Disclaimer: lavoro in un'azienda che sviluppa software di sicurezza per mitigare attacchi mirati.
Alcuni dei metodi che usiamo sono simili a quelli usati dagli aggressori (quando i clienti vogliono testare i loro sistemi).
Ad esempio, un cliente ci ha chiesto di testare la sicurezza eseguendo attacchi di phishing mirati [spear]. Abbiamo inviato via email solo il dipartimento IT con una combinazione di 2 e-mail. Una era un'e-mail apparentemente mal indirizzata al tabellone con un link a un Pdf chiamato qualcosa come Executive bonus summary.pdf
, l'altro preteso di essere un nuovo portale esterno per l'azienda da utilizzare durante le Olimpiadi. Con una rapida ricerca sui social media, avremmo potuto creare e-mail specifiche per l'utente, ma sarebbe stato dispendioso in termini di tempo e alla fine non era necessario.
Abbiamo registrato un nome di dominio visivamente simile a quello del target, quindi lo abbiamo usato per ospitare pagine false (identico a quelle reali) e inviare DKIM email firmate (per evitare filtri spam).
Dei tecnici mirati, il 43% ci ha fornito i dettagli di accesso aziendale, il 54% ha provato a scaricare il pdf fasullo (il pdf era solo spazzatura, quindi sembrava un download corrotto. Un ragazzo ha provato 5 volte usando Firefox, IE e infine wget).
Ci è stato detto che solo un utente aveva rilevato l'attacco e ne ha segnalato la gestione (ma solo dopo dandoci le proprie credenziali).
Quindi ... entrare in compagnia non è impossibile. Per quanto riguarda l'informazione, il nostro normale piano di vendita include una demo di noi che aggira i firewall aziendali / tradizionale DLP . Non credo che abbiamo mai fallito a meno che non siano a cielo aperto o usando un buon diodo di dati (anche se il il tasso di esfiltrazione varia, in un caso avevamo un firewall con elenchi bianchi restrittivi, così il software ha codificato i documenti in immagini e continua ad aggiornare un'immagine del profilo su Google. Poi abbiamo guardato il profilo esternamente e scaricato ogni blocco).
Detto questo, abbiamo trovato più volte che il software può essere risolto, ma gli utenti sono costantemente il link più debole.
Quindi per rispondere alla tua domanda, un attacco mirato include il tocco personale. Siti Web personalizzati progettati per ingannare gli utenti, ricercare in che software (e release) viene utilizzato per verificare vulnerabilità note, indagini sui social media, ingegneria sociale, ecc. Ecc.
Un altro da considerare anche se meno comune è la corruzione / ricatto. Se parli di attori statali, non è inconcepibile.