Per definizione, lo spear phishing è un attacco di phishing altamente mirato. Come ogni attacco di phishing, può essere eseguito su una varietà di media diversi – e-mail, SMS, social media, ecc. – ma le e-mail di spear phishing sono le più comuni.
Come tipo di phishing, lo spear phishing funziona in modo molto simile ad altri attacchi di phishing, ma il processo di creazione del messaggio di phishing è leggermente diverso. Inoltre, la progettazione di questi attacchi implica che i metodi per bloccare le e-mail di phishing potrebbero non essere efficaci, richiedendo difese mirate contro lo spear phishing.
Un attacco di spear phishing efficace richiede una grande quantità di informazioni sull’obiettivo previsto dell’attacco. Come minimo, è probabile che l'utente malintenzionato conosca il nome dell'obiettivo, nonché il luogo di lavoro, il ruolo all'interno di un'organizzazione e l'indirizzo e-mail.
Se da un lato questo fornisce informazioni di base sul targeting, dall'altro l'utente malintenzionato ha bisogno di dati specifici per il pretesto utilizzato dall'attacco. Ad esempio, se l'utente malintenzionato vuole fingere di essere un membro del team che discute di un particolare progetto, ha bisogno di informazioni di alto livello sul progetto, nomi di colleghi e, idealmente, una copia dello stile di scrittura del collega. Se si spaccia per un fornitore con una fattura non pagata, l'utente malintenzionato deve disporre delle informazioni necessarie per creare una fattura convincente per un fornitore plausibile.
La raccolta di queste informazioni richiede che l'utente malintenzionato esegua una ricognizione sull'obiettivo previsto. È probabile che molte delle informazioni richieste siano disponibili online. Ad esempio, una pagina del profilo su LinkedIn o su un sito simile contiene probabilmente il ruolo lavorativo e le informazioni di contatto per un particolare target.
Ulteriori informazioni possono essere raccolte ispezionando il sito Web dell'organizzazione, verificando la presenza di brevetti che coinvolgono il dipendente e cercando articoli di blog di cui sono autori o pubblicati su forum online.
Dopo aver raccolto queste informazioni, l'aggressore può ottenere una solida comprensione dell'obiettivo. Questa comprensione può quindi essere utilizzata per sviluppare un pretesto personalizzato progettato per massimizzare la probabilità di successo dell'attacco.
La differenza principale tra il phishing tradizionale e lo spear phishing è la miratezza dell’attacco.
Molti attacchi di phishing adottano un approccio “quantità piuttosto che qualità”: le e-mail di phishing vengono inviate al maggior numero possibile di potenziali obiettivi. Sebbene abbiano una probabilità di successo relativamente bassa, l’enorme volume dei messaggi di phishing significa che anche un tasso di successo basso può comunque portare a numerosi attacchi riusciti. Il vantaggio principale di questo approccio allo spear phishing è che è relativamente semplice sviluppare un'e-mail di phishing con ampia applicabilità impersonando un marchio noto (Amazon, Netflix, banche, ecc.) o approfittando di eventi attuali (Olimpiadi, COVID -19, elezioni, ecc.).
Lo spear phishing adotta un approccio molto più mirato per selezionare e attaccare una vittima. Invece di lanciare una rete molto ampia, lo spear phishing utilizza un pretesto mirato specificamente a un determinato individuo o un piccolo gruppo. Questo tipo di attacco richiede molto più lavoro per costruire un pretesto personalizzato, ma la probabilità di successo è molto più alta.
Gli attacchi di spear phishing possono essere altamente sofisticati. Poiché molti di essi sono progettati per indurre un bersaglio a compiere una particolare azione, non richiedono collegamenti o allegati dannosi per raggiungere il loro obiettivo. L'unica differenza tra una richiesta di pagamento legittima da parte di un fornitore e una falsa da parte di un utente malintenzionato potrebbe essere se l'organizzazione utilizza effettivamente o meno i servizi del presunto fornitore.
La protezione dalle e-mail di phishing richiede più linee di difesa. Alcune best practice per ridurre al minimo i rischi associati allo spear phishing includono:
La prevenzione dello spear phishing è una componente chiave della sicurezza della posta elettronica. Per vedere come Harmony Email & Office di Check Point fornisce protezione mirata contro gli attacchi di spear phishing, puoi richiedere una demo.