tôi cần biết về Bob để xây dựng một cuộc tấn công spearphishing hiệu quả. Tôi biết anh ấy đã kết hôn hay chưa, sinh nhật, sở thích, tên của các thành viên trong gia đình và những gì anh ấy đã làm vào cuối tuần. Tôi có thể sử dụng những kiến thức đó để gửi cho anh ấy một thông điệp rất thuyết phục. Không chỉ vậy, đây sẽ là một tin nhắn từ một nguồn đáng tin cậy.
Tin nhắn của tôi chỉ đơn giản là: “Này Bob, tôi biết anh rất thích bộ phim Avengers. Hãy xem đoạn trailer mới tuyệt vời này”. Và cũng như vậy, tôi có thể thuyết phục anh ấy nhấp vào một liên kết tôi đã thêm vào thông điệp được thiết kế cho mục đích duy nhất là tạo ra sự phá hoại.
Những gì các doanh nghiệp có thể làm để ngăn chặn các cuộc tấn công Sphear Fishing
Đây chỉ là một ví dụ về một cuộc tấn công spear phishing. Điều quan trọng là phải kể qua những câu chuyện như thế này với nhóm của bạn, để giải thích cho họ rằng những câu chuyện đằng sau những con số về số vụ vi phạm trên thực tế là rất thật. Tội phạm mạng thích thú khi người dùng thường chỉ lướt qua và tưởng nó là thật, rơi vào những thói quen thông thường và tiếp tục nhấp vào bất cứ đường link nào được hiển thị. Cách duy nhất người dùng có thể chiến thắng trong cuộc chiến chống tội phạm mạng là trước tiên hiểu rằng chúng ta thực sự đang chiến đấu, và cách tốt nhất để làm điều đó là chia sẻ những câu chuyện về cách các kịch bản này diễn ra.
Ngoài nhận thức thông qua các câu chuyện, các tổ chức nên tiến hành tìm kiếm thường xuyên để phát hiện các email lừa đảo. Những cuộc tấn công này được cá nhân hóa đến mức nhân viên thậm chí không thể nhận ra nếu nó xảy ra. Và cho dù bạn đang tìm cách bảo vệ tổ chức của mình hay chỉ các tài khoản cá nhân của mình, thì nó luôn luôn là một ý tưởng tốt để tận dụng xác thực đa yếu tố. Có nhiều phiên bản miễn phí này cung cấp một lớp bảo mật bổ sung tuyệt vời qua tên người dùng và mật khẩu đơn giản. Một ví dụ về điều này là khi nền tảng phương tiện truyền thông xã hội của bạn yêu cầu bạn cung cấp số điện thoại của bạn. Sau đó, nó có thể nhắn tin cho bạn để xác minh bạn thực sự là bạn.
Với tất cả những gì đã nói, cách tuyệt đối tốt nhất để tránh spearphishing là không bao giờ nhấp trực tiếp vào một liên kết được gửi cho bạn - ngay cả khi nó dường như là từ một người bạn. Mở một cửa sổ tìm kiếm riêng biệt và nghiên cứu liên kết đầu tiên. Hãy tự hỏi mình: "Tôi có mong đợi điều này hay không? Có điều gì trong số này có ý nghĩa gì không?" Và nếu người gửi email cho bạn đang yêu cầu một số dữ liệu nhạy cảm, hãy xem xét việc gọi lại cho người mà bạn nghĩ đã gửi email cho mình và xác nhận với họ rằng thực tế họ là những người yêu cầu thông tin.
Khi nói đến spear phishing, một vài phút thận trọng có thể giúp bạn tiết kiệm hàng giờ, hàng ngày và thậm chí có thể nhiều năm tránh xa rắc rối.