Spear phishing

Ukierunkowana odmiana phishingu wymierzona w konkretną osobę lub firmę, w której wiadomość jest spersonalizowana na podstawie zebranych wcześniej informacji o ofierze. Dzięki temu jest znacznie skuteczniejsza niż masowy phishing.

Spear phishing to ukierunkowany atak phishingowy wymierzony w konkretną osobę, dział albo firmę — w przeciwieństwie do zwykłego phishingu, który leci masowo do tysięcy losowych skrzynek. Tu napastnik najpierw odrabia pracę domową: sprawdza, kim jesteś, gdzie pracujesz, kto jest twoim szefem i jakich narzędzi używacie. Dopiero potem pisze wiadomość skrojoną tak, żebyś nie nabrał podejrzeń. Im więcej wie o tobie, tym groźniejszy jest mail.

Jak to działa

Schemat jest prosty i właśnie dlatego skuteczny. Atakujący zbiera dane z OSINT (open-source intelligence) — LinkedIn, strona firmy, wycieki haseł, profile w social media. Z tego buduje wiarygodny pretekst: faktura od znanego dostawcy, prośba od „prezesa” o pilny przelew, link do „wewnętrznego” panelu HR. Wiadomość często podszywa się pod realną osobę (spoofing adresu nadawcy) i prowadzi do fałszywej strony logowania albo załącznika z malware.

Celem zwykle są dane logowania, dostęp do systemów wewnętrznych albo wyłudzenie pieniędzy. Odmiana skierowana w kadrę zarządzającą to whaling („polowanie na grube ryby”), a podszywanie się pod szefa w prośbach o przelew to CEO fraud, część szerszej kategorii BEC (Business Email Compromise).

Przykład z praktyki

Zespoły bezpieczeństwa same testują pracowników takimi atakami — to legalne, kontrolowane ćwiczenie. Popularnym narzędziem open source jest Gophish. Stawiasz go jednym poleceniem, np. w Dockerze:

  • docker run -d -p 3333:3333 -p 8080:8080 gophish/gophish

Potem w panelu definiujesz grupę odbiorców, szablon maila (np. „Twoje hasło wygaśnie za 24h”) i landing page kopiujący stronę logowania. Gophish wysyła kampanię i pokazuje statystyki: kto otworzył, kto kliknął, kto wpisał hasło. Dla blue teamu to twarde dane o tym, kogo doszkolić — bez czyjejś realnej krzywdy.

Częste błędy i mity

Mit: „mnie się to nie zdarzy, jestem ostrożny”. Spear phishing celuje właśnie w moment, gdy jesteś zajęty i klikasz odruchowo. Błąd: ocenianie maila tylko po wyświetlanej nazwie nadawcy — sprawdzaj pełny adres i nagłówki (SPF, DKIM, DMARC). Drugi częsty błąd to przelew albo zmiana danych konta na podstawie samego maila — przy prośbach finansowych zawsze potwierdź drugim kanałem (telefon, komunikator). I włącz MFA: nawet jak hasło wycieknie, samo nie wystarczy do logowania.

Pojęcia powiązane

Phishing, whaling, BEC (CEO fraud), vishing (atak głosowy), smishing (SMS), OSINT, social engineering, pretexting, SPF/DKIM/DMARC, MFA.