Opisywany “lotniczy” atak phishingowy wykorzystuje różne techniki, które służą przestępcom do przechwycenia poufnych danych i zainstalowania u ofiar zaawansowanego uporczywego zagrożenia (Advanced Persistent Threat, APT). Atak z podszywaniem się pod linię lotniczą łączy dwie lub więcej technik ofensywnych. Pierwsza technika to impersonacja. Napastnik podaje się za biuro podróży lub za pracownika z działu kadr lub finansów, który wysyła e-bilet do ofiary lotniczy. Wiadomość jest skonstruowana tak, że nie budzi wątpliwości u nieprzeszkolonego odbiorcy. Oto przykładowy wiersz tematu wiadomości email:
Fwd: United Airlines: Confirmation – Flight to Tokyo – $3,543.30
W dobrze przygotowanym ataku napastnik specjalnie dostosowuje wiadomość do ofiary. Linie lotnicze, cel podróży i cena są dobrane tak, żeby wyglądały na autentyczne w kontekście danej firmy i odbiorcy.
Po nakłonieniu pracownika do otwarcia wiadomości napastnik wykorzystuje drugie narzędzie, którym jest osadzone w załączniku zagrożenie APT. Załącznik, zazwyczaj potwierdzenie lotu lub płatności, jest sformatowany jako dokument formatu PDF lub DOCX. W ataku tego typu złośliwe oprogramowanie jest uruchamiane w momencie otwarcia dokumentu. Analizy Barracuda Networks wskazują, że w lotniczych atakach phishingowych napastnikom w ponad 90 proc. przypadków udaje się nakłonić pracowników do otwarcia fałszywej wiadomości i uruchomienia złośliwego oprogramowania malware. Jest to jeden z najwyższych wskaźników skuteczności wśród ataków phishingowych.
Zaobserwowano też ataki, w których używano łączy do witryny phishingowej, mającej wyłudzać wrażliwe dane od ofiary. Witryna ta przypomina stronę linii lotniczej albo system rozliczeniowy lub podróżny używany przez firmę. Ten etap procesu ma skłonić ofiarę do podania nazwy użytkownika i hasła do sieci korporacyjnej. Napastnik przechwytuje dane logowania i wykorzystuje je do infiltracji sieci oraz wewnętrznych systemów firmy, takich jak bazy danych, serwery pocztowe i serwery plików.
