Phishing se řadí mezi nejčastější a nejrozšířenější metody sociálního inženýrství používané při kybernetických útocích.
Tento typ útoku, který zneužívá lidskou důvěřivost, v minulosti zasáhl jak menší, tak i velké společnosti. Podle průzkumu více než 80 % organizací zaznamenalo v roce 2020 alespoň jeden úspěšný pokus o phishingový útok.
Zpráva o trendech phishingových aktivit dále ukazuje, že mezi lety 2019 a 2022 došlo k dramatickému nárůstu phishingových útoků o 150 %, přičemž v roce 2022 bylo zaznamenáno rekordních 4,7 milionů těchto útoků.
Ačkoli phishing zahrnuje širokou škálu kybernetických útoků, existují i specifické varianty, jako je vishing, emailový phishing, spear phishing a klonovací phishing.
Spear phishing se řadí mezi nejvíce rozšířené a sofistikované typy kybernetických útoků a bývá počátečním bodem pro 91 % kybernetických útoků.
Jak se ale phishing a spear phishing liší? Jaké jsou klíčové rozdíly a jak se proti těmto útokům bránit?
V tomto článku se podrobně zaměříme na srovnání phishingu a spear phishingu a prozkoumáme jejich hlavní odlišnosti.
Pojďme na to!
Co je to phishing?
Phishingový útok spočívá v rozesílání podvodných zpráv, nejčastěji e-mailů, náhodným lidem. Útočníci se snaží oslovit co nejvíce potenciálních obětí prostřednictvím různých kanálů, jako jsou textové zprávy (smishing), e-maily nebo telefonní hovory (vishing).
Phishingové e-maily jsou zasílány masově s cílem získat citlivé informace o uživatelích, včetně jejich osobních a firemních dat. Útočníci spoléhají na to, že z velkého množství pokusů se alespoň některé z nich stanou úspěšnými.
Moderní phishingové e-maily a zprávy jsou často velmi sofistikované a navenek vypadají jako legitimní komunikace od důvěryhodných institucí, jako jsou banky nebo společnosti. Hackeři rozesílají tyto zprávy náhodným uživatelům s cílem je přimět kliknout na škodlivé odkazy, stáhnout infikované přílohy nebo provést určitou akci, která spustí další útok.
Při phishingovém útoku útočníci často používají naléhavý tón, aby u příjemců vyvolali pocit strachu a přiměli je ke stažení infikovaných dokumentů nebo klikání na nebezpečné odkazy. Tímto způsobem se snaží získat přístup k osobním údajům, jako jsou bankovní údaje nebo přihlašovací údaje.
Phishingové útoky jsou tedy charakteristické svou masovou a náhodnou distribucí s cílem zneužít důvěřivost uživatelů a získat přístup k citlivým informacím.
V rámci phishingu existuje několik různých technik, které se liší podle použitého média nebo taktiky:
- Smishing: Jedná se o phishing prostřednictvím SMS zpráv, jehož cílem je infikovat uživatelův telefon nebo mobilní zařízení škodlivým softwarem.
- Vishing: Phishing prováděný prostřednictvím telefonních hovorů nebo internetových protokolů, jako je VoIP.
- Pop-up phishing: Zneužívá naléhavá vyskakovací okna nebo zprávy na obrazovce uživatele, které se tváří jako bezpečnostní varování.
- Faxový phishing: Útočník zašle phishingový e-mail, který tvrdí, že obdržel fax v příloze. Odkaz v e-mailu vede na falešné webové stránky, kde se uživatelé vyzývají k zadání svých přihlašovacích údajů.
- Phishing prostřednictvím bankovních převodů: Útočníci se snaží manipulovat s bankovními převody pro nelegální účely.
Nyní, když jsme si popsali různé typy phishingových útoků, podívejme se, co je spear phishing a jak se liší od výše zmíněných technik.
Co je to Spear Phishing?
Spear phishing představuje pokročilejší a sofistikovanější variantu phishingu. Na rozdíl od hromadných phishingových útoků se spear phishing zaměřuje na konkrétní osoby, organizace nebo cíle.
Zatímco běžné phishingové útoky cílí na širokou veřejnost, spear phishing se zaměřuje primárně na konkrétní firmy nebo organizace. Útočníci často využívají taktiky sociálního inženýrství, jako jsou podvodné e-maily.
Útočníci se při spear phishingu často vydávají za zaměstnance, kolegy nebo obchodní kontakty, aby získali přístup k důvěrným informacím organizace. Cílem nemusí být jen krádež osobních údajů, ale také proniknutí do firemního serveru a provedení cílené škodlivé akce.
Kyberzločinci často využívají techniky sociálního inženýrství, jako jsou falešné e-maily. Tyto e-maily jsou vysoce personalizované a obsahují osobní údaje obětí, které útočníci získávají například z profilů na sociálních sítích. Díky tomu falešné e-maily vypadají autenticky a zvyšuje se šance na úspěch útoku.
Kromě e-mailového spoofingu mohou útočníci zneužívat dynamické URL adresy a stahované soubory, aby obešli bezpečnostní opatření a provedli spear phishingový útok.
Kyberzločinci často používají dva specifické typy útoků při spear phishingu:
- Whaling: Tento útok se zaměřuje na vedoucí pracovníky s pravomocí přístupu k důvěrným informacím společnosti. Získáním přístupu k účtům těchto osob mohou útočníci získat citlivé údaje, provést finanční transakce nebo způsobit únik dat.
- Podvody s falešným ředitelem: Zatímco whaling se zaměřuje na vedoucí pracovníky, tento útok se zaměřuje na nižší zaměstnance, kterým je útočník představen jako generální ředitel firmy. Zneužitím jejich důvěry pak útočník může mladší zaměstnance přimět k neoprávněným akcím. Tento typ útoku se také označuje jako Business Email Compromise (BEC) útok.
Nyní, když rozumíme základnímu principu phishingu a spear phishingu, podívejme se na klíčové rozdíly mezi těmito dvěma typy útoků.
Phishing vs. Spear Phishing: Rychlý přehled
| Faktory | Phishing | Spear Phishing |
| Styl phishingu | Útoky ve velkém měřítku, cílené na širokou a náhodnou skupinu. | Útoky cílené na konkrétní organizaci nebo jedince s využitím sociálního inženýrství. |
| Úroveň personalizace | Časté, méně časově náročné. | Vysoce personalizované, vyžadující hluboký průzkum cíle. |
| Stupeň naléhavosti | Používá přesvědčivý a naléhavý jazyk. | Minimální naléhavost, zaměřuje se na získání důvěry. |
| Primární cíl | Získat přístup k citlivým datům oběti, jako jsou přihlašovací údaje. | Získání přístupu k datům, obchodním tajemstvím a dalším firemním informacím. |
| Frekvence | Běžné, například bankovní e-maily s žádostí o aktualizaci hesla. | Méně časté, vyžaduje čas, úsilí a výzkum. |
| Úroveň úsilí | Nízká, zprávy jsou obecné a šablonovité. | Vysoká, zprávy jsou pečlivě sestavovány s personalizací. |
| Tonalita obsahu zprávy | Obecná a formální, oběť neznámá. | Známá a personalizovaná, včetně jména oběti. |
| Příklady | Bankovní e-maily s žádostí o aktualizaci hesla. | Zaměstnanec vyšší pozice žádající o bankovní převod. |
| Preventivní opatření | Filtrování e-mailů, základní školení o kybernetické bezpečnosti. | Pokročilé firewally, filtrování e-mailů, simulace phishingu. |
Phishing vs. Spear Phishing: Vysvětlení funkcí
Phishing a spear phishing se mohou zdát podobné, ale liší se v mnoha klíčových aspektech, jako jsou primární cíle, taktiky, bezpečnostní opatření a další.
Podívejme se na ně podrobněji.
#1. Útokové vektory
Standardní phishingové útoky se šíří masově prostřednictvím sociálního inženýrství, například hromadných e-mailů, škodlivých webových stránek nebo SMS zpráv. Cílem je oslovit co největší počet potenciálních obětí.
Spear phishingové útoky jsou mnohem cílenější a personalizované. I když falešné e-maily jsou často hlavním vektorem útoku, útočníci mohou zneužívat také sociální média, telefonní hovory nebo osobní interakce.
#2. Klamavá taktika
Phishingové útoky využívají obecné a špatně napsané e-maily nebo zprávy, které se vydávají za legitimní organizace. Útočníci používají zastrašovací taktiku nebo vytvářejí pocit naléhavosti, aby donutili oběti poskytnout své citlivé údaje.
Útočníci často spoléhají na obecné e-mailové šablony, taktiky strachu a škodlivé odkazy, falešné webové stránky a přílohy s malwarem. Cílem je přimět oběti k požadované akci pro zajištění bezpečnosti zařízení nebo účtu.
Spear phishing oproti tomu využívá vysoce personalizované taktiky. Útočníci provádějí důkladný průzkum o svých obětech, aby mohli vytvořit autentické a věrohodné zprávy. Zprávy obsahují konkrétní údaje o oběti, jako je její jméno, společnost, pracovní pozice a tón komunikace připomíná běžnou firemní e-mailovou konverzaci.
#3. Cílení
Při phishingových útocích se útočníci zaměřují na co největší počet lidí najednou pomocí obecných e-mailů. Nejedná se tedy o cílený útok na konkrétní osoby nebo organizace. Útočníci spoléhají na to, že alespoň malá část obětí se chytí jejich klamavých praktik.
Spear phishing je naproti tomu cílený útok, který využívá sociální inženýrství. Útočníci mají jasný cíl a přesně vědí, na koho se zaměřují. Často si vybírají vedoucí pracovníky, aby získali přístup k citlivým firemním datům.
Při spear phishingu je cílová oběť pouze prostředek k dosažení cíle, kterým je kompromitace celé organizace.
#4. Cíle
Primárním cílem phishingových útoků je získat velké množství citlivých informací od co největšího počtu lidí, například čísla kreditních karet, přihlašovací údaje a hesla k bankovním účtům.
Cíle spear phishingu jsou naopak mnohem cílenější a závisí na záměru útočníka. Může jít o získání přístupu ke konkrétním firemním účtům, krádež dat, zahájení kybernetického útoku uvnitř organizace nebo průmyslovou špionáž.
#5. Detekční výzvy
Phishingové útoky lze odhalit pomocí blokování domén, filtrování e-mailů, firewallů a antivirového softwaru. Stále složitější techniky sociálního inženýrství však mohou ztěžovat odhalení phishingových e-mailů.
Detekce spear phishingových útoků je ještě náročnější, protože zprávy jsou navrženy na míru a tradiční bezpečnostní opatření je často neodhalí. Spoléhá se tak na informovanost a bystrost uživatelů při odhalování klamavých signálů v e-mailech.
#6. Preventivní opatření
Zaměstnanci i organizace mohou předcházet phishingovým útokům pomocí firewallů, antivirového softwaru, filtrování e-mailů a webových stránek, pravidelných aktualizací hesel a instalací bezpečnostních záplat.
Důležité je také zvyšování povědomí o kybernetické bezpečnosti a školení zaměstnanců, aby dokázali rozpoznat pokusy o phishing.
Prevence spear phishingu vyžaduje komplexní přístup, kombinující robustní řešení zabezpečení e-mailů a vzdělávání uživatelů. Je důležité používat přísné kontroly přístupu, dvoufaktorové ověřování, školit zaměstnance, implementovat robustní řešení zabezpečení e-mailů a získávat aktuální informace o hrozbách.
#7. Příklady z reálného života
Běžnými příklady phishingových útoků jsou falešné e-maily vydávající se za renomované organizace, banky nebo sociální sítě.
- Zdravotnická organizace Spectrum Health nahlásila vishingový útok v září 2020, kdy pacienti obdrželi telefonáty od osob vydávajících se za zaměstnance. Cílem bylo získat osobní údaje, jako jsou ID členů a další informace o účtech.
- Tripwire ohlásil smishingový útok v září 2020, kdy útočníci zasílali SMS zprávy, které se vydávaly za americkou poštu (USPS). Zprávy vybízely oběti k kliknutí na odkaz, který je přesměroval na falešné webové stránky s cílem ukrást přihlašovací údaje k účtu Google.
Následují dva příklady kampaní spear phishingu:
- Google a Facebook přišly o 122 milionů dolarů v letech 2013 až 2015 kvůli rozsáhlé BEC kampani spear phishingu. Útočník se vydával za společnost Quanta, společného dodavatele pro obě společnosti, a rozesílal falešné faktury, které Google a Facebook zaplatily. Později se však podařilo získat zpět 49,7 milionu dolarů.
- Francouzská filmová skupina Pathe přišla o 19,2 milionu eur kvůli podvodu generálního ředitele. Útočník poslal několik e-mailů vydávajících se za generálního ředitele Marca Lacana a žádal nizozemskou kancelář o převod peněz na účty společnosti Towering Stars General Trading LLC v Dubaji.
#8. Míra úspěchu
Míra úspěšnosti phishingových útoků se značně liší, ale bývá nižší než u spear phishingu, protože phishingové útoky jsou obecné a méně cílené.
Úspěšnost phishingového útoku závisí na kvalitě zprávy, klamavé taktice, informovanosti oběti o kybernetické bezpečnosti a schopnosti odhalit podvrženou zprávu.
Spear phishingové útoky mají naopak vyšší úspěšnost díky jejich personalizaci a přesvědčivosti. Příjemci e-mailů spíše uvěří podvrženým zprávám, protože vypadají věrohodně a obsahují konkrétní informace.
Způsoby, jak se chránit před phishingem a spear phishingem
Phishing a spear phishing představují velká rizika pro jednotlivce i organizace. Proto je důležité přijmout preventivní opatření ke zmírnění těchto rizik.
Zde je několik způsobů, jak ochránit sebe a svou organizaci:
- Šifrujte citlivá data v počítači i mobilních zařízeních, abyste zajistili, že k nim útočníci nebudou mít přístup bez správného hesla.
- Ověřte svou e-mailovou adresu pomocí metod, jako je konfigurace SPF, DMARC a DKIM, protože falešné phishingové e-maily jsou primárním nástrojem pro krádež přihlašovacích údajů.
- Používejte multifaktorové ověřování (MFA) k ochraně firemního účtu i v případě, že dojde ke kompromitaci přihlašovacích údajů. Díky MFA je pro útočníky ještě náročnější proniknout do vašich účtů.
- Udržujte veškerý software, aplikace, operační systémy a síťové nástroje aktualizované a zabezpečené. Instalujte nejnovější bezpečnostní záplaty, ochranu proti malwaru a antivirový a antispamový software.
- Vzdělávejte své zaměstnance o negativních dopadech phishingu, mechanismech detekce a prevence a prosazujte osvědčené postupy pro snížení rizik.
- Provádějte pravidelné školicí programy v oblasti kybernetické bezpečnosti a simulace phishingu. Zaměstnanci tak budou informováni o nejnovějších hrozbách a budou schopni identifikovat a hlásit podvodné a škodlivé e-maily.
Vytvořením kultury zaměřené na kybernetickou bezpečnost a implementací osvědčených postupů a praktik lze významně snížit dopad phishingových a spear phishingových útoků.
Závěrečná slova
Phishing a spear phishing jsou reálné hrozby v dnešním digitálním světě. Kyberzločinci používají sofistikované taktiky k ohrožování jednotlivců i organizací, což vede k finančním ztrátám a poškození reputace.
I když oba typy útoků mohou poškodit důvěryhodnost organizace, je možné se jim vyhnout, pokud budete dbát na nejnovější trendy v kybernetické bezpečnosti a budete implementovat osvědčené postupy v oblasti zabezpečení.
Tento článek vám pomohl pochopit rozdíl mezi phishingem a spear phishingem a jejich odlišnosti v oblasti primárních cílů, dopadu, úspěšnosti, taktik, vektorů útoků a metod prevence.
Dodržujte uvedené bezpečnostní postupy, abyste se vy i vaše společnost nestali obětí škodlivých phishingových a spear phishingových kampaní.
Zvažte také použití řešení zabezpečení e-mailů, která vás ochrání před spamem, spoofingem a phishingovými útoky.