Meni
Vrhunski vodič za razumijevanje phishinga u 2023
Pa, što je Phishing?
Phishing je oblik društvenog inženjeringa koji prevari ljude da otkriju svoje lozinke ili vrijedne stvari informacije. Phishing napadi mogu biti u obliku e-pošte, tekstualnih poruka i telefonskih poziva.
Obično se ti napadi predstavljaju kao popularne usluge i tvrtke koje ljudi lako prepoznaju.
Kada korisnici kliknu vezu za krađu identiteta u tijelu e-pošte, šalju se na sličnu verziju stranice kojoj vjeruju. Od njih se u ovoj fazi phishing prijevare traže njihove vjerodajnice za prijavu. Nakon što unesu svoje podatke na lažnu web stranicu, napadač ima sve što mu je potrebno za pristup njihovom stvarnom računu.
Phishing napadi mogu rezultirati krađom osobnih podataka, financijskih podataka ili zdravstvenih podataka. Nakon što napadač dobije pristup jednom računu, on ili prodaje pristup računu ili koristi te podatke za hakiranje drugih računa žrtve.
Nakon što je račun prodan, netko tko zna kako zaraditi na računu kupit će vjerodajnice računa s mračnog weba i kapitalizirati ukradene podatke.
Evo vizualizacije koja će vam pomoći razumjeti korake u napadu krađe identiteta:
Phishing napadi dolaze u različitim oblicima. Phishing može funkcionirati putem telefonskog poziva, tekstualne poruke, e-pošte ili poruke na društvenim mrežama.
Generičke phishing e-poruke najčešća su vrsta phishing napada. Ovakvi napadi su česti jer zahtijevaju najmanje truda.
Hakeri uzimaju popis adresa e-pošte povezanih s računima Paypala ili društvenih medija i šalju masovno slanje e-pošte potencijalnim žrtvama.
Kada žrtva klikne vezu u e-poruci, ona je često odvede na lažnu verziju popularne web stranice i od nje se traži da se prijavi sa svojim podacima o računu. Čim pošalju podatke o svom računu, haker ima sve što mu je potrebno za pristup računu.
U određenom smislu, ova vrsta krađe identiteta je poput bacanja mreže u jato riba; dok su drugi oblici krađe identiteta ciljaniji napori.
Spear phishing je kada napadač cilja na određenu osobu umjesto slanja generičke e-pošte grupi ljudi.
Spear phishing napadi pokušavaju se posebno obratiti na cilj i maskirati se u osobu koju žrtva možda poznaje.
Ti su napadi lakši za prevaranta ako imate osobne podatke na internetu. Napadač može istražiti vas i vašu mrežu kako bi napravio poruku koja je relevantna i uvjerljiva.
Zbog velike količine personalizacije, spear phishing napade puno je teže identificirati u usporedbi s uobičajenim phishing napadima.
Također su rjeđi jer kriminalcima treba više vremena da ih uspješno izvedu.
Pitanje: Koja je stopa uspjeha e-pošte za lažno krađu?
Odgovor: e-poruke za lažno predstavljanje imaju prosječnu stopu otvaranja e-pošte od 70% i 50% primatelja klikne vezu u e-poruci.
U usporedbi s spear phishing napadima, napadi lovom na kitove drastično su ciljaniji.
Napadi kitolova napadaju pojedince u organizaciji kao što su glavni izvršni direktor ili glavni financijski direktor tvrtke.
Jedan od najčešćih ciljeva kitolovskih napada je manipuliranje žrtvom da prebaci velike svote novca napadaču.
Slično običnom krađi identiteta jer je napad u obliku e-pošte, kitolov može koristiti logotipe tvrtki i slične adrese kako bi se prikrio.
U nekim će se slučajevima napadač lažno predstavljati kao CEO i upotrijebite tu osobu da uvjerite drugog zaposlenika da otkrije financijske podatke ili prebaci novac na račun napadača.
Budući da je manja vjerojatnost da će zaposlenici odbiti zahtjev nekoga na višem položaju, ovi su napadi mnogo podmukliji.
Napadači će često potrošiti više vremena na izradu kitolovskog napada jer se obično bolje isplate.
Naziv "kitolov" odnosi se na činjenicu da mete imaju veću financijsku moć (CEO-ovi).
Angler phishing je relativno nova vrsta phishing napada i postoji na društvenim mrežama.
Oni ne slijede tradicionalni format phishing napada putem e-pošte.
Umjesto toga, oni se prerušavaju u predstavnike korisničke službe tvrtki i varaju ljude da im šalju informacije putem izravnih poruka.
Uobičajena prijevara je slanje ljudi na lažnu web stranicu korisničke podrške koja će preuzeti zlonamjerni softver ili drugim riječima ransomware na žrtvin uređaj.
Vishing napad je kada vas prevarant nazove kako bismo pokušali prikupiti osobne podatke od vas.
Prevaranti se obično pretvaraju da su ugledna tvrtka ili organizacija poput Microsofta, Porezne uprave ili čak vaše banke.
Koriste se taktikom straha kako bi vas naveli da otkrijete važne podatke o računu.
To im omogućuje izravan ili neizravan pristup vašim važnim računima.
Vishing napadi su nezgodni.
Napadači se lako mogu lažno predstavljati kao osobe kojima vjerujete.
Pogledajte kako David McHale, osnivač tvrtke Hailbytes, govori o tome kako će robotski pozivi nestati s tehnologijom budućnosti.
Većina phishing napada događa se putem e-pošte, ali postoje načini da se utvrdi njihova legitimnost.
Kada otvorite e-mail provjerite je li s javne domene e-pošte (tj. @gmail.com).
Ako je s javne domene e-pošte, najvjerojatnije se radi o phishing napadu jer organizacije ne koriste javne domene.
Umjesto toga, njihove bi domene bile jedinstvene za njihovu tvrtku (tj. Googleova domena e-pošte je @google.com).
Međutim, postoje lukaviji napadi krađe identiteta koji koriste jedinstvenu domenu.
Korisno je brzo pretražiti tvrtku i provjeriti njenu legitimnost.
Phishing napadi uvijek vas pokušavaju sprijateljiti lijepim pozdravom ili suosjećanjem.
Na primjer, nedavno sam u spamu pronašao phishing email s pozdravom “Dragi prijatelju”.
Već sam znao da je ovo phishing e-poruka jer je u retku predmeta stajalo: "DOBRE VIJESTI O VAŠIM SREDSTVIMA 21.".
Vidjeti te vrste pozdrava trebale bi odmah biti crvene zastavice ako nikada niste komunicirali s tim kontaktom.
Sadržaj e-pošte za krađu identiteta vrlo je važan i vidjet ćete neke karakteristične značajke koje čine većinu.
Ako sadržaj zvuči apsurdno, najvjerojatnije se radi o prijevari.
Na primjer, ako je u predmetu pisalo: "Dobili ste na lutriji 1000000 XNUMX dolara", a vi se ne sjećate da ste sudjelovali, to je znak za crvenu zastavu.
Kada sadržaj stvara osjećaj hitnosti kao što je "ovisi o vama" i vodi do klikanja na sumnjivu poveznicu, tada se najvjerojatnije radi o prijevari.
E-poruke za krađu identiteta uvijek imaju priloženu sumnjivu vezu ili datoteku.
Dobar način da provjerite sadrži li poveznica virus jest korištenje VirusTotala, web-mjesta koje provjerava zlonamjerni softver u datotekama ili poveznicama.
Primjer e-pošte za krađu identiteta:
U primjeru Google ističe da e-mail može biti potencijalno opasan.
Prepoznaje da se njegov sadržaj podudara s drugim sličnim phishing e-porukama.
Ako e-pošta ispunjava većinu gore navedenih kriterija, preporučuje se da je prijavite na reportphishing@apwg.org ili phishing-report@us-cert.gov kako bi bila blokirana.
Ako koristite Gmail, postoji opcija za prijavu e-pošte za krađu identiteta.
Iako su phishing napadi usmjereni na nasumične korisnike, oni često ciljaju zaposlenike tvrtke.
Međutim, napadači ne traže uvijek novac tvrtke nego njezine podatke.
U poslovnom smislu podaci su daleko vrjedniji od novca i mogu ozbiljno utjecati na tvrtku.
Napadači mogu iskoristiti procurele podatke kako bi utjecali na javnost utječući na povjerenje potrošača i ocrnjavajući ime tvrtke.
Ali to nisu jedine posljedice koje iz toga mogu proizaći.
Ostale posljedice uključuju negativan utjecaj na povjerenje ulagača, poremećaj poslovanja i poticanje regulatornih kazni prema Općoj uredbi o zaštiti podataka (GDPR).
Preporuča se obuka vaših zaposlenika za rješavanje ovog problema kako biste smanjili uspješne phishing napade.
Zaposlenike općenito možete obučiti tako da im pokažete primjere phishing e-poruka i načine kako ih uočiti.
Još jedan dobar način da se zaposlenicima pokaže phishing je simulacija.
Simulacije krađe identiteta u osnovi su lažni napadi osmišljeni da pomognu zaposlenicima da prepoznaju krađu identiteta iz prve ruke bez ikakvih negativnih učinaka.
Sada ćemo podijeliti korake koje morate poduzeti da biste pokrenuli uspješnu phishing kampanju.
Phishing je i dalje glavna sigurnosna prijetnja prema WIPRO-ovom izvješću o stanju kibernetičke sigurnosti za 2020.
Jedan od najboljih načina prikupljanja podataka i edukacije zaposlenika je pokretanje interne phishing kampanje.
Stvoriti phishing e-poštu s platformom za phishing može biti dovoljno jednostavno, ali tu je puno više od pritiskanja Pošalji.
Razgovarat ćemo o tome kako postupati s testovima krađe identiteta s internom komunikacijom.
Zatim ćemo razmotriti kako analizirate i koristite podatke koje prikupljate.
Kampanja za krađu identiteta nije kažnjavanje ljudi ako nasjednu na prijevaru. Simulacija krađe identiteta govori o podučavanju zaposlenika kako odgovoriti na e-poštu za krađu identiteta. Želite biti sigurni da ste transparentni u vezi s obukom krađe identiteta u svojoj tvrtki. Dajte prioritet informiranju čelnika tvrtke o vašoj phishing kampanji i opišite ciljeve kampanje.
Nakon što pošaljete svoj prvi osnovni test phishing e-pošte, možete dati najavu za cijelu tvrtku svim zaposlenicima.
Važan aspekt interne komunikacije je održavanje dosljednosti poruke. Ako radite vlastite testove krađe identiteta, onda je dobra ideja smisliti izmišljenu marku za svoj materijal za obuku.
Smišljanje naziva za vaš program pomoći će zaposlenicima da prepoznaju vaš obrazovni sadržaj u svojoj pristigloj pošti.
Ako koristite upravljanu uslugu testiranja krađe identiteta, oni će to vjerojatno pokriti. Obrazovni sadržaj treba izraditi unaprijed kako biste mogli odmah pratiti nakon svoje kampanje.
Dajte svojim zaposlenicima upute i informacije o vašem internom protokolu za krađu identiteta nakon osnovnog testa.
Želite svojim suradnicima dati priliku da ispravno odgovore na obuku.
Uvid u broj ljudi koji su ispravno uočili i prijavili e-poštu važna je informacija koju treba dobiti testom krađe identiteta.
Što bi trebao biti vaš glavni prioritet za vašu kampanju?
Angažman.
Možete pokušati temeljiti svoje rezultate na broju uspjeha i neuspjeha, ali vam ti brojevi ne moraju nužno pomoći u vašoj svrsi.
Ako pokrenete simulaciju testa krađe identiteta i nitko ne klikne na vezu, znači li to da je vaš test bio uspješan?
Kratak odgovor je "ne".
Stopa uspješnosti od 100% ne znači uspjeh.
To može značiti da je vaš test krađe identiteta jednostavno bilo prelako uočiti.
S druge strane, ako dobijete ogromnu stopu neuspjeha s testom krađe identiteta, to bi moglo značiti nešto sasvim drugo.
To bi moglo značiti da vaši zaposlenici još ne mogu uočiti phishing napade.
Kada dobijete visoku stopu klikova za svoju kampanju, postoji dobra šansa da trebate smanjiti težinu svojih phishing e-poruka.
Odvojite više vremena za obuku ljudi na njihovoj trenutnoj razini.
U konačnici želite smanjiti stopu klikova na veze za krađu identiteta.
Možda se pitate koja je dobra ili loša stopa klikova sa simulacijom krađe identiteta.
Prema sans.org, vaš prva simulacija krađe identiteta može dati prosječnu stopu klikova od 25-30%.
To se čini kao stvarno visok broj.
Srećom, prijavili su to nakon 9-18 mjeseci obuke za krađu identiteta, stopa klikova za test krađe identiteta bila je ispod 5%.
Ovi brojevi mogu vam pomoći kao gruba procjena vaših željenih rezultata obuke krađe identiteta.
Da biste započeli svoju prvu simulaciju phishing e-pošte, obavezno stavite IP adresu alata za testiranje na popis dopuštenih.
Ovo osigurava da će zaposlenici primiti e-poštu.
Kada izrađujete svoju prvu simuliranu phishing e-poštu, nemojte to činiti ni prelakim ni preteškim.
Također biste se trebali sjetiti svoje publike.
Ako vaši suradnici nisu veliki korisnici društvenih medija, onda vjerojatno ne bi bila dobra ideja koristiti lažnu e-poštu za krađu identiteta za poništavanje LinkedIn lozinke. E-mail testera mora imati dovoljno široku privlačnost da bi svi u vašoj tvrtki imali razloga kliknuti.
Neki primjeri phishing e-poruka sa širokom privlačnošću mogli bi biti:
Samo zapamtite psihologiju kako će vaša publika prihvatiti poruku prije nego što pritisnete Pošalji.
Nastavite slati e-poštu za obuku o krađi identiteta svojim zaposlenicima. Pobrinite se da polako povećavate težinu tijekom vremena kako biste povećali razinu vještina ljudi.
Preporuča se slanje e-pošte mjesečno. Ako prečesto "krađate" svoju organizaciju, vjerojatno će se prebrzo uhvatiti.
Uhvatiti svoje zaposlenike, malo nespremni najbolji je način da dobijete realističnije rezultate.
Ako svaki put šaljete istu vrstu "phishing" e-pošte, nećete učiti svoje zaposlenike kako reagirati na različite prijevare.
Možete isprobati nekoliko različitih kutova, uključujući:
Dok šaljete nove kampanje, uvijek pazite da fino podešavate relevantnost poruke svojoj publici.
Ako pošaljete e-poruku za krađu identiteta koja nije povezana s nečim što vas zanima, možda nećete dobiti dobar odgovor od svoje kampanje.
Nakon što pošaljete različite kampanje svojim zaposlenicima, osvježite neke od starih kampanja koje su prevarile ljude prvi put i napravite novi spin na toj kampanji.
Moći ćete reći učinkovitost vašeg treninga ako vidite da ljudi ili uče i napreduju.
Odatle ćete moći reći treba li im dodatna edukacija o tome kako uočiti određenu vrstu phishing e-pošte.
Postoje 3 čimbenika pri određivanju hoćete li izraditi vlastiti program obuke za krađu identiteta ili ćete program prepustiti vanjskim suradnicima.
Ako ste sigurnosni inženjer ili ga imate u svojoj tvrtki, možete jednostavno pokrenuti phishing server koristeći već postojeću phishing platformu za izradu svojih kampanja.
Ako nemate sigurnosnih inženjera, stvaranje vlastitog programa za krađu identiteta možda ne dolazi u obzir.
Možda imate sigurnosnog inženjera u svojoj organizaciji, ali on možda nema iskustva s društvenim inženjeringom ili testovima krađe identiteta.
Ako imate nekoga tko ima iskustva, on bi bio dovoljno pouzdan da stvori vlastiti program za krađu identiteta.
Ovo je stvarno veliki čimbenik za mala i srednja poduzeća.
Ako je vaš tim mali, možda neće biti zgodno dodati još jedan zadatak vašem sigurnosnom timu.
Puno je praktičnije da drugi iskusni tim obavi posao umjesto vas.
Prošli ste cijeli ovaj vodič kako biste shvatili kako možete obučiti svoje zaposlenike i spremni ste započeti sa zaštitom svoje organizacije putem obuke za krađu identiteta.
Što sada?
Ako ste sigurnosni inženjer i želite sada pokrenuti svoje prve phishing kampanje, idite ovdje da biste saznali više o alatu za simulaciju krađe identiteta koji možete koristiti za početak već danas.
Ili…
Ako ste zainteresirani za učenje o upravljanim uslugama za vođenje phishing kampanja umjesto vas, ovdje saznajte više o tome kako možete započeti svoju besplatnu probu obuke za krađu identiteta.
Pomoću kontrolnog popisa identificirajte neuobičajene poruke e-pošte i prijavite ih ako su krađe identiteta.
Iako postoje filtri za krađu identiteta koji vas mogu zaštititi, to nije 100%.
E-poruke za krađu identiteta neprestano se razvijaju i nikada nisu iste.
Do zaštitite svoju tvrtku od phishing napada u kojima možete sudjelovati simulacije krađe identiteta kako biste smanjili šanse za uspješne phishing napade.
Nadamo se da ste naučili dovoljno iz ovog vodiča kako biste shvatili što trebate učiniti sljedeće kako biste smanjili šanse za phishing napad na vaše poslovanje.
Ostavite komentar ako imate pitanja za nas ili ako želite podijeliti svoje znanje ili iskustvo s phishing kampanjama.
Ne zaboravite podijeliti ovaj vodič i proširiti vijest!
Hailbytes
9511 Queens Guard Ct.
Laurel, dr. 20723
Telefon: (732) 771-9995
E-pošta: info@hailbytes.com
