Lo spear phishing è un attacco informatico mirato a un individuo, reparto o azienda specifica che sembra provenire da una fonte attendibile. Questo tipo di attacco è difficile da individuare ed è ben creato, e spesso i bersagli vengono ricercati inizialmente tramite una ricerca intelligente di informazioni. Questo non è come un normale attacco di phishing in cui gli aggressori lanciano una rete ampia; Lo spear phishing è un attacco diretto.

Il componente principale di un attacco di spear phishing è la raccolta di informazioni. La raccolta di informazioni sugli indirizzi e-mail, le persone e le loro posizioni all’interno dell’organizzazione di destinazione (utilizzando strumenti OSINT come LinkedIn) ti aiuterà a definire chi sarà il tuo target e chi puoi impersonare. La raccolta di informazioni, l’intelligence open source può fornirti una grande quantità di informazioni sui tuoi obiettivi per creare la giusta email.

Alcune caratteristiche comuni degli attacchi di spear phishing sono le seguenti:

Business email compromise (BEC): mira ad abusare di processi come le fatture dei salari. L’attacco sfrutterà un’e-mail da una fonte attendibile (all’interno del campo da) e conterrebbe un documento relativo a una fattura. Per un’azienda, nulla sembra spiacevole e tutti aprirebbero quella fattura e alla fine esporrebbero il loro sistema all’attacco.

Multi-vettore: questo attacco utilizza più vettori di attacco. Ad esempio, l’e-mail di spear phishing conterrà URL dinamici, download drive-by e un payload codificato all’interno di un documento per evitarne il rilevamento. e-mail che si trovano su Internet, rende più difficile il rilevamento con i tradizionali filtri di reputazione e spam.

Whaling : in questo tipo di attacco, una campagna di spear phishing è diretta a un obiettivo di alto profilo, spesso qualcuno nella c-suite di un’organizzazione, CEO, CIO ecc. Le persone di alto profilo spesso dispongono di informazioni privilegiate rispetto alla persona media, e questo le rende un obiettivo primario. Qualsiasi informazione rubata durante un attacco del genere è più redditizia sul mercato nero, al di là della possibilità di credenziali privilegiate che un aggressore può utilizzare.