Menu
Najlepší sprievodca pre pochopenie phishingu v roku 2023
Takže, čo je Phishing?
Phishing je forma sociálneho inžinierstva, ktorá klame ľudí, aby prezradili svoje heslá alebo cennosti informácie. Phishingové útoky môžu byť vo forme e-mailov, textových správ a telefonátov.
Tieto útoky zvyčajne predstavujú populárne služby a spoločnosti, ktoré ľudia ľahko rozpoznajú.
Keď používatelia kliknú na phishingový odkaz v tele e-mailu, budú presmerovaní na podobnú verziu lokality, ktorej dôverujú. V tomto bode podvodu typu phishing sú požiadaní o svoje prihlasovacie údaje. Po zadaní svojich informácií na falošnej webovej stránke má útočník všetko, čo potrebuje na prístup k svojmu skutočnému účtu.
Phishingové útoky môžu viesť k odcudzeniu osobných údajov, finančných informácií alebo zdravotných informácií. Keď útočník získa prístup k jednému účtu, prístup k účtu buď predá, alebo tieto informácie použije na hacknutie iných účtov obete.
Po predaji účtu si niekto, kto vie, ako z účtu profitovať, kúpi poverenia účtu z temného webu a zarobí na ukradnutých údajoch.
Tu je vizualizácia, ktorá vám pomôže pochopiť kroky pri phishingovom útoku:
Phishingové útoky prichádzajú v rôznych formách. Phishing môže fungovať z telefónneho hovoru, textovej správy, e-mailu alebo správy zo sociálnych médií.
Všeobecné phishingové e-maily sú najbežnejším typom phishingového útoku. Takéto útoky sú bežné, pretože si vyžadujú najmenšie množstvo úsilia.
Hackeri zoberú zoznam e-mailových adries spojených s účtami Paypal alebo sociálnych médií a pošlú a hromadné e-maily potenciálnym obetiam.
Keď obeť klikne na odkaz v e-maile, často ju presmeruje na falošnú verziu obľúbenej webovej stránky a požiada ju, aby sa prihlásila pomocou informácií o svojom účte. Hneď po odoslaní informácií o svojom účte má hacker všetko, čo potrebuje na prístup k svojmu účtu.
V istom zmysle je tento typ phishingu ako vyhadzovanie siete do kŕdľa rýb; keďže iné formy phishingu sú cielenejšie.
Spear phishing je kedy útočník cieli na konkrétnu osobu namiesto odoslania všeobecného e-mailu skupine ľudí.
Spear phishingové útoky sa snažia konkrétne osloviť cieľ a prezliecť sa za osobu, ktorú obeť môže poznať.
Tieto útoky sú pre podvodníka jednoduchšie, ak máte na internete osobné údaje. Útočník je schopný preskúmať vás a vašu sieť, aby vytvoril správu, ktorá je relevantná a presvedčivá.
Kvôli veľkému množstvu personalizácie je oveľa ťažšie identifikovať phishingové útoky v porovnaní s bežnými phishingovými útokmi.
Sú tiež menej bežné, pretože zločincom trvá dlhšie, kým ich úspešne vytiahnu.
Otázka: Aká je miera úspešnosti spearphishingového e-mailu?
Odpoveď: Spearphishingové e-maily majú priemernú mieru otvorenia e-mailov 70% a 50% príjemcov kliknite na odkaz v e-maile.
V porovnaní s útokmi typu spear phishing sú útoky na lov veľrýb výrazne cielenejšie.
Útoky veľrýb idú po jednotlivcoch v organizácii, ako je generálny riaditeľ alebo finančný riaditeľ spoločnosti.
Jedným z najbežnejších cieľov útokov na lov veľrýb je zmanipulovať obeť, aby útočníkovi poslala veľké sumy peňazí.
Podobne ako pri bežnom phishingu v tom, že útok je vo forme e-mailu, lov veľrýb môže na zamaskovanie použiť firemné logá a podobné adresy.
V niektorých prípadoch sa útočník vydáva za generálneho riaditeľa a použiť túto osobu na presvedčenie iného zamestnanca, aby odhalil finančné údaje alebo previedol peniaze na účet útočníkov.
Keďže zamestnanci s menšou pravdepodobnosťou odmietnu žiadosť od niekoho vyššieho, tieto útoky sú oveľa zákernejšie.
Útočníci často strávia viac času prípravou veľrybárskeho útoku, pretože majú tendenciu sa lepšie vyplácať.
Názov „lov veľrýb“ odkazuje na skutočnosť, že ciele majú väčšiu finančnú silu (CEO's).
Rybársky phishing je relatívne nový typ phishingového útoku a existuje na sociálnych médiách.
Neriadia sa tradičným e-mailovým formátom phishingových útokov.
Namiesto toho sa prezliekajú za zástupcov služieb zákazníkom spoločností a oklamú ľudí, aby im posielali informácie prostredníctvom priamych správ.
Bežným podvodom je posielanie ľudí na falošnú webovú stránku zákazníckej podpory, ktorá stiahne malvér alebo inými slovami ransomware do zariadenia obete.
Vishing útok je, keď vám zavolá podvodník pokúsiť sa od vás získať osobné údaje.
Podvodníci sa zvyčajne vydávajú za renomovanú firmu alebo organizáciu, ako je Microsoft, IRS alebo dokonca vaša banka.
Používajú taktiku strachu, aby vás prinútili odhaliť dôležité údaje o účte.
To im umožňuje priamy alebo nepriamy prístup k vašim dôležitým účtom.
Vishingové útoky sú zložité.
Útočníci sa môžu ľahko vydávať za ľudí, ktorým dôverujete.
Pozrite si, ako zakladateľ spoločnosti Hailbytes David McHale hovorí o tom, ako s budúcou technológiou zmiznú robotické hovory.
Väčšina phishingových útokov sa vyskytuje prostredníctvom e-mailov, existujú však spôsoby, ako identifikovať ich legitimitu.
Keď otvoríte e-mail skontrolujte, či je alebo nie je z verejnej e-mailovej domény (napr. @gmail.com).
Ak pochádza z verejnej e-mailovej domény, s najväčšou pravdepodobnosťou ide o phishingový útok, keďže organizácie nepoužívajú verejné domény.
Ich domény by boli skôr jedinečné pre ich podnikanie (t. j. e-mailová doména Google je @google.com).
Existujú však aj zložitejšie phishingové útoky, ktoré využívajú jedinečnú doménu.
Je užitočné rýchlo vyhľadať firmu a skontrolovať jej legitimitu.
Phishingové útoky sa vás vždy pokúšajú spriateliť pekným pozdravom alebo empatiou.
Napríklad, nedávno som vo svojom spame našiel phishingový e-mail s pozdravom „Drahý priateľ“.
Už som vedel, že ide o phishingový e-mail, keďže v predmete bolo uvedené „DOBRÉ SPRÁVY O VAŠICH FONDOCH 21/06/2020“.
Vidieť tieto typy pozdravov by malo byť okamžitým varovaním, ak ste s týmto kontaktom nikdy nekomunikovali.
Obsah phishingového e-mailu je veľmi dôležitý a uvidíte niektoré charakteristické črty, ktoré tvoria väčšinu.
Ak obsah znie absurdne, s najväčšou pravdepodobnosťou ide o podvod.
Ak je napríklad v riadku predmetu: „Vyhrali ste v lotérii 1000000 XNUMX XNUMX $“ a vy si nepamätáte, že ste sa zúčastnili, je to červená vlajka.
Keď obsah vytvára pocit naliehavosti, ako napríklad „záleží na vás“ a vedie ku kliknutiu na podozrivý odkaz, s najväčšou pravdepodobnosťou ide o podvod.
Phishingové e-maily majú vždy priložený podozrivý odkaz alebo súbor.
Dobrým spôsobom, ako skontrolovať, či odkaz obsahuje vírus, je použiť VirusTotal, webovú stránku, ktorá kontroluje súbory alebo odkazy na prítomnosť škodlivého softvéru.
Príklad phishingového e-mailu:
V príklade Google poukazuje na to, že e-mail môže byť potenciálne nebezpečný.
Uvedomuje si, že jeho obsah sa zhoduje s inými podobnými phishingovými e-mailami.
Ak e-mail spĺňa väčšinu z vyššie uvedených kritérií, odporúča sa ho nahlásiť na adresu reportphishing@apwg.org alebo phishing-report@us-cert.gov, aby bol zablokovaný.
Ak používate Gmail, existuje možnosť nahlásiť e-mail ako phishing.
Aj keď sú phishingové útoky zamerané na náhodných používateľov, často sa zameriavajú na zamestnancov spoločnosti.
Útočníkom však nejde vždy o peniaze spoločnosti, ale o jej dáta.
Z obchodného hľadiska sú údaje oveľa cennejšie ako peniaze a môžu vážne ovplyvniť spoločnosť.
Útočníci môžu použiť uniknuté údaje na ovplyvnenie verejnosti tým, že ovplyvnia dôveru spotrebiteľov a pošpinia meno spoločnosti.
Ale to nie sú jediné dôsledky, ktoré z toho môžu vyplynúť.
Medzi ďalšie dôsledky patrí negatívny vplyv na dôveru investorov, narušenie podnikania a podnecovanie regulačných pokút podľa všeobecného nariadenia o ochrane údajov (GDPR).
Ak chcete znížiť počet úspešných phishingových útokov, odporúča sa zaškoliť svojich zamestnancov na riešenie tohto problému.
Spôsoby, ako vyškoliť zamestnancov, sú vo všeobecnosti ukázať im príklady phishingových e-mailov a spôsoby, ako ich rozpoznať.
Ďalším dobrým spôsobom, ako ukázať zamestnancom phishing, je simulácia.
Simulácie phishingu sú v podstate falošné útoky navrhnuté tak, aby pomohli zamestnancom rozpoznať phishing z prvej ruky bez akýchkoľvek negatívnych účinkov.
Teraz sa podelíme o kroky, ktoré musíte podniknúť na spustenie úspešnej phishingovej kampane.
Phishing zostáva hlavnou bezpečnostnou hrozbou podľa správy WIPRO o stave kybernetickej bezpečnosti z roku 2020.
Jedným z najlepších spôsobov, ako zbierať údaje a vzdelávať zamestnancov, je spustiť internú phishingovú kampaň.
Vytvorenie phishingového e-mailu pomocou phishingovej platformy môže byť dosť jednoduché, ale je toho oveľa viac, než len stlačiť odoslať.
Budeme diskutovať o tom, ako zvládnuť testy phishingu s internou komunikáciou.
Potom si prejdeme, ako analyzujete a používate údaje, ktoré zhromažďujete.
Phishingová kampaň nie je o potrestaní ľudí, ak naletia na podvod. Simulácia phishingu je o učení zamestnancov, ako odpovedať na phishingové e-maily. Chcete sa uistiť, že robíte školenia o phishingu vo vašej spoločnosti transparentné. Uprednostnite informovanie vedúcich spoločností o vašej phishingovej kampani a popíšte ciele kampane.
Po odoslaní prvého základného testu phishingového e-mailu môžete urobiť celofiremné oznámenie všetkým zamestnancom.
Dôležitým aspektom internej komunikácie je udržiavať konzistentnosť správy. Ak robíte svoje vlastné phishingové testy, potom je dobré vymyslieť pre svoj školiaci materiál vymyslenú značku.
Vymyslením názvu svojho programu pomôžete zamestnancom rozpoznať váš vzdelávací obsah v ich doručenej pošte.
Ak používate spravovanú službu testovania phishingu, bude to pravdepodobne pokryté. Vzdelávací obsah by mal byť vytvorený v predstihu, aby ste po kampani mohli okamžite sledovať.
Po základnom teste poskytnite svojim zamestnancom pokyny a informácie o vašom internom e-mailovom protokole na neoprávnené získavanie údajov.
Chcete dať svojim spolupracovníkom príležitosť správne reagovať na školenie.
Vidieť počet ľudí, ktorí správne rozpoznali a nahlásili e-mail, je dôležitá informácia, ktorú môžete získať z testu phishingu.
Čo by malo byť pre vašu kampaň najvyššou prioritou?
Angažovanosť.
Môžete sa pokúsiť založiť svoje výsledky na počte úspechov a neúspechov, ale tieto čísla vám nemusia nevyhnutne pomôcť s vaším cieľom.
Ak spustíte simuláciu testu phishingu a nikto neklikne na odkaz, znamená to, že váš test bol úspešný?
Krátka odpoveď je „nie“.
Mať 100% úspešnosť neznamená úspech.
Môže to znamenať, že váš phishingový test bol jednoducho príliš ľahko rozpoznateľný.
Na druhej strane, ak pri teste phishingu dosiahnete obrovskú mieru zlyhania, môže to znamenať niečo úplne iné.
Môže to znamenať, že vaši zamestnanci ešte nedokážu rozpoznať phishingové útoky.
Keď pre svoju kampaň získate vysokú mieru kliknutí, existuje veľká šanca, že budete musieť znížiť náročnosť svojich phishingových e-mailov.
Venujte viac času školeniu ľudí na ich súčasnej úrovni.
V konečnom dôsledku chcete znížiť mieru kliknutí na phishingové odkazy.
Možno sa pýtate, aká je dobrá alebo zlá miera kliknutí pri simulácii phishingu.
Podľa sans.org váš prvá simulácia phishingu môže priniesť priemernú mieru kliknutí 25 – 30 %.
To sa zdá byť naozaj vysoké číslo.
Našťastie to oznámili po 9-18 mesiacoch tréningu phishingu bola miera kliknutí na test phishingu pod 5 %.
Tieto čísla môžu pomôcť ako približný odhad požadovaných výsledkov školenia o phishingu.
Ak chcete spustiť svoju prvú simuláciu phishingového e-mailu, nezabudnite uviesť IP adresu testovacieho nástroja na bielu listinu.
Tým sa zabezpečí, že zamestnanci dostanú e-mail.
Keď vytvárate svoj prvý simulovaný phishingový e-mail, nerobte to príliš jednoduchým alebo príliš ťažkým.
Mali by ste pamätať aj na svoje publikum.
Ak vaši spolupracovníci nie sú silnými používateľmi sociálnych médií, potom by pravdepodobne nebolo dobré použiť falošný phishingový e-mail na obnovenie hesla LinkedIn. E-mail testera musí byť dostatočne široký, aby naň mal dôvod kliknúť každý vo vašej spoločnosti.
Niektoré príklady phishingových e-mailov so širokou príťažlivosťou môžu byť:
Len si spomeňte na psychológiu toho, ako bude správa prijatá vaším publikom pred stlačením tlačidla Odoslať.
Pokračujte v odosielaní e-mailov s tréningom phishingu svojim zamestnancom. Uistite sa, že v priebehu času pomaly zvyšujete obtiažnosť, aby ste zvýšili úroveň zručností ľudí.
Odporúča sa odosielať e-maily mesačne. Ak svoju organizáciu „phishing“ príliš často vykonávate, je pravdepodobné, že sa toho chytí príliš rýchlo.
Najlepšou cestou, ako dosiahnuť realistickejšie výsledky, je trocha nepozorných zamestnancov.
Ak zakaždým posielate rovnaký typ „phishingových“ e-mailov, svojich zamestnancov nenaučíte, ako reagovať na rôzne podvody.
Môžete vyskúšať niekoľko rôznych uhlov vrátane:
Pri odosielaní nových kampaní sa vždy uistite, že dolaďujete relevantnosť správy pre vaše publikum.
Ak pošlete phishingový e-mail, ktorý nesúvisí s niečím, čo vás zaujíma, možno nedostanete z vašej kampane veľkú odpoveď.
Po odoslaní rôznych kampaní svojim zamestnancom obnovte niektoré zo starých kampaní, ktoré ľudí oklamali prvýkrát, a urobte s touto kampaňou nový záber.
Efektívnosť vášho tréningu budete vedieť povedať, ak uvidíte, že ľudia sa buď učia a zlepšujú.
Odtiaľ budete vedieť povedať, či potrebujú ďalšie vzdelanie o tom, ako rozpoznať určitý typ phishingového e-mailu.
Existujú 3 faktory, ktoré určujú, či sa chystáte vytvoriť svoj vlastný phishingový tréningový program alebo outsourcovať program.
Ak ste bezpečnostný inžinier alebo ho máte vo svojej spoločnosti, môžete jednoducho vytvoriť phishingový server pomocou už existujúcej phishingovej platformy na vytvorenie svojich kampaní.
Ak nemáte žiadnych bezpečnostných inžinierov, vytvorenie vlastného phishingového programu možno neprichádza do úvahy.
Vo svojej organizácii môžete mať bezpečnostného inžiniera, ktorý však nemusí mať skúsenosti s testami sociálneho inžinierstva alebo phishingu.
Ak máte niekoho skúseného, potom by bol dostatočne spoľahlivý na to, aby vytvoril svoj vlastný phishingový program.
Toto je skutočne veľký faktor pre malé až stredne veľké spoločnosti.
Ak je váš tím malý, nemusí byť vhodné pridať do bezpečnostného tímu ďalšiu úlohu.
Je oveľa pohodlnejšie, aby prácu za vás urobil iný skúsený tím.
Prešli ste si celú túto príručku, aby ste zistili, ako môžete vyškoliť svojich zamestnancov, a ste pripravení začať chrániť svoju organizáciu prostredníctvom školení o phishingu.
Čo teraz?
Ak ste bezpečnostný inžinier a chcete spustiť svoje prvé phishingové kampane už teraz, tu sa dozviete viac o nástroji na simuláciu phishingu, ktorý môžete použiť, aby ste mohli začať už dnes.
Alebo…
Ak máte záujem dozvedieť sa o spravovaných službách na spúšťanie phishingových kampaní za vás, tu sa dozviete viac o tom, ako môžete začať svoju bezplatnú skúšobnú verziu školenia o phishingu.
Pomocou kontrolného zoznamu identifikujte neobvyklé e-maily a ak ide o phishing, nahláste ich.
Aj keď existujú phishingové filtre, ktoré vás môžu ochrániť, nie je to 100 %.
Phishingové e-maily sa neustále vyvíjajú a nikdy nie sú rovnaké.
na chrániť svoju spoločnosť z phishingových útokov, na ktorých sa môžete podieľať simulácie phishingu znížiť šance na úspešné phishingové útoky.
Dúfame, že ste sa z tohto sprievodcu dostatočne poučili, aby ste zistili, čo musíte urobiť, aby ste znížili svoje šance na phishingový útok na vašu firmu.
Zanechajte komentár, ak na nás máte nejaké otázky alebo ak sa chcete podeliť o svoje znalosti alebo skúsenosti s phishingovými kampaňami.
Nezabudnite tento návod zdieľať a šíriť ďalej!
Hailbajty
9511 Queens Guard Ct.
Laurel, MD 20723
Telefón: (732) 771-9995
E-mail: info@hailbytes.com
