Lika sofistikerat som upplägget var av ryska underrättelseagenter att blanda sig i presidentvalet 2016, de använde en enkel hackningsteknik, bland andra, att infiltrera demokratiska agenters e-postkonton, enligt specialjuristen Robert Muellers senaste åtal. Och den tekniken - känd som "spear phishing - förblir ett hot inte bara mot kampanjtjänstemän utan mot anställda och konsumenter.

Spear phishing är en bluff där cyberbrottslingar utger sig för att vara pålitliga källor och skickar falska elektroniska meddelanden till riktade individer för att lura dem att avslöja känslig information.

I fallet med John Podesta, ordförande för Hillary Clintons presidentkampanj, det var ett vilseledande mejl som såg ut som en säkerhetsanmälan från Google, ber Podesta att ändra sitt lösenord genom att klicka på en inbäddad länk, enligt åtalet som väcktes i fredags. Podesta följde e-postmeddelandets instruktioner, ändra sitt lösenord och ge hackare tillgång till 50, 000 av hans mejl.

Men spjutfiske kan komma i form av ett e-postmeddelande som verkar komma från din chef, ber dig att skicka ditt W2-formulär. Eller ett meddelande med en förväntad faktura, begär att du överför pengarna till ett konto som kontrolleras av dåliga aktörer.

"Åtalet illustrerar verkligen de många användningsområden som denna teknik kan göras, sa Edward McAndrew, en före detta federal cyberbrottsåklagare och medledare för Ballard Spahrs integritets- och datasäkerhetsgrupp i Philadelphia. "Det handlar inte bara om att stjäla någons personliga information. Det handlar om ekonomiskt bedrägeri, eller i det här fallet, till och med valfusk."

Hur det är gjort

I typiska nätfiskebedrägerier, cyberbrottslingar skickar allmänna e-postmeddelanden till ett stort antal användare, hoppas att någon tar betet och laddar ner en infekterad bilaga eller klickar på en länk till en falsk webbplats.

Spear phishing-bedrägerier, däremot är skräddarsydda för specifika mål. Hackare kommer att undersöka en individ i förväg, skanna sociala mediekonton och offentlig information för att lära sig en persons jobb, vänner eller intressen för att skapa ett pålitligt e -postmeddelande.

"De kommer att ta reda på var du jobbar och vilka dina kollegor är och försöker skicka ett falskt e-postmeddelande som ser ut att vara från en av dina kollegor, sade Gabriel Weinberg, VD och grundare av Paoli-baserade DuckDuckGo, en sökmotor på internet som inte spårar eller lagrar användardata.

Det var vad som hände i tisdags på Weinbergs företag. En av hans anställda fick ett mejl från en avsändare med Weinbergs namn och frågade:"Jag behöver dig hjälpa till att utföra en uppgift. Låt mig veta om du är ledig, " enligt en kopia av meddelandet. Avsändaren som utgav sig för att vara Weinberg ville "ge ut några Apple-presentkort till några kunder." Weinberg och hans kollega bet inte.

Personen som utgav sig för att vara Weinberg använde en e-postadress som inte ens var i närheten av att likna den äkta varan. Men Michael Levy, chefen för databrott för U.S.A. Attorney's Office i Philadelphia, nämnda cyberbrottslingar kommer vanligtvis att skapa e-postadresser som är nästan identiska med dem från pålitliga källor, smyga in en extra bokstav eller använda en nolla istället för ett stort "O, " till exempel.

I vissa fall, till exempel den ryska hacken från Democratic Congressional Campaign Committee, spear phishing-e-postmeddelanden kommer att leda användare till falska webbplatser, där offren kommer att ange sina referenser och omedvetet ge hackare sina användarnamn och lösenord. I DCCC-fallet, Ryska agenter installerade sedan skadlig programvara på minst 10 av kommitténs datorer, enligt åtalet, låta dem övervaka enskilda anställdas datoraktivitet, stjäla lösenord och behålla åtkomst till DCCC -nätverket.

"Det finns två sätt att komma in i datorer, ", sa Levy. "Det finns den sofistikerade hackningen där du kommer på hur du bryter igenom ett säkerhetssystem ... [eller] du attackerar den svagaste länken i säkerhetssystemet, och det är användaren."

När hackare har tillgång till ett företags e-postsystem, "de kommer att sitta och titta för att lära sig så mycket de kan om människor, "Levy sa, och tillägger att cyberbrottslingar kan hämta allt från anställdas e-postvanor till namnet på företagets presidents fru.

McAndrew, av Ballard Spahr, sa när hackare kommer in på ett e-postkonto, de kan läsa en användares meddelanden, arbetskalendrar och kontakter, som om någon "nästan tittar över axlarna".

"Du kan veta om händelser innan de inträffar genom att läsa om dem, "Sa McAndrew." Du vet vad som kommer. "

Hackare som är medvetna om en kommande betalning kan slå till genom att skicka e -postmeddelanden för spear phishing för att lura mottagare att koppla in pengar till konton under hackarens kontroll, sa McAndrew.

Offer för internetbrott led mer än 1,4 miljarder dollar i förluster 2017, nästan en fördubbling sedan 2013, enligt en FBI-rapport om frågan som släpptes i maj. Brott som listats som "komprometterad affärse-post/kompromering av e-postkonto" stod för mer än 676 miljoner dollar av det totala 2017, representerar den största kategorin av förluster.

Hur du skyddar dig själv

Ett sätt att minska risken från spear phishing är att använda multifaktorautentisering, som lägger till ett extra lager av säkerhet genom att inte bara kräva ett användarnamn och lösenord, men kunskap eller besittning av något som bara den användaren har, till exempel en kod som skickas till en mobiltelefon.

"Även om du blir lurad och du går till någon falsk sida och skriver in ditt lösenord, det kommer att vara värdelöst utan "den andra informationen, sa Anthony Vance, chef för Temple Universitys Center for Cybersecurity.

Vance föreslog att man skulle använda twofactorauth.org, som talar om för användarna om webbplatser stöder multifaktorautentisering. Stora tjänster som Google eller Yahoo tillåter användare att aktivera tjänsten.

Experter sa att individer borde använda lite sunt förnuft också. Motstå lusten att klicka på länkar eller bilagor från en okänd källa eller oväntat meddelande. Kontrollera med kollegor innan du svarar på ett misstänkt mejl.

"Det viktigaste folk kan göra är att granska varje enskilt e-postmeddelande de får, "Sa McAndrew.

©2018 The Philadelphia Inquirer
Distribueras av Tribune Content Agency, LLC.