Spear-phishing adalah bentuk phishing yang lebih baru dan lebih berbahaya. Alih-alih melemparkan jaring yang lebar dengan harapan menangkap apa pun, tombak-phisher kerajinan serangan hati-hati dan bertujuan pada orang-orang individu atau departemen tertentu.
Phishing Dijelaskan
Phishing adalah praktik meniru seseorang yang dapat dipercaya untuk mencoba dan memperoleh informasi Anda. Misalnya, phisher mungkin mengirim email spam yang berpura-pura berasal dari Bank of America yang meminta Anda untuk mengeklik tautan, mengunjungi situs web Bank of America palsu (situs phishing), dan memasukkan detail perbankan Anda.
Namun, phishing tidak hanya terbatas pada email. Seorang phisher dapat mendaftarkan nama obrolan seperti "Dukungan Skype" di Skype dan menghubungi Anda melalui pesan Skype, mengatakan bahwa akun Anda telah disusupi dan mereka memerlukan kata sandi atau nomor kartu kredit Anda untuk memverifikasi identitas Anda. Ini juga telah dilakukan dalam game online, di mana para scammer meniru administrator game dan mengirim pesan yang meminta kata sandi Anda, yang akan mereka gunakan untuk mencuri akun Anda. Phishing juga bisa terjadi melalui telepon. Di masa lalu, Anda mungkin telah menerima panggilan telepon yang mengaku berasal dari Microsoft dan mengatakan Anda memiliki virus yang harus Anda bayar untuk dihapus.
Phisher umumnya melemparkan jaring yang sangat lebar. Email phishing Bank of America dapat dikirimkan ke jutaan orang, bahkan orang yang tidak memiliki akun Bank of America. Karena itu, phishing sering cukup mudah dikenali. Jika Anda tidak memiliki hubungan dengan Bank of America dan mendapatkan email yang mengaku berasal dari mereka, seharusnya sangat jelas bahwa email itu scam. Phisher bergantung pada fakta bahwa, jika mereka menghubungi cukup banyak orang, seseorang akhirnya akan jatuh karena penipuan mereka. Ini adalah alasan yang sama kami masih memiliki email spam - seseorang di luar sana pasti jatuh untuk mereka atau mereka tidak akan mendapat untung.
Lihatlah anatomi email phising untuk informasi lebih lanjut.
Bagaimana Phishing Tombak Berbeda
Jika phishing tradisional adalah tindakan pengecoran jaring yang lebar dengan harapan menangkap sesuatu, tombak phishing adalah tindakan dengan hati-hati menargetkan individu atau organisasi tertentu dan menyesuaikan serangan kepada mereka secara pribadi.
Meskipun sebagian besar email phising tidak terlalu spesifik, serangan phishing tombak menggunakan informasi pribadi untuk membuat penipuan tampak nyata. Misalnya, daripada membaca "Dear Sir, silakan klik tautan ini untuk kekayaan dan kekayaan luar biasa" email mungkin mengatakan "Hai Budi, harap baca rencana bisnis ini yang kami buat pada pertemuan hari Selasa dan beri tahu kami pendapat Anda." Email mungkin tampak berasal dari seseorang yang Anda kenal (mungkin dengan alamat email palsu, tetapi mungkin dengan alamat email yang sebenarnya setelah orang itu disusupi dalam serangan phishing) daripada seseorang yang tidak Anda kenal. Permintaan lebih hati-hati dibuat dan terlihat seperti itu bisa sah. Email tersebut dapat merujuk kepada seseorang yang Anda kenal, pembelian yang Anda lakukan, atau sepotong informasi pribadi lainnya.
Serangan spike-phishing pada target bernilai tinggi dapat dikombinasikan dengan eksploitasi zero-day untuk kerusakan maksimum. Misalnya, scammer dapat mengirim email kepada seseorang di bisnis tertentu dengan mengatakan “Hai Budi, tolong lihat laporan bisnis ini? Jane mengatakan Anda akan memberi kami umpan balik.”Dengan alamat email yang tampak resmi. Tautan bisa masuk ke halaman web dengan konten Java atau Flash tertanam yang memanfaatkan nol hari untuk berkompromi dengan komputer. (Java sangat berbahaya, karena kebanyakan orang sudah ketinggalan jaman dan Java plug-in yang rentan dipasang.) Setelah komputer disusupi, penyerang dapat mengakses jaringan perusahaan mereka atau menggunakan alamat email mereka untuk meluncurkan serangan spear-phishing yang ditargetkan terhadap individu lain di organisasi.
Seorang scammer juga dapat melampirkan file berbahaya yang disamarkan agar terlihat seperti file yang tidak berbahaya. Misalnya, email spear-phishing mungkin memiliki file PDF yang sebenarnya adalah file.exe yang dilampirkan.
Siapa yang Benar-benar Perlu Khawatir
Serangan tombak-phishing digunakan terhadap perusahaan-perusahaan besar dan pemerintah untuk mengakses jaringan internal mereka. Kami tidak tahu tentang setiap perusahaan atau pemerintah yang telah dikompromikan oleh serangan phishing tombak yang sukses. Organisasi sering tidak mengungkapkan jenis serangan yang tepat yang membahayakan mereka. Mereka bahkan tidak suka mengakui bahwa mereka telah diretas sama sekali.
Pencarian cepat mengungkapkan bahwa organisasi termasuk Gedung Putih, Facebook, Apple, Departemen Pertahanan AS, The New York Times, Wall Street Journal, dan Twitter kemungkinan besar dikompromikan oleh serangan spear-phishing. Itu hanyalah sebagian kecil dari organisasi yang kita tahu telah dikompromikan - tingkat masalah mungkin jauh lebih besar.
Jika seorang penyerang benar-benar ingin mengkompromikan target bernilai tinggi, serangan tombak-phishing - mungkin dikombinasikan dengan eksploitasi zero-day baru yang dibeli di pasar gelap - seringkali merupakan cara yang sangat efektif untuk melakukannya. Serangan tombak-phishing sering disebutkan sebagai penyebab ketika target bernilai tinggi dilanggar.
Melindungi Diri dari Phishing Tombak
Sebagai seorang individu, Anda cenderung menjadi sasaran serangan canggih seperti itu daripada pemerintah dan perusahaan besar. Namun, penyerang mungkin masih mencoba menggunakan taktik tombak-phishing terhadap Anda dengan memasukkan informasi pribadi ke email phishing. Penting untuk menyadari bahwa serangan phishing menjadi lebih canggih.
Ketika menyangkut phishing, Anda harus waspada. Selalu perbarui perangkat lunak Anda sehingga Anda lebih terlindungi dari kompromi jika Anda mengeklik tautan di email. Berhati-hatilah saat membuka file yang dilampirkan ke email. Berhati-hatilah dengan permintaan informasi pribadi yang tidak biasa, bahkan yang terlihat seolah-olah dapat sah. Jangan menggunakan kembali kata sandi di situs web yang berbeda, untuk berjaga-jaga jika kata sandi Anda tidak keluar.
Serangan phishing sering mencoba melakukan hal-hal yang tidak mungkin dilakukan oleh bisnis yang sah. Bank Anda tidak akan pernah mengirim email kepada Anda dan meminta kata sandi Anda, bisnis yang Anda beli barang dari tidak akan pernah mengirim email kepada Anda dan meminta nomor kartu kredit Anda, dan Anda tidak akan pernah mendapatkan pesan instan dari organisasi resmi yang meminta kata sandi Anda. atau informasi sensitif lainnya. Jangan klik tautan di email dan berikan informasi pribadi yang sensitif, tidak peduli seberapa meyakinkan email phising dan situs phishing itu.
Seperti semua bentuk phishing, tombak-phishing adalah bentuk serangan rekayasa sosial yang sangat sulit untuk dipertahankan. Yang diperlukan hanyalah satu orang membuat kesalahan dan penyerang akan membentuk tumpuan di jaringan Anda.