Podobnie jak w przypadku tradycyjnych ataków phishingowych, ofiary otrzymują e-mail, który wydaje się pochodzić od zaufanej osoby bądź organizacji. Jednak przestępcy wykorzystujący spear phishing zamiast rozsyłać zainfekowane wiadomości do milionów przypadkowych użytkowników starannie dobierają swoje ofiary. Taka strategia znacznie zwiększa szanse na sukces i powoduje, że nielegalne działania są trudniejsze do wykrycia. Dodatkowo, inaczej niż w przypadku standardowych ataków wymierzonych w nielegalne zdobycie środków finansowych, celem przestępców wykorzystujących spear phishing jest zazwyczaj pozyskanie konkretnych informacji, takich jak hasła dostępowe czy tajemnice handlowe.
Po wyborze ofiary cyberprzestępcy rozpoczynają wnikliwą analizę danych dostępnych na jej temat w internecie: w portalach społecznościowych, na stronach pracodawcy, publicznych forach czy w serwisach z ogłoszeniami. W ten sposób są w stanie przygotować wiarygodnie wyglądającą, spersonalizowaną pod kątem konkretnego użytkownika wiadomość. Obniża to jego czujność i może skłonić do otworzenia złośliwego załącznika bądź skorzystania z linku prowadzącego do zainfekowanej strony internetowej. To z kolei pozwala przejąć przestępcy kontrolę nad komputerem ofiary, a tym samym gwarantuje dostęp do zapisanych w nim danych, a często także do systemów danej organizacji. Mogą one zostać wykorzystane nie tylko do kradzieży poufnych informacji, ale również stworzenia kolejnych wiadomości wymierzonych w osoby z kontaktów ofiary.
- Cyberprzestępcy wykorzystujący spear phishing potrafią poświęcić bardzo dużo czasu na zebranie informacji i przygotowanie spersonalizowanej wiadomości dla potencjalnych ofiar. Decydują się na wybór tego mechanizmu ze względu na fakt, że atak ma większe prawdopodobieństwo powodzenia. Użytkownicy powinni pamiętać, że wszystkie informacje, które umieszczają w internecie, mogą zostać wykorzystane przeciwko nim. Dlatego ważne jest aby ograniczać ich ilość, ale przede wszystkim przestrzegać zasady ograniczonego zaufania wobec podejrzanych wiadomości e-mail, nakłaniających do otworzenia załącznika lub kliknięcia w link - komentuje Piotr Kijewski, kierownik CERT Polska.
