Phishing odnosi się do oszustwa analogicznego do łowienia ryb — stąd nazwa — w którym oszust próbuje uzyskać cenne informacje, zwabiając osobę autentycznie wyglądającą, ale fałszywą komunikacją, która zyskuje wiarygodność dzięki naśladowaniu znanej marki korporacyjnej, takiej jak ta banku, firmy obsługującej karty kredytowe, sklepu internetowego, portalu społecznościowego lub witryny płatniczej. Termin ten powstał w 1996 roku. Spear phishing kontynuuje analogię i oznacza specyficzny styl phishingu.
E-maile phishingowe są wysyłane do szerokiego grona odbiorców i generalnie dają straszne ostrzeżenie, stwierdzając, że czegoś złego może uniknąć tylko odbiorca potwierdzający określone informacje. Informacje są zazwyczaj osobiste i krytyczne, takie jak numer ubezpieczenia społecznego lub numer konta i hasło. Hiperłącze w wiadomości e-mail prowadzi odbiorcę do strony internetowej, na której gromadzone są informacje, w wyniku czego odbiorca traci konto bankowe lub pada ofiarą kradzieży tożsamości.
Wiadomości e-mail typu spear phishing różnią się od wiadomości phishingowych na kilka sposobów. Po pierwsze, są wysyłane do starannie ukierunkowanych odbiorców, takich jak pracownicy określonej organizacji lub członkowie określonej grupy. Po drugie, wiadomość e-mail wydaje się pochodzić od kolegi z organizacji lub grupy i często są one tworzone z większą starannością niż wiadomości phishingowe, które mogą wykazywać oczywiste oznaki fałszerstwa. Po trzecie, celem nie jest po prostu uzyskanie od osoby nazwiska, hasła lub informacji o karcie kredytowej, ale infiltracja sieci komputerowej firmy.
Jednym z najbardziej znanych ataków typu spear phishing, często określanym jako „wielorybnictwo” ze względu na kaliber grupy docelowej, był podwójny atak z 2008 r. na około 20,000 70 wyższych dyrektorów korporacji. Dwa tysiące padło na pierwszy atak, ale tylko 35 na drugi. Oba ataki miały postać oficjalnego wezwania do stawienia się przed federalną ławą przysięgłych, a kliknięcie linku do czegoś, co miało być pełniejszą kopią wezwania, w rzeczywistości prowadziło do strony, na której dodatkowe kliknięcie zainstalowało na ich komputerze oprogramowanie, które pozwalało kradzież danych logowania. Złośliwe oprogramowanie w pierwszym przypadku zostało przechwycone tylko przez osiem z 11 najpopularniejszych produktów do zwalczania złośliwego oprogramowania, a zmodyfikowane złośliwe oprogramowanie zostało wykryte tylko przez XNUMX z nich w drugim ataku.
Istnieją kroki, które ludzie mogą podjąć, aby uniknąć oszustw typu spear phishing. Jeśli ktoś podejrzewa oszustwo, powinien zadzwonić do osoby, od której wydaje się pochodzić e-mail. Nigdy nie należy klikać żadnych linków w podejrzanej wiadomości e-mail ani otwierać żadnych załączników. Dobrym pomysłem jest również skontaktowanie się z działem IT lub dostawcą usług internetowych (ISP) w celu uzyskania wskazówek. Zamiast po prostu usuwać podejrzane wiadomości e-mail, które mogą dotrzeć do pracy, lepiej zgłosić to odpowiedniej osobie w firmie.