Čo je to teda phishing?
Phishing je typ počítačovej kriminality, ktorá sa pokúša prinútiť obete k úniku citlivých informácií prostredníctvom e-mailu, hovoru a/alebo podvodných textových správ.
Kyberzločinci sa často pokúšajú použiť sociálne inžinierstvo, aby presvedčili obeť, aby unikla osobné informácie tým, že sa prezentujú ako dôveryhodná osoba s cieľom podať primeranú žiadosť o citlivé informácie.
Existujú rôzne typy phishingu?
Spear Phishing
Spear phishing je podobný všeobecnému phishingu v tom, že sa zameriava na dôverné informácie, ale spear phishing je oveľa viac prispôsobený konkrétnej obeti. Snažia sa z človeka vydolovať čo najviac informácií. Spear phishingové útoky sa snažia špecificky osloviť cieľ a zamaskovať sa za osobu alebo entitu, ktorú by obeť mohla poznať. Výsledkom je, že ich vytvorenie si vyžaduje oveľa viac úsilia, pretože si vyžaduje hľadanie informácií o cieli. Tieto phishingové útoky sa zvyčajne zameriavajú na ľudí, ktorí umiestňujú osobné informácie na internet. Vzhľadom na to, koľko úsilia bolo potrebné na prispôsobenie e-mailu, je v porovnaní s bežnými útokmi oveľa ťažšie identifikovať útoky typu spear phishing.
lovu veľrýb
V porovnaní s útokmi typu spear phishing sú útoky na lov veľrýb výrazne cielenejšie. Útoky veľrýb idú po jednotlivcoch v organizácii alebo spoločnosti a vydávajú sa za niekoho s vyšším postavením v spoločnosti. Spoločným cieľom lovu veľrýb je oklamať cieľ, aby potenciálne odhalil dôverné údaje alebo previedol peniaze. Podobne ako pri bežnom phishingu v tom, že útok je vo forme e-mailu, lov veľrýb môže na zamaskovanie použiť firemné logá a podobné adresy. Keďže je menej pravdepodobné, že zamestnanci odmietnu žiadosť niekoho vyššieho, tieto útoky sú oveľa nebezpečnejšie.
Rybársky phishing
Rybársky phishing je relatívne nový typ phishingového útoku a existuje na sociálnych sieťach médiá. Neriadia sa tradičným e-mailovým formátom phishingových útokov. Namiesto toho sa maskujú za zákaznícke služby spoločností a oklamú ľudí, aby im posielali informácie prostredníctvom priamych správ. Ďalším spôsobom je naviesť ľudí na falošnú webovú stránku zákazníckej podpory, ktorá stiahne malvér do zariadenia obete.
Ako funguje phishingový útok?
Phishingové útoky sa spoliehajú výlučne na oklamanie obetí, aby poskytli osobné informácie prostredníctvom rôznych metód sociálneho inžinierstva.
Kyberzločinec sa pokúsi získať dôveru obete tým, že sa predstaví ako zástupca renomovanej spoločnosti.
Výsledkom je, že obeť sa bude cítiť bezpečne, ak poskytne kyberzločincovi citlivé informácie, čo je spôsob, akým sa informácie kradnú.
Ako môžete identifikovať phishingový útok?
Väčšina phishingových útokov sa vyskytuje prostredníctvom e-mailov, existujú však spôsoby, ako identifikovať ich legitimitu.
- Skontrolujte e-mailovú doménu
Keď otvoríte e-mail, skontrolujte, či nie je z verejnej e-mailovej domény (napr. @gmail.com). Ak pochádza z verejnej e-mailovej domény, s najväčšou pravdepodobnosťou ide o phishingový útok, keďže organizácie nepoužívajú verejné domény. Ich domény by boli skôr jedinečné pre ich podnikanie (t. j. e-mailová doména Google je @google.com). Existujú však aj zložitejšie phishingové útoky, ktoré využívajú jedinečnú doménu. Mohlo by byť užitočné rýchlo vyhľadať spoločnosť a skontrolovať jej legitimitu.
- E-mail má všeobecný pozdrav
Phishingové útoky sa vás vždy pokúšajú spriateliť pekným pozdravom alebo empatiou. Napríklad, nedávno som vo svojom spame našiel phishingový e-mail s pozdravom „Drahý priateľ“. Už som vedel, že ide o phishingový e-mail, keďže v predmete bolo uvedené „DOBRÉ SPRÁVY O VAŠICH FONDOCH 21/06/2020“. Vidieť tieto typy pozdravov by malo byť okamžitým varovaním, ak ste s týmto kontaktom nikdy nekomunikovali.
- Skontrolujte obsah
Obsah phishingového e-mailu je veľmi dôležitý a uvidíte niektoré charakteristické črty, ktoré tvoria väčšinu. Ak obsah znie absurdne alebo prehnane, s najväčšou pravdepodobnosťou ide o podvod. Napríklad, ak je v riadku predmetu „Vyhrali ste v lotérii 1000000 XNUMX XNUMX $“ a vy si nepamätáte, že ste sa zúčastnili, je to okamžitá červená vlajka. Keď obsah vytvára pocit naliehavosti ako „záleží na vás“ a snaží sa vás prinútiť kliknúť na odkaz, neklikajte na odkaz a jednoducho odstráňte e-mail.
- Hypertextové odkazy a prílohy
Phishingové e-maily majú vždy priložený podozrivý odkaz alebo súbor. Niekedy môžu byť tieto prílohy infikované škodlivým softvérom, takže ich nesťahujte, pokiaľ si nie ste úplne istí, že sú bezpečné. Dobrý spôsob, ako skontrolovať, či odkaz obsahuje vírus, je použiť VirusTotal, web, ktorý kontroluje súbory alebo odkazy na prítomnosť škodlivého softvéru.
Ako môžete zabrániť phishingu?
Najlepším spôsobom, ako zabrániť phishingu, je vycvičiť seba a svojich zamestnancov, aby identifikovali phishingový útok.
Svojich zamestnancov môžete správne vyškoliť tým, že im ukážete množstvo príkladov phishingových e-mailov, hovorov a správ.
K dispozícii sú aj simulácie phishingu, kde môžete svojim zamestnancom na vlastnej koži vyskúšať, ako vyzerá phishingový útok, o tom viac nižšie.
Môžete mi povedať, čo je simulácia phishingu?
Simulácie phishingu sú cvičenia, ktoré pomáhajú zamestnancom rozlíšiť phishingový e-mail od akéhokoľvek iného bežného e-mailu.
To by zamestnancom umožnilo rozpoznať potenciálne hrozby, aby boli informácie ich spoločnosti v bezpečí.
Aké sú výhody simulačných phishingových útokov?
Simulácia phishingových útokov môže byť veľmi užitočná pri pozorovaní toho, ako by vaši zamestnanci a spoločnosť reagovali, keby bol odoslaný skutočný škodlivý obsah.
Poskytne im tiež priamu skúsenosť s tým, ako vyzerá phishingový e-mail, správa alebo hovor, aby mohli identifikovať skutočné útoky, keď prídu.
