Meniu
Ghidul suprem pentru înțelegerea phishing-ului în 2023
Deci, ce este Phishing?
Phishingul este o formă de inginerie socială care păcălește oamenii să-și dezvăluie parolele sau valorile informații. Atacurile de tip phishing pot fi sub formă de e-mailuri, mesaje text și apeluri telefonice.
De obicei, aceste atacuri se prezintă ca servicii și companii populare pe care oamenii le recunosc cu ușurință.
Când utilizatorii dau clic pe un link de phishing din corpul unui e-mail, aceștia sunt trimiși către o versiune asemănătoare a unui site în care au încredere. Li se solicită acreditările de conectare în acest moment al înșelătoriei de tip phishing. Odată ce își introduc informațiile pe site-ul fals, atacatorul are ceea ce are nevoie pentru a-și accesa contul real.
Atacurile de tip phishing pot avea ca rezultat furtul de informații personale, informații financiare sau informații despre sănătate. Odată ce atacatorul obține acces la un cont, fie vinde accesul la cont, fie folosește acele informații pentru a pirata alte conturi ale victimei.
Odată ce contul este vândut, cineva care știe să profite de pe urma contului va cumpăra acreditările contului de pe dark web și va valorifica datele furate.
Iată o vizualizare pentru a vă ajuta să înțelegeți pașii unui atac de tip phishing:
Atacurile de tip phishing vin sub diferite forme. Phishingul poate funcționa dintr-un apel telefonic, mesaj text, e-mail sau mesaj pe rețelele sociale.
E-mailurile generice de phishing sunt cel mai comun tip de atac de phishing. Atacuri ca acestea sunt obișnuite, deoarece necesită cel mai mic efort.
Hackerii iau o listă de adrese de e-mail asociate cu Paypal sau conturi de rețele sociale și trimit un explozie de e-mail în vrac către potențialele victime.
Când victima face clic pe linkul din e-mail, aceasta o duce adesea la o versiune falsă a unui site web popular și îi cere să se conecteze cu informațiile contului său. De îndată ce își trimit informațiile contului, hackerul are ceea ce are nevoie pentru a-și accesa contul.
Într-un fel, acest tip de phishing este ca și cum ați arunca o plasă într-un banc de pești; în timp ce alte forme de phishing sunt eforturi mai direcționate.
Spear phishing este când un atacator vizează un anumit individ mai degrabă decât trimiterea unui e-mail generic unui grup de persoane.
Atacurile de tip spear phishing încearcă să se adreseze în mod specific țintei și să se deghizeze ca o persoană pe care victima o poate cunoaște.
Aceste atacuri sunt mai ușor pentru un escroc dacă aveți informații de identificare personală pe internet. Atacatorul poate să te cerceteze pe tine și pe rețeaua ta pentru a crea un mesaj care este relevant și convingător.
Datorită cantității mari de personalizare, atacurile spear phishing sunt mult mai greu de identificat în comparație cu atacurile obișnuite de phishing.
Sunt, de asemenea, mai puțin obișnuite, deoarece le ia mai mult timp criminalilor pentru a le reuși cu succes.
Întrebare: Care este rata de succes a unui e-mail de spearphishing?
Răspuns: e-mailurile spearphishing au o rată medie de deschidere a e-mailului de 70% și 50% dintre destinatari fac clic pe un link din e-mail.
În comparație cu atacurile de tip spear phishing, atacurile vânătorii de balene sunt drastic mai țintite.
Atacurile vânătorii de balene vin după indivizi dintr-o organizație, cum ar fi directorul executiv sau directorul financiar al unei companii.
Unul dintre cele mai comune obiective ale atacurilor vânătorii de balene este acela de a manipula victima pentru a transfera sume mari de bani către atacator.
Similar cu phishing-ul obișnuit, prin faptul că atacul este sub formă de e-mail, vânătoarea de balene poate folosi siglele companiei și adrese similare pentru a se deghiza.
În unele cazuri, atacatorul își va uzurpa identitatea CEO-ului și folosiți acea persoană pentru a convinge un alt angajat să dezvăluie date financiare sau să transfere bani în contul atacatorilor.
Întrucât este mai puțin probabil ca angajații să refuze o solicitare de la cineva de mai sus, aceste atacuri sunt mult mai ocolite.
Atacatorii vor petrece adesea mai mult timp organizând un atac de vânătoare de balene, deoarece au tendința de a plăti mai bine.
Denumirea „vânătoarea de balene” se referă la faptul că țintele au mai multă putere financiară (CEO).
Angler phishing este relativ nou tip de atac de tip phishing și există pe rețelele sociale.
Nu urmează formatul tradițional de e-mail al atacurilor de tip phishing.
În schimb, se deghizează în reprezentanți ai serviciilor pentru clienți ai companiilor și păcălesc oamenii să le trimită informații prin mesaje directe.
O înșelătorie comună este trimiterea oamenilor către un site fals de asistență pentru clienți care va descărca programe malware sau, cu alte cuvinte Ransomware pe dispozitivul victimei.
Un atac vishing este atunci când un escroc vă sună pentru a încerca să culege informații personale de la dvs.
Escrocii se prefac de obicei a fi o afacere sau o organizație de renume, cum ar fi Microsoft, IRS sau chiar banca dvs.
Ei folosesc tactici de frică pentru a vă face să dezvăluiți date importante ale contului.
Acest lucru le permite să acceseze direct sau indirect conturile dvs. importante.
Atacurile Vishing sunt complicate.
Atacatorii pot uzurpa cu ușurință oamenii în care ai încredere.
Urmăriți-l pe fondatorul Hailbytes, David McHale, vorbind despre modul în care apelurile automate vor dispărea odată cu tehnologia viitoare.
Majoritatea atacurilor de tip phishing au loc prin e-mailuri, dar există modalități de a le identifica legitimitatea.
Când deschideți un e-mail verificați dacă provine sau nu dintr-un domeniu public de e-mail (adică @gmail.com).
Dacă provine dintr-un domeniu public de e-mail, cel mai probabil este un atac de tip phishing, deoarece organizațiile nu folosesc domenii publice.
Mai degrabă, domeniile lor ar fi unice pentru afacerea lor (adică domeniul de e-mail al Google este @google.com).
Cu toate acestea, există atacuri de phishing mai complicate care folosesc un domeniu unic.
Este util să faci o căutare rapidă a companiei și să verifici legitimitatea acesteia.
Atacurile de phishing încearcă întotdeauna să se împrietenească cu tine cu un salut plăcut sau cu empatie.
De exemplu, în spam-ul meu nu cu mult timp în urmă am găsit un e-mail de phishing cu salutul „Dragă prieten”.
Știam deja că acesta este un e-mail de tip phishing, deoarece în subiect scria „VESTI BUNE DESPRE FONDURILE DVS. 21/06/2020”.
Vederea acestor tipuri de salutări ar trebui să fie semnale roșii instantanee dacă nu ați interacționat niciodată cu acel contact.
Conținutul unui e-mail de phishing este foarte important și veți vedea câteva caracteristici distinctive care alcătuiesc cele mai multe.
Dacă conținutul sună absurd, atunci cel mai probabil este o înșelătorie.
De exemplu, dacă subiectul spunea „Ați câștigat la loterie 1000000 USD” și nu vă amintiți că ați participat, atunci acesta este un steag roșu.
Când conținutul creează un sentiment de urgență precum „depinde de tine” și duce la clic pe un link suspect, atunci este cel mai probabil o înșelătorie.
E-mailurile de phishing au întotdeauna atașat un link sau un fișier suspect.
O modalitate bună de a verifica dacă un link are un virus este să utilizați VirusTotal, un site web care verifică fișierele sau linkurile pentru malware.
Exemplu de e-mail de phishing:
În exemplu, Google subliniază că e-mailul poate fi potențial periculos.
Recunoaște că conținutul său se potrivește cu alte e-mailuri similare de phishing.
Dacă un e-mail îndeplinește majoritatea criteriilor de mai sus, atunci este recomandat să îl raportați la reportphishing@apwg.org sau phishing-report@us-cert.gov, astfel încât să fie blocat.
Dacă utilizați Gmail, există o opțiune de a raporta e-mailul pentru phishing.
Chiar dacă atacurile de phishing sunt direcționate către utilizatori aleatori, ele vizează adesea angajații unei companii.
Cu toate acestea, atacatorii nu caută întotdeauna banii unei companii, ci datele acesteia.
În ceea ce privește afacerile, datele sunt mult mai valoroase decât banii și pot afecta grav o companie.
Atacatorii pot folosi datele scurse pentru a influența publicul, impactând încrederea consumatorilor și pătând numele companiei.
Dar acestea nu sunt singurele consecințe care pot rezulta din asta.
Alte consecințe includ impactul negativ asupra încrederii investitorilor, perturbarea afacerilor și incitarea la amenzi de reglementare în conformitate cu Regulamentul general privind protecția datelor (GDPR).
Este recomandat să vă instruiți angajații pentru a face față acestei probleme pentru a reduce atacurile de phishing de succes.
Modalitățile de instruire a angajaților sunt, în general, să le arăți exemple de e-mailuri de phishing și modalități de a le identifica.
O altă modalitate bună de a arăta angajaților phishing este prin simulare.
Simulările de phishing sunt practic atacuri false concepute pentru a ajuta angajații să recunoască phishingul fără efecte negative.
Vă vom împărtăși acum pașii pe care trebuie să îi urmați pentru a derula o campanie de phishing de succes.
Phishing-ul rămâne principala amenințare de securitate conform raportului WIPRO privind starea securității cibernetice 2020.
Una dintre cele mai bune modalități de a colecta date și de a educa angajații este de a derula o campanie internă de phishing.
Poate fi destul de ușor să creezi un e-mail de phishing cu o platformă de phishing, dar este mult mai mult decât să apeși Trimite.
Vom discuta despre cum să gestionăm testele de phishing cu comunicațiile interne.
Apoi, vom analiza modul în care analizați și utilizați datele pe care le colectați.
O campanie de phishing nu se referă la pedepsirea oamenilor dacă se îndrăgostesc de o înșelătorie. O simulare de phishing înseamnă a-i învăța pe angajați cum să răspundă la e-mailurile de phishing. Vrei să te asiguri că ești transparent în ceea ce privește cursurile de phishing în compania ta. Acordați prioritate informării liderilor companiei despre campania dvs. de phishing și descrieți obiectivele campaniei.
După ce trimiteți primul test de bază prin e-mail de phishing, puteți face un anunț la nivel de companie pentru toți angajații.
Un aspect important al comunicațiilor interne este menținerea consecvenței mesajului. Dacă vă faceți propriile teste de phishing, atunci este o idee bună să veniți cu o marcă inventată pentru materialul dvs. de instruire.
Crearea unui nume pentru programul dvs. va ajuta angajații să vă recunoască conținutul educațional în căsuța de e-mail.
Dacă utilizați un serviciu de testare de phishing gestionat, atunci probabil că vor avea acest lucru acoperit. Conținutul educațional ar trebui să fie produs din timp, astfel încât să puteți avea o urmărire imediată după campanie.
Oferiți angajaților instrucțiuni și informații despre protocolul de e-mail intern de phishing după testul de bază.
Vrei să le oferi colegilor tăi posibilitatea de a răspunde corect la instruire.
Vederea numărului de persoane care identifică și raportează corect e-mailul este o informație importantă de obținut în urma testului de phishing.
Care ar trebui să fie prioritatea ta principală pentru campania ta?
Logodnă.
Puteți încerca să vă bazați rezultatele pe numărul de succese și eșecuri, dar acele cifre nu vă ajută neapărat în scopul dvs.
Dacă rulați o simulare de test de phishing și nimeni nu dă clic pe link, înseamnă asta că testul a avut succes?
Răspunsul scurt este „nu”.
A avea o rată de succes de 100% nu se traduce ca un succes.
Poate însemna că testul dvs. de phishing a fost pur și simplu prea ușor de identificat.
Pe de altă parte, dacă obțineți o rată de eșec extraordinară la testul dvs. de phishing, ar putea însemna ceva complet diferit.
Ar putea însemna că angajații dvs. nu sunt încă capabili să detecteze atacurile de phishing.
Când obțineți o rată mare de clicuri pentru campania dvs., există șanse mari să fie necesar să reduceți dificultatea e-mailurilor de phishing.
Acordați-vă mai mult timp pentru a pregăti oamenii la nivelul lor actual.
În cele din urmă, doriți să reduceți rata clicurilor pe linkuri de phishing.
S-ar putea să vă întrebați ce este o rată de clic bună sau proastă cu o simulare de phishing.
Potrivit sans.org, dvs prima simulare de phishing poate genera o rată medie de clic de 25-30%.
Pare un număr foarte mare.
Din fericire, au raportat asta după 9-18 luni de instruire privind phishing, rata de clic pentru un test de phishing a fost sub 5%.
Aceste numere vă pot ajuta ca o estimare aproximativă a rezultatelor dorite de la formarea de phishing.
Pentru a începe prima simulare de e-mail de phishing, asigurați-vă că ați plasat pe lista albă adresa IP a instrumentului de testare.
Acest lucru vă asigură că angajații vor primi e-mailul.
Când creați primul e-mail simulat de phishing, nu faceți totul prea ușor sau prea greu.
De asemenea, ar trebui să vă amintiți publicul.
Dacă colegii tăi nu sunt utilizatori intensi ai rețelelor sociale, atunci probabil că nu ar fi o idee bună să folosești un e-mail de phishing fals pentru resetarea parolei LinkedIn. E-mailul testatorului trebuie să aibă un atracție suficient de larg pentru ca toată lumea din compania dvs. să aibă un motiv pentru a face clic.
Câteva exemple de e-mailuri de phishing cu atractivitate larg ar putea fi:
Amintește-ți doar psihologia modului în care mesajul va fi preluat de publicul tău înainte de a apăsa trimite.
Continuați să trimiteți angajaților dvs. e-mailuri de instruire privind phishingul. Asigurați-vă că creșteți încet dificultatea în timp pentru a crește nivelul de calificare al oamenilor.
Este recomandat să faceți trimiteri lunare de e-mail. Dacă vă „phishing” organizația prea des, este posibil ca ea să prindă prea repede.
Prinde-ți angajații, puțin cu privirea, este cea mai bună modalitate de a obține rezultate mai realiste.
Dacă trimiteți același tip de e-mailuri de „phishing” de fiecare dată, nu veți învăța angajații dumneavoastră cum să reacționeze la diferite escrocherii.
Puteți încerca mai multe unghiuri diferite, inclusiv:
Pe măsură ce trimiteți campanii noi, asigurați-vă întotdeauna că reglați cu precizie relevanța mesajului pentru publicul dvs.
Dacă trimiteți un e-mail de phishing care nu are legătură cu ceva de interes, este posibil să nu primiți un răspuns prea mare de la campania dvs.
După ce ați trimis diferite campanii angajaților dvs., reîmprospătați unele dintre campaniile vechi care au păcălit oamenii prima dată și faceți o nouă învârtire a campaniei respective.
Veți putea spune eficiența antrenamentului dvs. dacă vedeți că oamenii fie învață, fie se îmbunătățesc.
De acolo, veți putea spune dacă au nevoie de mai multă educație cu privire la cum să identifice un anumit tip de e-mail de phishing.
Există 3 factori care determină dacă veți crea propriul program de instruire pentru phishing sau veți externaliza programul.
Dacă sunteți inginer de securitate sau aveți unul în compania dvs., puteți crea cu ușurință un server de phishing folosind o platformă de phishing preexistentă pentru a vă crea campaniile.
Dacă nu aveți ingineri de securitate, crearea propriului program de phishing poate fi exclusă.
Este posibil să aveți un inginer de securitate în organizația dvs., dar este posibil să nu aibă experiență cu testele de inginerie socială sau de phishing.
Dacă aveți pe cineva cu experiență, atunci ar fi suficient de de încredere pentru a-și crea propriul program de phishing.
Acesta este un factor foarte mare pentru companiile mici și mijlocii.
Dacă echipa dvs. este mică, ar putea să nu fie convenabil să adăugați o altă sarcină echipei de securitate.
Este mult mai convenabil ca o altă echipă cu experiență să facă treaba pentru tine.
Ați parcurs întreg acest ghid pentru a vă da seama cum vă puteți instrui angajații și sunteți gata să începeți să vă protejați organizația prin instruire în domeniul phishing.
Ce acum?
Dacă sunteți inginer de securitate și doriți să începeți să rulați primele campanii de phishing acum, accesați aici pentru a afla mai multe despre un instrument de simulare de phishing pe care îl puteți folosi pentru a începe astăzi.
Sau…
Dacă sunteți interesat să aflați despre serviciile gestionate pentru a desfășura campanii de phishing pentru dvs., aflați mai multe chiar aici despre cum puteți începe perioada de încercare gratuită a instruirii pentru phishing.
Utilizați lista de verificare pentru a identifica e-mailurile neobișnuite și, dacă sunt phishing, raportați-le.
Chiar dacă există filtre de phishing care te pot proteja, nu este 100%.
E-mailurile de phishing evoluează constant și nu sunt niciodată la fel.
La protejați-vă compania din atacurile de phishing la care puteți participa simulări de phishing pentru a reduce șansele de succes ale atacurilor de tip phishing.
Sperăm că ați învățat suficient din acest ghid pentru a vă da seama ce trebuie să faceți în continuare pentru a vă reduce șansele unui atac de phishing asupra afacerii dvs.
Vă rugăm să lăsați un comentariu dacă aveți întrebări pentru noi sau dacă doriți să împărtășiți cunoștințele sau experiența dvs. cu campaniile de phishing.
Nu uitați să împărtășiți acest ghid și să răspândiți vestea!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-mail: info@hailbytes.com
