Το spear-phishing και οι παραβιάσεις εταιρικών email (BEC) είναι δύο από τις πιο συχνές και επιζήμιες επιθέσεις τα τελευταία χρόνια. Το 2018 οι αμερικανικές επιχειρήσεις έχασαν 1,3 δισεκατομμύρια δολάρια. Οι επιτυχημένες επιθέσεις και οι τεράστιες αμοιβές ενισχύουν τους hackers και τους δίνουν κίνητρο ώστε να βελτιώσουν τις phishing επιθέσεις τους και να επεκτείνουν τις εκστρατείες τους.
Η Microsoft ανέφερε ότι οι hackers πραγματοποιούν προηγμένες spear-phishing επιθέσεις που είναι εξαιρετικά στοχευμένες. Γι’ αυτό τις έχει ονομάσει ‘laser’ phishing.
Συνήθως, οι επιτιθέμενοι στέλνουν emails στους υπαλλήλους εταιρειών και μιμούνται τον Διευθύνοντα Σύμβουλο ή κάποιο άλλο ανώτερο στέλεχος. Με αυτόν τον τρόπο εξαπατούν τους υπαλλήλους και τους παρασύρουν να ανοίξουν αρχεία, που περιέχουν κακόβουλο λογισμικό ή τους αναγκάζουν να στείλουν μεγάλα χρηματικά ποσά σε λογαριασμούς που ελέγχονται από τους hackers.
Η Microsoft παρατήρησε ότι το ποσοστό των phishing emails διπλασιάστηκε μέσα σε ένα χρόνο. Το Σεπτέμβριο του 2018 το ποσοστό ήταν 0,31%, ενώ το Σεπτέμβριο του 2019 0,62%.
Το βασικό όπλο που χρησιμοποιούν οι επιτιθέμενοι για να πραγματοποιούν επιτυχημένες phishing επιθέσεις είναι το open-source intelligence ή OSINT.
Πολλές από τις spear-phishing εκστρατείες είναι εξαιρετικά έξυπνες και μπορούν να ξεγελάσουν ακόμα και τους ειδικούς σε θέματα πληροφορικής. Η Dianna Kelley, επικεφαλής στο τμήμα ασφάλειας της Microsoft έφερε το παράδειγμα ενός εργοδότη που έψαχνε απελπισμένα υπαλλήλους για τον τομέα πληροφορικής:
“Ο υπεύθυνος προσλήψεων δημοσιεύει τις θέσεις εργασίας στα social media της εταιρείας και ζητά άτομα. Λίγες μέρες αργότερα λαμβάνει ένα email από έναν υποψήφιο. Ο υπεύθυνος ανοίγει το συνημμένο βιογραφικό σημείωμα και μολύνει τον υπολογιστή του με κακόβουλα προγράμματα, χωρίς να το καταλάβει. Έχει μόλις εξαπατηθεί από έναν spear phisher”.
Οι επιτιθέμενοι στοχεύουν, συνήθως, υπαλλήλους που εργάζονται στα οικονομικά τμήματα εταιρειών και έχουν την εξουσιοδότηση να πραγματοποιούν μεταφορές μεγάλων χρηματικών ποσών. Στη συνέχεια επιλέγουν το στέλεχος της εταιρείας που θα παραστήσουν, χρησιμοποιώντας πληροφορίες από τα social media τους.
“Οι άνθρωποι είναι διατεθειμένοι να ανταποκριθούν γρήγορα όταν τα αφεντικά τους στέλνουν email και τους ζητούν κάτι- ειδικά αν λένε ότι είναι επείγον”, εξηγεί η Kelley.
Δεν υπάρχει ένας απλός τρόπος να αντιμετωπιστούν οι spear-phishing επιθέσεις. Ωστόσο, η Microsoft υποστηρίζει ότι η τεχνολογία και η εκπαίδευση μπορούν να περιορίσουν την απειλή.
Για παράδειγμα, οι εταιρείες θα μπορούσαν να εκπαιδεύσουν τους υπαλλήλους τους, ώστε να αναγνωρίζουν τα phishing emails και να προσφέρουν εργαλεία που μιμούνται πραγματικές spear-phishing επιθέσεις, που δημιουργούν την αίσθηση επείγουσας ανάγκης ή χρησιμοποιούν γλώσσα που προκαλεί συμπάθεια ή φόβο. Με αυτόν τον τρόπο, οι υπάλληλοι θα κάνουν πρακτική εξάσκηση και θα εξοικειωθούν με τα phishing emails. Έτσι, όταν βρεθούν αντιμέτωποι με μια πραγματική spear-phishing επίθεση, θα μπορέσουν να την αναγνωρίσουν.
Επιπλέον, οι εργαζόμενοι θα πρέπει να ενθαρρύνονται να συζητούν για τα phishing emails με τους συνεργάτες τους και να αναφέρουν οποιοδήποτε περιστατικό, ώστε να αντιμετωπίζεται άμεσα αλλά και να μαθαίνουν και οι υπόλοιποι από τις εμπειρίες του θύματος.
Τέλος, ένα από τα πιο σημαντικά μέτρα ασφαλείας είναι η χρήση του ελέγχου ταυτότητας δύο παραγόντων, ο οποίος σύμφωνα με τη Microsoft, αποκλείει το 99,9% των αυτοματοποιημένων επιθέσεων.
 είναι δύο από τις πιο συχνές και επιζήμιες επιθέσεις τα τελευταία χρόνια. Το 2018){kind=link}