Sabotáž vymenili za špionáž. Výskumník Esetu opisuje, ako ruskí hekeri menia taktiku a čínska skupina útočila na Slovensku

Hľadanie, blokovanie a skúmanie tých najsofistikovanejších malvérov, nebezpečných škodlivých kódov, je jeho  dlhoročná vášeň.

Robert Lipovský pracuje v Esete ako hlavný výskumník hrozieb. Bol to práve on, kto natrafil na jednu z najsilnejších kyberzbraní od čias Stuxnetu, ktorou ruskí hekeri spôsobili na Ukrajine už dvakrát blackout. Počas totálnej invázie sa im však už toľko nedarilo.

Nebezpečné kódy skúma aj počas vojny na Ukrajine. Stretli sme sa počas konferencie Esetu v Aténach, kde sumarizoval vývoj útokov štyroch odlišných ruských hekerských skupín.

Rozprávali sme sa:

• o jednotlivých ruských APT skupinách: Sandworm, Sednit, Gemaredon a Invisimol;
• že namiesto sabotážnych útokov, ako tomu bolo na začiatku ruskej invázie, sa začali viac sústreďovať na špionáž;
• ako prenikajú do systémov svojich obetí;
• o množstve čínskych hekerských skupín, ktoré útočia aj na slovenské ciele;
• o novom aktérovi medzi hekerskými skupinami, ktorý sa zameriava na diplomatov.

Paralelne s vojnou proti Ukrajine prebieha aj kybervojna. Čakalo sa však, že bude oveľa drsnejšia. Ako to teda je?  

S týmto sa viem stotožniť. Hlavne v našej odbornej komunite sa objavovali zaujímavé očakávania. Očakával sa nejaký kyber Pearl Harbor, keď vo februári 2022 prišla veľká ruská invázia. Mnohé z tých očakávaní však boli prehnané. Katastrofický scenár sa neodohral, čo však neznamená, že sa neodohrali vážne incidenty. Boli sme svedkom viacerých, z ktorých sme niektoré zachytili, pričom sme zabránili, aby spôsobili veľké škody. To bol napríklad útok Industroyer II. Jeden z výnimočnejších príkladov bol napríklad HermeticWiper.

Ten sa odohral deň pred inváziou. 

Áno, 23. februára 2022 podvečer okolo piatej sa to celé spustilo. Zachytili sme to na stovkách počítačov viacerých vládnych organizácií na Ukrajine. Cieľom bolo odstaviť ich systémy. Ak mali tie organizácie nejaké weby, chceli ich znefunkčniť, aby obyvateľstvo nedostávalo informácie. Tento útok odštartoval novú sériu tzv. útokov wipermi.

Tu sa na chvíľu zastavme. Na začiatku invázie nedošlo k veľkému útoku na kritickú infraštruktúru, ako to bolo v minulosti v prípade útokov na ukrajinskú elektrickú rozvodnú sieť. Začalo však masívne dochádzať k tzv. wiperovým útokom. O čo pri nich ide a prečo si ruskí útočníci zvolili práve tento typ útokov?

Podobne ako Industroyer (útok, ktorý spôsobil na Ukrajine blackout v rokoch 2015 a 2016, pozn. red.) ide o sabotáž, iba spôsob útoku a jeho zameranie sú odlišné. Nešlo o niečo, čo by bolo úplne nové, a začalo by sa to inváziou. Pretrvávalo to v podstate už desať rokov od 2014. Aj NotPetya (malvér, ktorý v roku 2017 spôsobil rekordné miliardové straty nielen na Ukrajine, ale aj globálne) bol tiež svojím spôsobom wiper.

Čo to teda wiper je?

Veľmi jednoducho povedané, je to škodlivý kód, ktorý zmaže kritické súbory a miesta na disku s jediným cieľom – daný počítač odstaviť a znefunkčniť. Väčšinu týchto kybersabotážnych útokov vykonávala hekerská APT skupina Sandworm, práve tá stála za útokmi NotPetya či Industroyer. Pre ňu je typické, že sa venuje nielen kyberšpionáži, ale aj sabotáži, čo je cieľ, ktorému sa iné skupiny až tak veľmi nevenujú.

Ako sa hekeri zo Sandwormu snažia dostať do systémov?

Každý má rôzne spôsoby. Niekedy dokonca vidíme, ako sa niektorá APT skupina špecializuje na infiltrovanie sa do organizácie a ten prístup dovnútra potom odovzdá ďalšej skupine. Aj také spolupráce medzi rivalmi sa niekedy odohrajú. Metódou číslo jeden je určite email a sociálne inžinierstvo. Tzv. spearphishingové emaily a tá predpona spear- znamenajú, že je to veľmi cielené.

V čom je ďalší rozdiel oproti obyčajnému phishingu?

Nie je to masovo rozosielané s tým, že hádam sa niekto chytí. Je to ušité na mieru. Ak útočia na ministerstvo financií, pošlú hlavičku emailu s aktuálnou témou, ktorá sa práve vtedy rieši. Spoliehajú sa pritom na ľudskú zraniteľnosť a vo veľkej miere využívajú aj softvérové slabiny. Aktívne vyhľadávajú zero day, teda slabiny, ktoré doposiaľ neboli výrobcom softvéru známe. Tie sú najvzácnejšie, avšak všeobecne prevažujú útoky na zraniteľné miesta, ktoré sú známe a existujú už na ne záplaty. Hekeri však vyžívajú to, že používatelia si niekedy oneskorene zaplátajú systémy. Sledujú, ktoré slabiny boli v rôznych softvéroch, a práve cez ne sa snažia preniknúť. Užívateľ v tom prípade niekedy ani nemusí na niečo manuálne kliknúť. Niekedy to nejde ani cez email, ale napríklad cez zraniteľné služby, ktoré sú prístupné cez internet. Napríklad niekto prevádzkuje webový server a je tam istá zraniteľnosť, cez ktorú sa vedia nabúrať do systému. Emaily sú však najčastejší spôsob útoku.

Deň pred inváziou zaznamenali veľký nárast wiperových útokov. Ako si to mám predstaviť? Čo ste videli?

Vidíme to tak, že naše systémy u našich klientov hlásili, že došlo k detekciám veľkého počtu škodlivých kódov. Detegovali sme a zablokovali sme ich. Išlo o stovky prípadov vo viacerých organizáciách. Dlhodobo sa venujeme hĺbkovému a základnému výskumu hrozieb. Vďaka spolupráci s kolegami, ktorí majú na Ukrajine na starosti odhaľovanie útokov, sme sa tiež neskôr pozreli na to, aké nové metódy začali používať útočníci, aby sme vedomosti vedeli posunúť ďalej a využiť ich aj pre našu ochranu. Máme veľmi dobrú spoluprácu s ukrajinským CSERT-om, čo je vlastne centrálna koordinačná jednotka, ktorá má prehľad o tom, aké incidenty sa v krajine dejú. Niekedy, keď vyšetrujú nejaký incident, získajú z harddiskov konkrétne podozrivé súbory, ktoré nám posielajú ako ukážku na analýzu.

Ako veľmi zlé to bolo?

Išlo o bezprecedentný rozsah wiperových útokov. Kybervojna je tu už desať rokov, v podstate od okupácie Krymu a začiatku vojny na Donbase. Už vtedy sme videli podobné útoky. Inváziou sa zmenila hustota sabotážnych wiper útokov. HermeticWiperom sa to iba začalo a v priebehu približne jedného roka po invázii sme zdetegovali približne 20 rodín rôznych wiperov, čo je naozaj veľké číslo.

Čo to znamená rodina? 

Keď poviem rodina, to nie je len nejaká malá modifikácia, nová verzia niečoho, čo sme už videli, ale v podstate aj úplne nová značka a iný typ útoku. To ukazuje, koľko zdrojov a úsilia na to útočníci museli vynaložiť. Niektoré rodiny wiperov videli iba raz a niektoré opakovane vo viacerých vlnách. Odlišnosti boli aj v tom, ako veľmi boli technicky vyspelé. Niektoré boli z technického programátorského hľadiska značne pokročilé a HermeticWiper patrí k nim. Niektoré boli zase celkom amatérske s chybami v kóde, ako keby boli pozliepané narýchlo.

Rozprávame sa o sofistikovanejších malvéroch, ako je HermeticWiper. Vie to urobiť aj niekto iný ako štátny aktér? Dokáže to urobiť jednotlivec?

Je za tým určite skupina. Bývajú to veľké tímy útočníkov. Pri našich analýzach vychádzame hlavne z informácií od tajných služieb, ktoré sú verejne prístupné. Podľa charakteru útokov to skutočne nevyzerá na jednotlivcov.

Ako ste postupne zachytávali množstvo útokov, tak ste ich prisudzovali štyrom rôznym ruským hekerským skupinám. Poďme si ich postupne rozobrať. Začali ste tým prvým útokom, za ktorým zrejme bola skupina Sandworm, ktorá je spájaná s ruskou vojenskou rozviedkou GRU. Čo je jej úmyslom? Ako ste povedali, robí sabotáž aj špionáž.

Táto skupina je tu už dlho. Prvé kampane siahajú už do roku 2012. Za tie roky sa Sandworm vyvíjala a striedala rôzne typy útokov. Sabotážami sa však zviditeľnila a odlíšila od iných. Niektoré boli veľmi významné.

Teraz máte na mysli najmä NotPetyu a Industroyer, ktorým v rokoch 2015 a 2016 úspešne zaútočili na elektrickú rozvodnú sieť na Ukrajine? Skúsme si ich trochu pripomenúť.

Za všetkými stála tá istá skupina – Sandworm -, ako nám ukázala podobnosť v kóde a zdieľaná infraštruktúra útokov. V histórii vieme iba o troch prípadoch, keď sa hekeri snažili odstaviť dodávku elektrickej energie. Prvý raz za pomoci BlackEnergy, neskôr cez Industroyer a v apríli 2022 novou verziou Industroyer II. Za všetkými troma útokmi stojí tá istá skupina.

V rokoch 2015 a 2016 sa im dokonca podarilo na niekoľko hodín spôsobiť blackout.

Áno, je zaujímavé, že v roku 2015 sa im podarilo skoordinovať útoky proti viacerým rozvodným elektrickým staniciam, ktoré boli infikované, a dokázali odstaviť obyvateľov od elektriny na niekoľko hodín v rôznych regiónoch. V roku 2016 to kontrastovalo s tým, že mali oveľa väčšie ambície – vytiahli totiž takú potentnú zbraň, že sme ju neskôr po našich analýzach považovali za najsilnejšiu zbraň od čias Stuxnetu (malvér, ktorým USA a Izrael zaútočili na iránsky jadrový program). Aj v tomto prípade to bolo mierené na industriálny systém, ale ten dôsledok, ktorý sa im podaril, rozhodne nezodpovedal pôvodným ambíciám. Spôsobili výpadok elektrického prúdu, ktorý trval približne necelú hodinu niekedy v noci – to nebolo to najhoršie, čo sa mohlo stať.

O čo im išlo a čo nevyšlo? 

Spätná analýza ukázala, že sa snažili o fyzickú deštrukciu zariadení. Vypnutie elektriny malo byť len prvou fázou útoku. Zrejme chceli spôsobiť preťaženie siete a zničenie zariadení. To sa im však nepodarilo. Ak by im to vyšlo, výpadok prúdu by trval zrejme oveľa dlhšie. Veľa sa hovorilo o tom, keď sme objavili Industroyer. Komunita bola fascinovaná a všetci si kládli otázku, čo ďalej. Hovorilo sa, že to bol test kyberzbrane, ktorú si Rusi vyskúšali, no vyše 5 rokov bolo ticho. Nakoniec až v apríli minulého roka sme objavili, že sa ukázal znovu a vo vynovenej verzii.

Avšak ako vravíte, nebol úspešný. Čo sa stalo? Boli Ukrajinci lepšie pripravení? 

To je na tom to zaujímavé. Tie tri incidenty mali klesajúcu úspešnosť, čo je pozitívne. V treťom prípade nespôsobili už ani výpadok elektriny. Ukrajinci majú kybernetickú zabezpečenosť na veľmi dobrej úrovni. Venujú tomu naozaj veľkú pozornosť. Nikdy nie je človek na všetko dokonale pripravený, ale dávajú si pozor. Keď sa takéto veci dejú, to sa týka aj bežných firiem na Slovensku, kyberútoky treba očakávať. To sa diať bude a treba byť pripravený zareagovať, aby to nenapáchalo veľké škody a obnova systému netrvala dlho. Každý musí mať pripravené plány, čo robiť, ak dôjde ku kyberútoku, aby to neprekazilo chod spoločnosti. To je myslenie, ktoré mnohým firmám chýba. Avšak Ukrajinci to zvládajú veľmi dobre a v dôsledku toho, že sú desať rokov terčom nielen regulárnej vojny, ale aj kyberútokov. Veľa sa naučili a posilnili si obranu, čo sa im oplatilo aj pri útoku Industroyerom II. v apríli minulého roka. Podarilo sa ho zneutralizovať ešte pred tým, ako napáchal veľké škody.

Pri jednom útoku ste narazili na zaujímavé stopy. Na jednej strane na false flag (falošná stopa), aby to vyzeralo, že za tým boli Ukrajinci – objavilo sa tam meno Mykyta -, a na druhej meno Chelomey, čo bol zrejme odkaz na Vladimira Čelomeja, sovietskeho konštruktéra rakiet. Nechali to tam naschvál?

Takéto false flag sa robia. Sandwirm ich mal niekoľko. Príklad za všetky je útok OlympicDestroyer, ktorý cielil na olympijské hry v Južnej Kórei, kde bolo tých false flag viac. Snažili sa malvér skonštruovať tak, ako keby boli pozliepané rôzne kusy kódov, aby to vyzeralo tak, že sú za tým čínske APT skupiny. To sa občas deje, hoci to nie je veľmi bežné. Vo väčšine prípadov sa málokedy nechávajú také očividné stopy. Aj to je indikátor – niekedy to býva aj odkaz pre tých, čo to analyzujú. Podobne sme to videli aj pri ďalších Sandworm komponentoch, ktoré využívali dokonca aj kusy nášho softvéru.

Čo tým sledujú?

Vedia, že ich analyzujeme a sledujeme. Takéto trolovanie vídame z času na čas. Toto pravdepodobne bol aj tento prípad. Konkrétne sme videli cestu PDB, ktorú tam zanechávajú kompiláty ako Visual studio, v ktorých developeri vyvíjajú softvér. A v nej sme videli celý názov užívateľského priečinka, ktorý naznačil, ako sa mohol volať užívateľ alebo projekt.

Druhá skupina možno nie je najsofistikovanejšia svojimi útokmi, ale ich množstvom je najaktívnejšia. Voláte ju Gamaredon.

Tá skupina je úplne odlišná od Sandwormu. Jej škodlivý kód nazývame Pterodo rodina. Je to iné už len platformou – v tomto prípade išlo o skripty. Pri sandwormových útokoch a wiperoch išlo o bežné windowsovské .exe spustiteľné skompilované súbory. Už len samotná programovacia forma bola iná a ich prístup bol iný. Nesnažia sa byť neviditeľní. Idú na masový prístup a dennodenne obmieňajú a rotujú svoj škodlivý kód. Je to neustála a veľmi rýchla hra na mačku myš. My to zdetekujeme a oni spravia znovu novú verziu a stále dookola.

Čo je ich cieľom?

Špionáž – čo je štandardný cieľ väčšiny APT skupín. Ide im aj o infiltráciu do systémov, ktoré využijú buď oni sami – vo väčšine prípadov -, alebo poskytujú svoj prienik inej skupine. Zameriavajú sa na kradnutie citlivých údajov. Ich Pterodo sada nástrojov je veľmi široká. Skriptov majú veľmi veľa s rôznou funkcionalitou Sú to rôzne sťahovače, backdoory. Niečo, čo nazývame stealery, čo kradne údaje. Tie vedia byť všeobecné, že to kradne súbory s príponami, ktoré útočníka zaujímajú a potom sa odošlú na vzdialený server. Alebo sú veľmi konkrétne cielené. Napríklad je tam komponent, ktorý zbiera histórie konverzácií z komunikačných aplikácií.

Napríklad Signal?

Aj – hoci v tomto prípade išlo o jeho desktopovú verziu. Ďalšie sa týkali kradnutia z Telegramu či webových prehliadačov. Toto je aj vývoj, ktorý sme v poslednej dobe videli, že sa vyslovene zamerali konkrétne ciele. V drvivej väčšine ide o vládne ukrajinské organizácie.

Ten, kto má váš antivírus, je chránený pred takým útokom, ak si neklikne na infikovaný súbor?

Áno, ale aj keď klikne, tak je našou snahou, aby sme to zachytili. Vždy sa však odporúča kombinácia – aj technická ochrana, aj obozretnosť.

Keď sme pri Gamaredone, ktorý je spájaný s ruskou tajnou službou FSB, tak ste natrafili na zaujímavú vec. Pri útoku skupinou InvisiMol ste si všimli, že zrejme išlo o spoluprácu s konkurenčnou ruskou rozviedku SVR.  

Na začiatku musím vysvetliť, že tieto atribúcie medzi jednotlivými skupinami nerobíme my, ale je to práca západných tajných služieb. Podľa dostupných zdrojov sme spojili jednu skupinu s FSB a druhú s SVR. Videli sme, a to rovno v niekoľkých prípadoch, že nejaká obeť bola infikovaná Gamargedonom a ich Pterodo malvérom, a potom sme tento malvér videli v akcii skupiny, ktorej hovoríme InvisiMol. Nevidíme do ich kuchyne, čo prebieha na pozadí práce ruských tajných služieb, ale vieme, že jednej tajnej službe sa podarilo nabúrať systém štátnej organizácie, isté ukrajinské ministerstvo; zrejme im bolo povedané, že tento cieľ je kritický, a tento prístup potom pre svoju špionáž vykonávala druhá skupina. Vieme to odlíšiť podľa toho, že používajú iné techniky. InvisiMol je útočná skupina, ktorá sa snaží pôsobiť nebadane na rozdiel od hlučného Gamaredonu.

Štvrtá skupina, odhadujete, že najstaršia, sa volá Sednit. 

Každá má rôzne aliasy, často je to mätúce aj v rámci našej branže. Rôzne bezpečnostné firmy si pomenovávajú veci rôzne. Zároveň nie vždy na začiatku útokov vieme, o ktorú skupinu ide. Až postupne, niekedy po mesiacoch alebo až roku, získame ďalšie dôkazy, aby sme s veľkou mierou istoty vedeli prehlásiť, že to nebola len náhodná podobnosť. Musí tam byť séria dôkazov. Sednit je veľmi známa APT skupina, často sa jej hovorí aj Fancy Bear, opäť je z prostredia GRU.

V čom je iná ako Sandworm?

Špionáž je ich typickým cieľom. Preslávili sa mnohými útokmi na zahraničné západné ciele – na Demokratickú stranu, známy hack počas amerických prezidentských volieb v roku 2016, Svetovú dopingovú agentúru, televíziu TV Monde. Väčšinou sa o nich teraz hovorí v súvislosti s initial access, čo je v našej terminológii získanie prístupu do istej organizácie. Majú svoju špecifickú infraštruktúru, na základe ktorej je možné atribuovať ich útoky. Rozposielajú najmä spearphishingové emaily. Cieľmi boli štátne organizácie nielen na Ukrajine. V lete až do septembra sme videli niekoľko kampaní, ktoré prisudzujeme tejto skupine. V týchto kampaniach sa zneužívali zraniteľné miesta RoundPress či Microsoft Outlook alebo v aplikácii WinRAR. Sledujú, čo sú nedávne slabiny, a spoliehajú sa, že niektoré obete nebudú mať zaplátané niektoré zraniteľné miesta. Tajné služby sú veľké a majú rôzne jednotky. Napríklad Sednit je z jednotky 26165 a 74455.

Ako sa menila vojna proti Ukrajine, tak sa vyvíjala aj kybervojna v digitálnom priestore. Zvýšila sa intenzita špionážnych operácií?

Určite klesol počet viditeľných a do istej miery úspešne prevedených wiperov. Najintenzívnejšie to bolo minulý rok na jar, hoci pretrvávajú aj dodnes. Stále vidíme, že sa nejaký wiper pokúšajú spustiť, len toho vidíme menej. To neznamená, že sa o to nesnažia. Snažíme sa detegovať a zablokovať už samotný prienik do systému, to je ten ideálny scenár. Naopak, vidíme nárast, ako si napríklad Gamaredon vynovuje a vylepšuje sadu nástrojov Pterodo a pridávajú im novú funkcionalitu, pluginy a aplikácie, s ktorými sa snažia kradnúť dáta. Ich aktivita narastá. Zdá sa, že špionáž získava vyššiu prioritu.

Keď sme pri špionáži, tak je zaujímavé, že za posledný rok ste našli nového hráča, ktorému ste dali meno Moustache bouncer a spájate ho veľmi pravdepodobne s Bieloruskom. Prečo?

Je to až kuriozita. Veľa sa hovorí o ruských útočných skupinách, ale o bieloruských APT skupinách, z ktorých by profitoval režim, sa nehovorilo. Techniky, ktoré používajú, sú pritom veľmi pokročilé. Zaujímavé je sledovať, na koho sa zameriavajú. Ruské APT skupiny primárne útočia na ukrajinské ciele a zároveň ciele v európskych krajinách a štátoch v NATO. Keď sa bavíme o Moustache Bouncer, tak útočia na zahraničných diplomatov, ktorí pôsobia v Bielorusku. A tretí dôvod, prečo je to zaujímavé, je spôsob, ako infikujú svoje obete. S najväčšou pravdepodobnosťou to robia cez štátom povinne nainštalované zariadenia, ktoré dokážu zachytávať sieťovú komunikáciu priamo u providerov. Keď sme analyzovali tieto infiltrácie, tak sme ich objavili u viacerých operátorov, čo naznačovalo, že to bolo nariadené zhora. Potvrdzovali to aj vyšetrovania Amnesty International, ktoré tvrdili, že Bielorusko má schopnosť takto útočiť.

Dá sa tejto špionáži predísť?

Dá sa tomu zabrániť. Ak nás číta diplomat pracujúci v Bielorusku, určite dobrá rada je používať VPN-ku, ktorá sa končí na nejakom dôveryhodnom zdroji. Keď je to plne šifrovaný VPN tunel, ani operátor s tým nevie nič urobiť.

Takže každý, kto príde do krajiny typu Bielorusko alebo Rusko, by mal automaticky od začiatku používať VPN-ku.

Áno.

Paralelne s ruskými skupinami ste zaznamenali aj čoraz väčšiu aktivitu čínskych útočníkov. Nemôžeme si rozoberať všetky, pretože by sme sa rozprávali veľmi dlho…

Tých čínskych skupín je veľmi veľa. Rozprávame sa o dvojcifernom čísle skupín, ktoré sledujeme.

Sú čínske útoky niečím špecifické?

Už aj v rámci čínskych skupín sú medzi nimi rozdiely, niektoré sú menej a iné viac pokročilé. Niektoré sme prvý raz klasifikovali iba nedávno. Avšak veľa tých cieľov je podobných v tom, že ide o špionáž.

Kým v prípade ruských skupín ste nezachytili nejaký útok na Slovensku, v prípade čínskych tomu tak bolo. Konkrétne ide o skupinu MustangPanda. Ako ste na ňu prišli?

Niekedy odhalíme kampaň, keď rozposielajú emaily v snahe infikovať svoje obete, a vtedy natrafíme na nejaký nový škodlivý kód. Pri týchto útokoch sme detegovali emaily, ktoré cielili na slovenské vládne organizácie. Využívali pri tom spearphishingové emaily, ktoré boli napísané v slovenčine, čím sa snažili zvýšiť svoju úspešnosť. Reťazec toho emailu až po spôsob, ktorý viedol k nainštalovaniu malvéru, nás doviedol k záveru, že išlo o niečo nové a unikátne. V tomto prípade bolo zaujímavé, že využívali tzv. trekovacie pixely.

Čo to znamená? 

To sa týka všetkých čitateľov, ktorí dostávajú emaily a záleží im na svojom súkromí. V tomto prípade to síce robil nejaký štátny aktér, ale robia to aj firmy, ktoré spamujú. Predstavte, že máte email, kde nie je len text, ale aj obrázky či HTML, ktoré odkazujú na nejakú webovú adresu. Ak máte webového klienta, ktorý sa najskôr opýta, či si môže stiahnuť ten obrázok – tak ste chránený. Ak by si niekto v tomto prípade otvoril ten obrázok, útočník následne získa informáciu, že ste si otvorili email, a vie na základe toho robiť ďalšie kroky. Napríklad poslať ďalšie emaily, ale už s malvérom.

Takže tým pixelovým miniobrázkom, ktorý ani nie je vidieť, sa uisťuje, či má správny cieľ?

Áno, uisťuje sa, kam poslať svoju zbraň. Neposiela ich len tak hocikam. V našej branži sa napríklad používajú rôzne honeypoty, teda zberače a lapače škodlivého kódu. Oni to však nechcú poslať na honeypot nejakého výskumníka, aby hneď odhalili svoj kód, ale tam, kde to reálne chcú použiť. Je to pritom obrázok veľký jeden krát jeden pixel, takže v tom emaile to bežným okom nemáte šancu vidieť. Najlepšia obrana je používať také prehliadače a aplikácie, ktoré automaticky nezobrazujú všetky obrázky. Dobrí emailoví klienti sa spýtajú, či si majú načítať externé zdroje obrázkov, hoci ten email je potom škaredý.

Ako sa najlepšie chrániť proti spearphishingu?

Sú to štandardné bezpečnostné opatrenia, o ktorých sa hovorí často – najmä byť obozretný. Tým, že sa útočníci spoliehajú na ľudskú zraniteľnosť, si treba budovať odolnosť. To platí hlavne pre ľudí, ktorí sú zodpovední za bezpečnosť svojich zamestnancov, aby vedeli rozpoznať, čo je spearphishingový email. Sociálne inžinierstvo sa stále zlepšuje. Keď od vás niekto niečo chce, treba zdvihnúť a overiť si to. Používať bezpečnostný softvér. Ostatné súvisí aj s charakterom organizácie, veľká štátna organizácia musí mať inú úroveň zabezpečenia ako malá firma. Povinnosťou je zálohovanie a dvojfaktorová autentifikácia. To sú veci, ktoré vedia veľmi sťažiť veci aj tým najskúsenejším útočníkom.