Pełna treść ostrzeżenia dostępna w komunikacie "Ataki spear phishing na pracowników polskich firm i instytucji publicznych" na stronie CERT.
Spear phishing jest oszustwem o charakterze socjotechnicznym, wykorzystującym presję autorytetu i czasu, aby skłonić atakowanego do podjęcia niekorzystnego działania. Fakt, że zazwyczaj informacje potrzebne do przeprowadzenia ataku są publicznie dostępne lub łatwe do uzyskania, czyni to oszustwo popularnym wśród cyberprzestępców.
Najczęstszym wektorem ataku są wiadomości e-mail. Ich treść sugeruje, że zaistniała konieczność natychmiastowej weryfikacji stanu konta lub uaktualnienia danych do przelewu, które w rzeczywistości są numerem konta oszusta. Sprawa może dotyczyć zarówno konta osobistego, jak i konta instytucji, w której pracujemy. Tego typu wiadomości mogą mieć charakter zarówno bardzo ogólnikowy, w postaci niepodpisanego e-maila, jak i być doskonale przygotowaną wiadomością, ze stopką instytucji i podpisem pracownika, najczęściej wysokiego szczebla. Niestety taki rodzaj ataku jest łatwy w przygotowaniu, ponieważ prawie wszystkie potrzebne dane są ogólnodostępne.
Kolejnym wektorem ataku są wiadomość na komunikatorze WhatsApp, gdzie na wstępie atakujący pisząc z obcego numeru, przedstawia się jako rzekomy pracownik i, tłumacząc zmianę numeru awarią czy zgubieniem telefonu, nakłania do podjęcia określonych działań, które mają na celu wyłudzenie pieniędzy.
E-maile przy tego typu oszustwach mogą przychodzić zarówno z przypadkowych adresów i domen, jak i takich, które są właściwe dla danego podmiotu. W drugim przypadku przestępcy wykorzystują spoofing, czyli podszycie się pod danego adresata, co jest możliwe dzięki słabościom systemów mailowych, w szczególności z powodu błędów konfiguracyjnych dwóch mechanizmów - SPF i DMARC, o których można przeczytać w naszym artykule.
Przestępcy w trakcie komunikacji mają zwykle jeden cel - przekonanie nieświadomego pracownika do przelewu pieniędzy na konto oszustów. Warto zauważyć, że jest to zazwyczaj konto zagranicznego banku, co ma utrudnić odzyskanie pieniędzy.
W takim przypadku należy:
W razie pytań lub wątpliwości zachęcamy do kontaktu z naszym zespołem. Podejrzane strony oraz oprogramowanie można nam zgłosić za pomocą formularza na stronie Zgłoś incydent CERT.PL lub za pośrednictwem wiadomości e-mail na adres: cert@cert.pl.