Meni
Ultimativni vodič za razumijevanje phishinga u 2023
Pa, šta je phishing?
Phishing je oblik društvenog inženjeringa koji vara ljude da otkriju svoje lozinke ili vrijedne stvari informacija. Napadi krađe identiteta mogu biti u obliku e-pošte, tekstualnih poruka i telefonskih poziva.
Obično se ovi napadi predstavljaju kao popularne usluge i kompanije koje ljudi lako prepoznaju.
Kada korisnici kliknu na phishing vezu u tijelu e-poruke, šalju se na sličnu verziju stranice kojoj vjeruju. Od njih se traže njihove vjerodajnice za prijavu u ovom trenutku u phishing prijevari. Nakon što unesu svoje podatke na lažnu web stranicu, napadač ima ono što mu je potrebno za pristup njihovom pravom računu.
Napadi krađe identiteta mogu dovesti do ukradenih ličnih podataka, finansijskih ili zdravstvenih informacija. Kada napadač dobije pristup jednom nalogu, on ili prodaje pristup nalogu ili koristi te informacije da hakuje druge naloge žrtve.
Jednom kada se račun proda, neko ko zna kako da profitira od računa će kupiti akreditive računa sa dark weba i kapitalizirati ukradene podatke.
Evo vizualizacije koja će vam pomoći da shvatite korake u phishing napadu:
Phishing napadi dolaze u različitim oblicima. Krađa identiteta može funkcionirati putem telefonskog poziva, tekstualne poruke, e-pošte ili poruke na društvenim mrežama.
Generičke phishing e-poruke su najčešći tip phishing napada. Ovakvi napadi su uobičajeni jer zahtijevaju najmanje napora.
Hakeri uzimaju listu adresa e-pošte povezanih s Paypal ili nalozima društvenih medija i šalju masovno slanje e-pošte potencijalnim žrtvama.
Kada žrtva klikne na vezu u e-poruci, često je odvede na lažnu verziju popularne web stranice i traži od nje da se prijavi sa svojim podacima o računu. Čim pošalju podatke o svom nalogu, haker ima sve što mu je potrebno za pristup svom nalogu.
U određenom smislu, ova vrsta phishinga je poput bacanja mreže u jato riba; dok su drugi oblici phishinga više ciljani napori.
Spear phishing je kada napadač cilja određenu osobu umjesto da šaljete generičku e-poštu grupi ljudi.
Spear phishing napadi pokušavaju da se konkretno obrate meti i prikriju se u osobu koju žrtva možda poznaje.
Ovi napadi su lakši za prevaranta ako imate lične podatke na internetu. Napadač je u mogućnosti da istraži vas i vašu mrežu kako bi napravio poruku koja je relevantna i uvjerljiva.
Zbog velike količine personalizacije, spear phishing napade je mnogo teže prepoznati u poređenju sa redovnim phishing napadima.
Oni su također manje uobičajeni, jer im je potrebno više vremena da ih kriminalci uspješno izvuku.
Pitanje: Koja je stopa uspješnosti spearphishing e-pošte?
Odgovor: Spearphishing e-poruke imaju prosječnu stopu otvaranja e-pošte od 70% i 50% primalaca kliknite na link u e-poruci.
U poređenju sa phishing napadima, napadi lova na kitove drastično su ciljaniji.
Napadi lova na kitove idu na pojedince u organizaciji kao što su izvršni direktor ili glavni finansijski direktor kompanije.
Jedan od najčešćih ciljeva kitolovskih napada je manipulirati žrtvom tako da napadaču pošalje velike sume novca.
Slično kao kod običnog phishinga po tome što je napad u obliku e-pošte, kitolov može koristiti logotipe kompanije i slične adrese da se prikrije.
U nekim slučajevima, napadač će se oponašati kao izvršni direktor i iskoristite tu osobu da ubijedite drugog zaposlenika da otkrije finansijske podatke ili prebaci novac na račun napadača.
Budući da je manje vjerovatno da će zaposleni odbiti zahtjev nekoga višeg, ovi napadi su mnogo lukaviji.
Napadači će često provoditi više vremena u izradi napada na kitolov jer se obično bolje isplate.
Naziv “kitolov” se odnosi na činjenicu da mete imaju veću finansijsku moć (CEO).
Ribolov phishing je relativno nova vrsta phishing napada i postoji na društvenim mrežama.
Oni ne slijede tradicionalni format e-pošte phishing napada.
Umjesto toga, oni se prerušavaju u predstavnike službi za korisnike kompanija i prevare ljude da im pošalju informacije putem direktnih poruka.
Uobičajena prevara je slanje ljudi na lažnu web stranicu korisničke podrške koja će preuzeti zlonamjerni softver ili drugim riječima ransomware na uređaj žrtve.
Vishing napad je kada vas prevarant pozove da pokušamo od vas prikupiti lične podatke.
Prevaranti se obično pretvaraju da su ugledna firma ili organizacija kao što su Microsoft, Porezna uprava ili čak vaša banka.
Oni koriste taktiku straha kako bi vas naveli da otkrijete važne podatke o računu.
To im omogućava direktan ili indirektan pristup vašim važnim nalozima.
Vishing napadi su lukavi.
Napadači mogu lako lažno predstavljati ljude kojima vjerujete.
Pogledajte kako osnivač Hailbytes-a David McHale govori o tome kako će robotski pozivi nestati s budućom tehnologijom.
Većina phishing napada događa se putem e-pošte, ali postoje načini da se utvrdi njihov legitimitet.
Kada otvorite email provjerite da li je sa javne domene e-pošte (tj. @gmail.com).
Ako je s javne domene e-pošte, najvjerovatnije je riječ o phishing napadu jer organizacije ne koriste javne domene.
Umjesto toga, njihove domene bi bile jedinstvene za njihovo poslovanje (tj. Googleova domena e-pošte je @google.com).
Međutim, postoje složeniji phishing napadi koji koriste jedinstvenu domenu.
Korisno je brzo pretražiti kompaniju i provjeriti njenu legitimnost.
Napadi phishinga uvijek pokušavaju da vas sprijatelje lijepim pozdravom ili empatijom.
Na primjer, ne tako davno sam u svojoj neželjenoj pošti pronašao phishing email sa pozdravom „Dragi prijatelju“.
Već sam znao da je ovo phishing email jer je u naslovu pisalo: „DOBRE VIJESTI O VAŠIM SREDSTVIMA 21.“.
Videti takve vrste pozdrava trebalo bi da vas odmah opomene ako nikada niste stupili u interakciju s tim kontaktom.
Sadržaj phishing e-pošte je vrlo važan i vidjet ćete neke karakteristične karakteristike koje čine većinu.
Ako sadržaj zvuči apsurdno, onda je najvjerovatnije riječ o prevari.
Na primjer, ako je u naslovnoj liniji pisalo: “Osvojili ste na lutriji 1000000 dolara” i ne sjećate se da ste učestvovali, onda je to crvena zastavica.
Kada sadržaj stvara osjećaj hitnosti poput „zavisi od vas“ i dovede do klikanja na sumnjivu vezu, onda je najvjerovatnije riječ o prevari.
Phishing e-poruke uvijek imaju priloženu sumnjivu vezu ili datoteku.
Dobar način da provjerite ima li link virus je korištenje VirusTotal, web stranice koja provjerava datoteke ili veze na zlonamjerni softver.
Primjer phishing e-pošte:
U primjeru, Google ističe da email može biti potencijalno opasan.
Prepoznaje da se njegov sadržaj podudara s drugim sličnim phishing porukama e-pošte.
Ako e-mail ispunjava većinu gore navedenih kriterija, preporučuje se da ga prijavite na reportphishing@apwg.org ili phishing-report@us-cert.gov kako bi bio blokiran.
Ako koristite Gmail, postoji opcija da prijavite e-poštu za phishing.
Iako su phishing napadi usmjereni na slučajne korisnike, oni često ciljaju zaposlenike kompanije.
Međutim, napadači ne traže uvijek novac kompanije već njene podatke.
U poslovnom smislu, podaci su mnogo vredniji od novca i mogu ozbiljno uticati na kompaniju.
Napadači mogu koristiti procurele podatke kako bi utjecali na javnost tako što će utjecati na povjerenje potrošača i ocrniti ime kompanije.
Ali to nisu jedine posljedice koje mogu proizaći iz toga.
Ostale posljedice uključuju negativan utjecaj na povjerenje investitora, ometanje poslovanja i podsticanje regulatornih kazni prema Općoj uredbi o zaštiti podataka (GDPR).
Preporuča se obuka vaših zaposlenika za rješavanje ovog problema kako biste smanjili uspješne napade phishing-a.
Načini za obuku zaposlenih općenito su da im pokažete primjere phishing e-poruka i načine da ih uočite.
Još jedan dobar način da se zaposlenima pokaže phishing je simulacija.
Simulacije phishinga su u osnovi lažni napadi dizajnirani da pomognu zaposlenima da prepoznaju phishing iz prve ruke bez ikakvih negativnih posljedica.
Sada ćemo podijeliti korake koje trebate poduzeti da pokrenete uspješnu phishing kampanju.
Phishing ostaje najveća sigurnosna prijetnja prema WIPRO-ovom izvještaju o stanju kibernetičke sigurnosti za 2020.
Jedan od najboljih načina za prikupljanje podataka i edukaciju zaposlenih je pokretanje interne phishing kampanje.
Može biti dovoljno lako kreirati phishing e-poruku s platformom za phishing, ali tu je mnogo više od pritiska na pošalji.
Razgovarat ćemo o tome kako se nositi s phishing testovima s internom komunikacijom.
Zatim ćemo razmotriti kako analizirate i koristite podatke koje prikupljate.
Kampanja za krađu identiteta nije kažnjavanje ljudi ako nasjednu na prevaru. Simulacija phishinga je podučavanje zaposlenika kako da odgovore na phishing e-poruke. Želite da budete sigurni da ste transparentni u vezi sa obukom o krađi identiteta u vašoj kompaniji. Dajte prioritet informiranju čelnika kompanija o vašoj phishing kampanji i opišite ciljeve kampanje.
Nakon što pošaljete svoj prvi osnovni test phishing e-pošte, možete dati najavu za cijelu kompaniju svim zaposlenima.
Važan aspekt interne komunikacije je da poruka bude dosljedna. Ako radite svoje vlastite testove za krađu identiteta, onda je dobra ideja da smislite napravljeni brend za svoj materijal za obuku.
Osmišljavanje naziva za svoj program pomoći će zaposlenima da prepoznaju vaš obrazovni sadržaj u svom sandučetu.
Ako koristite uslugu testiranja upravljane krađe identiteta, vjerovatno će to imati pokriveno. Obrazovne sadržaje treba izraditi unaprijed kako biste mogli imati neposredan nastavak nakon kampanje.
Dajte svojim zaposlenicima upute i informacije o svom internom phishing email protokolu nakon osnovnog testa.
Želite da svojim saradnicima pružite priliku da pravilno odgovore na obuku.
Vidjeti broj ljudi koji su ispravno uočili i prijavili e-poštu važna je informacija koju možete dobiti od phishing testa.
Šta bi trebao biti vaš glavni prioritet za vašu kampanju?
Angažman.
Možete pokušati bazirati svoje rezultate na broju uspjeha i neuspjeha, ali ti brojevi ne moraju nužno pomoći u vašoj svrsi.
Ako pokrenete simulaciju phishing testa i niko ne klikne na vezu, znači li to da je vaš test bio uspješan?
Kratak odgovor je “ne”.
Stopa uspješnosti od 100% ne znači uspjeh.
To može značiti da je vaš phishing test jednostavno previše lako uočiti.
S druge strane, ako dobijete ogromnu stopu neuspjeha s vašim phishing testom, to bi moglo značiti nešto sasvim drugo.
To bi moglo značiti da vaši zaposleni još ne mogu uočiti phishing napade.
Kada dobijete visoku stopu klikova za svoju kampanju, postoji velika šansa da trebate smanjiti poteškoću svojih phishing e-poruka.
Odvojite više vremena da obučite ljude na njihovom trenutnom nivou.
Na kraju želite smanjiti stopu klikova na phishing linkove.
Možda se pitate koja je dobra ili loša stopa klikova sa simulacijom krađe identiteta.
Prema sans.org, vaš prva phishing simulacija može dati prosječnu stopu klikova od 25-30%.
Čini se da je to zaista visok broj.
Srećom, oni su to prijavili nakon 9-18 mjeseci obuke za phishing, stopa klikova za phishing test je bila ispod 5%.
Ovi brojevi mogu vam pomoći kao gruba procjena vaših željenih rezultata iz phishing obuke.
Da biste započeli svoju prvu simulaciju phishing e-pošte, obavezno stavite na bijelu listu IP adresu alata za testiranje.
Ovo osigurava da će zaposleni primiti e-poštu.
Kada kreirate svoju prvu simuliranu phishing e-poštu, nemojte to činiti previše lakim ili preteškim.
Takođe biste trebali zapamtiti svoju publiku.
Ako vaši saradnici nisu veliki korisnici društvenih medija, onda vjerojatno ne bi bilo dobro koristiti lažnu LinkedIn lozinku za poništavanje phishing e-pošte. E-pošta testera mora imati dovoljno široku privlačnost da bi svi u vašoj kompaniji imali razloga da kliknu.
Neki primjeri phishing e-poruka sa širokom privlačnošću mogu biti:
Samo zapamtite psihologiju kako će vaša publika prihvatiti poruku prije nego što pritisnete pošalji.
Nastavite da svojim zaposlenima šaljete e-poruke o obuci o krađi identiteta. Uvjerite se da polako povećavate poteškoću tokom vremena kako biste povećali nivo vještina ljudi.
Preporučuje se slanje e-pošte mjesečno. Ako prečesto “phishujete” svoju organizaciju, vjerovatno će se prebrzo uhvatiti.
Uhvatite svoje zaposlenike, malo nespremno, najbolji je način da dobijete realnije rezultate.
Ako svaki put šaljete istu vrstu “phishing” e-pošte, nećete učiti svoje zaposlenike kako da reaguju na različite prevare.
Možete isprobati nekoliko različitih uglova uključujući:
Dok šaljete nove kampanje, uvijek se pobrinite da fino podesite relevantnost poruke za vašu publiku.
Ako pošaljete phishing e-poruku koja nije povezana s nečim zanimljivim, možda nećete dobiti mnogo odgovora od vaše kampanje.
Nakon što pošaljete različite kampanje svojim zaposlenicima, osvježite neke od starih kampanja koje su prevarile ljude prvi put i napravite novi spin na toj kampanji.
Moći ćete reći koliko je vaša obuka djelotvorna ako vidite da ljudi ili uče i poboljšavaju se.
Odatle ćete moći reći da li im treba više obrazovanja o tome kako uočiti određenu vrstu phishing e-pošte.
Postoje 3 faktora u određivanju da li ćete kreirati sopstveni program obuke za krađu identiteta ili ćete program outsourcing.
Ako ste sigurnosni inženjer ili ga imate u svojoj kompaniji, lako možete pokrenuti phishing server koristeći već postojeću phishing platformu za kreiranje vaših kampanja.
Ako nemate nijedan sigurnosni inženjer, kreiranje vlastitog programa za krađu identiteta možda ne dolazi u obzir.
Možda imate sigurnosnog inženjera u svojoj organizaciji, ali on možda nema iskustva sa društvenim inženjeringom ili testovima za krađu identiteta.
Ako imate nekoga s iskustvom, onda bi on bio dovoljno pouzdan da kreira svoj vlastiti phishing program.
Ovo je zaista veliki faktor za mala i srednja preduzeća.
Ako je vaš tim mali, možda neće biti zgodno dodati još jedan zadatak svom sigurnosnom timu.
Mnogo je zgodnije da drugi iskusni tim radi posao umjesto vas.
Prošli ste kroz cijeli ovaj vodič da shvatite kako možete obučiti svoje zaposlenike i spremni ste da počnete štititi svoju organizaciju kroz obuku o krađi identiteta.
Šta sad?
Ako ste sigurnosni inženjer i sada želite započeti s pokretanjem svojih prvih phishing kampanja, idite ovdje da saznate više o alatu za simulaciju krađe identiteta koji možete koristiti za početak već danas.
Ili…
Ako ste zainteresirani za učenje o upravljanim uslugama za pokretanje phishing kampanja za vas, saznajte više o tome kako možete započeti besplatno probno vrijeme obuke za krađu identiteta.
Koristite kontrolnu listu da biste identificirali neobične e-poruke i ako su phishing, prijavite ih.
Iako postoje filteri za krađu identiteta koji vas mogu zaštititi, to nije 100%.
Phishing e-mailovi se stalno razvijaju i nikada nisu isti.
To zaštitite svoju kompaniju od phishing napada u kojima možete učestvovati phishing simulacije kako bi se smanjile šanse za uspješne phishing napade.
Nadamo se da ste naučili dovoljno iz ovog vodiča da shvatite što trebate učiniti sljedeće kako biste smanjili svoje šanse za phishing napad na vaše poslovanje.
Molimo ostavite komentar ako imate pitanja za nas ili ako želite podijeliti svoje znanje ili iskustvo sa phishing kampanjama.
Ne zaboravite podijeliti ovaj vodič i širiti vijest!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
Email: info@hailbytes.com
