Spear phishing. Co to jest i czym różni się od phishingu?

Czym jest phishing?

Phishing to nic innego jak socjotechnika, w której wykorzystuje się fałszywe maile, wiadomości SMS czy na komunikatorach albo połączenia głosowe. Oszuści podszywają się pod inne osoby, firmy czy instytucje, próbując nakłonić ofiary do ujawnienia poufnych informacji, takich jak hasła, numery kont bankowych lub dane osobowe.

12(21) 2023 SECURITY MAGAZINE Monika Świetlińska

Z kolei spear phishing to bardziej skomplikowany rodzaj ataku. Tutaj oszuści celują w konkretne osoby lub grupy, starannie przygotowując fałszywe wiadomości, które wydają się pochodzić od zaufanych źródeł. Gromadzą przy tym znacznie więcej informacji na temat swoich celów.

Główne różnice między phishingiem a spear phishingiem

Phishing można porównać do zarzucania wędki i czekania na to, co się złowi. Z kolei w przypadku spear phishingu wykorzystujemy już sprecyzowaną przynętę aby złowić konkretny gatunek. 

Wiadomości phishingowe są ogólne i niekoniecznie dotykają wrażliwych kwestii dotyczących danych osób, podczas gdy spear phishing jest spersonalizowany, opierając się na informacjach o ofierze. Dodatkowo phishing często wykorzystuje nagłą potrzebę działania, a spear phishing dąży do zdobycia zaufania i nakłonienia do podejmowania działań.

Co więcej – spear phishing wykorzystuje nierzadko fałszywe strony internetowe, oszustwa BEC, a niekiedy łączy się nawet z atakami ransomware. 

Jak chronić się przed atakami socjotechnicznymi?

Prędzej czy później każde z nas natknie się na jakąś formę ataku socjotechnicznego – nieważne, czy będzie to phishing, czy spear phishing, musimy być zatem gotowi. Dlatego zawsze sprawdzaj adres e-mail nadawcy i unikaj klikania podejrzanych linków. Nie ujawniaj też prywatnych informacji w odpowiedzi na podejrzane maile czy telefony.

Czasem warto też korzystać z dodatkowych filtrów czy baz antyspamowych. Mimo że dostawcy poczt elektronicznych coraz lepiej radzą sobie z wykrywaniem podejrzanych wiadomości, to jednak nie są od tego w pełni wolni. 

Co więcej – regularne szkolenia dotyczące cyberbezpieczeństwa są kluczowe. Ucz pracowników, jak rozpoznawać podejrzane e-maile, niekiedy porównując prawdziwe i fałszywe próby phishingu. Im bardziej świadomi, tym mniej podatni na ataki.

Ponadto w przypadku maili i wiadomości od znanych ci osób, które wydają się dziwne, należy niezwłocznie nawiązać kontakt. To pomoże w weryfikacji, czy rzeczone maile lub SMS-y są rzeczywiście od nich.

Spear phishing na pracowników polskich instytucji publicznychAnna Petynia-Kawa

Nie ma co ukrywać – phishing i spear phishing to naprawdę powszechne cyberzagrożenia i zostaną z nami na długo. A co gorsza – ze względu na generatywne AI – będą się w zasadzie wyłącznie rozwijać.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.