Phishingul se referă la o înșelătorie similară pescuitului – de unde și numele – în care escrocul încearcă să obțină informații valoroase ademenind sau momelând o persoană cu o comunicare cu aspect autentic, dar fals, care câștigă credibilitate prin imitarea unei mărci corporative binecunoscute, cum ar fi aceea. a unei bănci, a unei companii de card de credit, a unui comerciant, a unui site de socializare sau a unui site de plată. Termenul a apărut în 1996. Spear phishing continuă analogia și denotă un stil specific de phishing.
E-mailurile de phishing sunt trimise unui public larg și, în general, oferă un avertisment îngrozitor, afirmând că ceva rău poate fi evitat doar prin confirmarea de către destinatar a anumitor informații. Informațiile sunt de obicei personale și critice, cum ar fi un număr de securitate socială sau numărul de cont și parola. Un hyperlink în e-mail îl duce pe destinatar către un site web unde sunt colectate informațiile, rezultatul fiind că destinatarul pierde un cont bancar sau este victima furtului de identitate.
E-mailurile spear phishing diferă de e-mailurile de phishing în mai multe moduri. În primul rând, acestea sunt trimise unui public atent vizat, cum ar fi angajații unei anumite organizații sau membrii unui anumit grup. În al doilea rând, e-mailul pare să provină de la un coleg din cadrul organizației sau grupului și sunt adesea construite cu mai multă grijă decât e-mailurile de phishing, care pot prezenta semne evidente de falsificare. În al treilea rând, scopul nu este de a obține pur și simplu un nume, o parolă sau informații despre cardul de credit de la o persoană, ci să se infiltreze în rețeaua de calculatoare a unei companii.
Unul dintre cele mai notabile atacuri de tip spear phishing, denumit adesea „vânarea de balene” din cauza calibrului publicului țintă, a fost un atac dublu din 2008 împotriva a aproximativ 20,000 de directori seniori ai companiilor. Două mii au căzut pentru primul atac, dar doar 70 pentru al doilea. Ambele atacuri s-au mascarat ca o citație oficială pentru a se prezenta în fața unui mare juriu federal, iar făcând clic pe linkul către ceea ce trebuia să fie o copie mai completă a citației a condus de fapt la un site unde un clic suplimentar a instalat software-ul pe computerul lor care a permis furtul acreditărilor de conectare. Malware-ul din primul caz a fost capturat de doar opt dintre primele 35 de produse anti-malware, iar malware-ul modificat a fost preluat doar de 11 dintre ele în al doilea atac.
Există pași pe care oamenii îi pot lua pentru a evita înșelătoriile de tip spear phishing. Dacă cineva suspectează o înșelătorie, ar trebui să sune persoana de la care pare să provină un e-mail. Nu trebuie să faceți niciodată clic pe niciun link dintr-un e-mail suspect sau să deschideți atașamente. De asemenea, este o idee bună să apelați departamentul IT sau furnizorul de servicii de internet (ISP) pentru îndrumare. În loc să ștergeți doar e-mailurile suspecte care ar putea ajunge la locul de muncă, ar face mai bine să-l raportați persoanei potrivite din companie.