Deci, ce este phishing-ul?
Phishingul este un tip de infracțiune cibernetică care încearcă să determine victimele să scurgă informații sensibile prin e-mailuri, apeluri și/sau escrocherii prin mesaje text.
Infractorii cibernetici încearcă adesea să folosească ingineria socială pentru a convinge victima să scurgă informații personale, prezentându-se ca o persoană de încredere pentru a face o cerere rezonabilă de informații sensibile.
Există diferite tipuri de phishing?
Pescuit cu sulita
Spear phishing este similar cu phishingul general prin faptul că vizează informații confidențiale, dar spear phishing este mult mai adaptat unei anumite victime. Ei încearcă să extragă cele mai multe informații dintr-o persoană. Atacurile de tip spear phishing încearcă să se adreseze în mod specific țintei și să se deghizeze într-o persoană sau entitate pe care victima ar putea-o cunoaște. Ca rezultat, este nevoie de mult mai mult efort pentru a le face, deoarece necesită găsirea de informații despre țintă. Aceste atacuri de tip phishing vizează de obicei persoanele care pun informații personale pe internet. Din cauza cât de mult efort a fost necesar pentru personalizarea e-mailului, atacurile spear phishing sunt mult mai greu de identificat în comparație cu atacurile obișnuite.
Vânătoare de balene
În comparație cu atacurile de tip spear phishing, atacurile vânătorii de balene sunt drastic mai țintite. Atacuri de vânătoare de balene urmăresc indivizi dintr-o organizație sau companie și uzurpă identitatea pe cineva cu vechime în companie. Obiectivele comune ale vânătorii de balene sunt de a păcăli o țintă să dezvăluie potențial date confidențiale sau să transfere bani. Similar cu phishing-ul obișnuit, prin faptul că atacul este sub formă de e-mail, vânătoarea de balene poate folosi siglele companiei și adrese similare pentru a se deghiza. Întrucât angajații sunt mai puțin probabil să refuze o cerere de la cineva mai sus, aceste atacuri sunt mult mai periculoase.
Phishingul Angler
Angler phishing este un tip relativ nou de atac de phishing și există pe rețelele sociale mass-media. Nu urmează formatul tradițional de e-mail al atacurilor de tip phishing. În schimb, ei se deghizează în servicii pentru clienți ale companiilor și păcălesc oamenii să le trimită informații prin mesaje directe. O altă modalitate este de a conduce oamenii către un site fals de asistență pentru clienți care va descărca programe malware pe dispozitivul victimei.
Cum funcționează un atac de tip phishing?
Atacurile de tip phishing se bazează în întregime pe păcălirea victimelor pentru a oferi informații personale prin diferite metode de inginerie socială.
Infractorul cibernetic va încerca să câștige încrederea victimei prezentându-se ca reprezentant al unei companii de renume.
Drept urmare, victima s-ar simți în siguranță să prezinte criminalului cibernetic informații sensibile, așa cum sunt furate informațiile.
Cum poți identifica un atac de tip phishing?
Majoritatea atacurilor de tip phishing au loc prin e-mailuri, dar există modalități de a le identifica legitimitatea.
- Verificați domeniul de e-mail
Când deschideți un e-mail, verificați dacă provine sau nu dintr-un domeniu public de e-mail (adică @gmail.com). Dacă provine dintr-un domeniu public de e-mail, cel mai probabil este un atac de tip phishing, deoarece organizațiile nu folosesc domenii publice. Mai degrabă, domeniile lor ar fi unice pentru afacerea lor (adică domeniul de e-mail al Google este @google.com). Cu toate acestea, există atacuri de phishing mai complicate care folosesc un domeniu unic. Ar putea fi util să faceți o căutare rapidă a companiei și să verificați legitimitatea acesteia.
- E-mailul are salutare generică
Atacurile de phishing încearcă întotdeauna să se împrietenească cu tine cu un salut plăcut sau cu empatie. De exemplu, în spam-ul meu nu cu mult timp în urmă am găsit un e-mail de phishing cu salutul „Dragă prieten”. Știam deja că este un e-mail de phishing, deoarece în subiect scria „VESTI BUNE DESPRE FONDURILE DVS. 21/06/2020”. Vederea acestor tipuri de salutări ar trebui să fie semnale roșii instantanee dacă nu ați interacționat niciodată cu acel contact.
- Verificați conținutul
Conținutul unui e-mail de phishing este foarte important și veți vedea câteva caracteristici distinctive care alcătuiesc cele mai multe. Dacă conținutul sună absurd sau exagerat, atunci cel mai probabil este o înșelătorie. De exemplu, dacă subiectul spunea „Ați câștigat la loterie 1000000 USD” și nu vă amintiți că ați participat, atunci acesta este un semnal roșu instantaneu. Când conținutul creează un sentiment de urgență precum „depinde de tine” și încearcă să te facă să dai clic pe un link, nu da clic pe link și pur și simplu șterge e-mailul.
- Hyperlinkuri și atașamente
E-mailurile de phishing au întotdeauna atașat un link sau un fișier suspect. Uneori, aceste atașamente pot fi infectate cu programe malware, așa că nu le descărcați decât dacă sunteți absolut sigur că sunt în siguranță. O modalitate bună de a verifica dacă un link are un virus este să utilizați VirusTotal, un site web care verifică fișierele sau linkurile pentru malware.
Cum poți preveni phishing-ul?
Cea mai bună modalitate de a preveni phishing-ul este să vă instruiți pe dumneavoastră și pe angajații dumneavoastră să identifice un atac de phishing.
Vă puteți antrena în mod corespunzător angajații arătând multe exemple de e-mailuri, apeluri și mesaje de tip phishing.
Există, de asemenea, simulări de phishing, în care puteți pune angajații dvs. direct prin cum este un atac de phishing, mai multe despre asta mai jos.
Îmi puteți spune ce este o simulare de phishing?
Simulările de phishing sunt exerciții care îi ajută pe angajați să distingă un e-mail de phishing de orice alt e-mail obișnuit.
Acest lucru ar permite angajaților să recunoască potențialele amenințări de a păstra informațiile companiei în siguranță.
Care sunt beneficiile atacurilor simulate de phishing?
Simularea atacurilor de tip phishing poate fi foarte benefică în observarea modului în care angajații și compania ar reacționa dacă ar fi trimis conținut rău intenționat.
De asemenea, le va oferi o experiență de primă mână despre cum arată un e-mail, un mesaj sau un apel de phishing, astfel încât să poată identifica atacurile reale atunci când apar.
