Phishing generikoak erreferentzia egiten dio helbide-zerrenda batera mezu elektronikoak modu orokorrean eta bereizi gabe bidaltzeari, hartzaile jakinik gabe. Aitzitik, phishing zuzendua (spear phishing ingelesez) oso eraso espezifikoa da, pertsona, talde edo erakunde jakin baterako pentsatutakoa eta pertsonalizatutakoa. Talde edo erakunde zehatz horri eraso nahi dio. Erasoaren xede nagusia datuak helburu gaiztoetarako lapurtzea bada ere, zibergaizkileak biktimaren sisteman malwarea instalatzen ere saia daitezke.
Oro har, prozesuak etapa hauek ditu: biktimak mezu elektroniko bat jasotzen du, itxuraz bere konfiantzazko bidaltzaile batena; erredakzio zuzena du, eta biktimaren informazio pertsonalizatua dakar: horrek are sinesgarriagoa egiten du. Edukian, mezuak “tranpa”-mota bat baino gehiago izan dezake: webgune faltsuetarako estekak, malware-motaren batekin infektatutako fitxategi erantsiak... Batzuetan, ez dago ez eranskinik ez esteka gaiztorik, baina mezuak jarraibide batzuk ditu, hartzaileak jarrai diezaien; horrek are zailagoa egiten du posta elektronikoko segurtasun-iragazkiekin detektatzea.
Garrantzitsua da kontuan hartzea era horretako phishingak aldez aurretik ikerketa bat behar duela, eta, jakina, helburutzat hartutako biktimari buruzko nolabaiteko ezagutza ere bai. Askotan, delitugileek eta aktibistek egiten dituzte eraso horiek, gobernuei eta enpresa pribatuei datu konfidentzialak birsaltzeko. Zibergaizkileek mezu indibidualizatuak bidaltzen dituzte, eta, beraz, biktimak egiazkotzat jo ditzake. Horren ondorioz, erakundeen barruko goi-mailako helburuek ere –adibidez, goi-mailako exekutiboek– mezu horiek irakur ditzakete, egiazkoak eta seguruak direla pentsatuz. Aski da deskuidu txiki-txiki bat –klik soil bat egitea edo fitxategi bat irekitzea– zibergaizkileek sistemari erasotzeko behar duten informazioa lapur dezaten edo biktimak ohiko prozedura saltatuz banku-transferentzia bat egitea lor dezaten.
Orain gutxiko datuen arabera, phishing zuzendua mehatxu nagusietako bat da mundu osoko pertsona, enpresa eta erakundeentzat.
“Neurrira” egindako phishing horren aurka babesteko, eta gizarte-ingeniaritzako eraso gehienekin gertatzen den bezala, ez dira aski segurtasun-neurri tradizionalak. Ondo pentsatutako erasoak dira, ondo eginak eta era adimentsuan pertsonalizatuak, mezu legitimo batetik ia bereizezinak, eta detektatzeko gero eta zailagoak dira. Beraz, arreta handiagoa jarri behar diogu, hauen bitartez:
- Prestakuntza: phishing-eraso batekin engaina gaitzaten saihesteko, lehen urratsa prestakuntza eraginkorra da, phishing zuzendua zer den ulertzeko eta mezuetan bilatu beharreko ohiko pistak eta hartu beharreko neurriak ezagutzeko.
- Segurtasunean eta phishing-simulazioan kontzientziatzea: sute-simulakroetan gertatzen den bezala, phishing zuzenduaren simulakroekin entrenatzeak aukera ematen du erabiltzaileen benetako jokabidea probatzeko eta erakundearen benetako arrisku-maila ezagutzeko. Aldi berean, simulazioekin izandako esperientziak aukera ematen du irregulartzat jo daitezkeen erabiltzaileen ohiturak identifikatzeko eta horiei aurre egiteko. Gaur egun, edozein enpresa edo erakunderentzat funtsezkoa da langileak kontzientziatzea eta gaitzea zibersegurtasunaren eta informazioaren segurtasunaren jardunbide egokien inguruan.
- Kontzientziazio jarraitua: phishinga zuzendua txertatzea erakundearen barruko zibersegurtasunari buruzko komunikazioetan edo aldizkako oroigarrietan.
- Sarbide-politika: informazio sentikorrerako sarbidea mugatzea erabiltzaile bakoitzarentzat egokiak diren baimenen bidez.
- Software eguneratua: sistema guztia aldian-aldian eguneratzen dela bermatzea, bai sistema eragileak eta bai aplikazioak.
- Antibirusak instalatzea.
Halaber, interesatzen zaizu: phishing, gizarte-ingeniaritza
