Мени
Ултимативни водич за разумевање пхисхинга у 2023
Па, шта је phishing?
Пецање је облик друштвеног инжењеринга који обмањује људе да открију своје лозинке или вредне ствари информација. Напади пхисхинг-а могу бити у облику е-поште, текстуалних порука и телефонских позива.
Обично се ови напади представљају као популарне услуге и компаније које људи лако препознају.
Када корисници кликну на пхисхинг везу у телу е-поруке, они се шаљу на сличну верзију веб локације којој верују. Од њих се траже њихови акредитиви за пријаву у овом тренутку у пхисхинг превари. Када унесу своје податке на лажну веб локацију, нападач има оно што му је потребно да приступи свом правом налогу.
Пецајући напади могу довести до украдених личних података, финансијских или здравствених информација. Када нападач добије приступ једном налогу, он или продаје приступ налогу или користи те информације да хакује друге налоге жртве.
Када се налог прода, неко ко зна како да профитира од налога ће купити акредитиве налога са мрачног веба и искористити украдене податке.
Ево визуелизације која ће вам помоћи да разумете кораке у пхисхинг нападу:
Напади пхисхинг-а долазе у различитим облицима. „Пецање“ може да функционише путем телефонског позива, текстуалне поруке, е-поште или поруке на друштвеним мрежама.
Генеричке пхисхинг е-поруке су најчешћи тип пхисхинг напада. Овакви напади су уобичајени јер захтевају најмање напора.
Хакери узимају листу адреса е-поште повезаних са Паипал или налозима друштвених медија и шаљу а масовна експлозија е-поште потенцијалним жртвама.
Када жртва кликне на везу у е-поруци, често је одведе на лажну верзију популарне веб странице и тражи од ње да се пријави са својим подацима о налогу. Чим пошаљу податке о свом налогу, хакер има оно што му је потребно да приступи свом налогу.
У извесном смислу, ова врста пхисхинга је као бацање мреже у јато риба; док су други облици пхисхинга више циљани напори.
Спеар пхисхинг је када нападач циља одређену особу уместо да шаљете генеричку е-пошту групи људи.
Спеар пхисхинг напади покушавају да се конкретно обрате мети и прикрију се као особа коју жртва можда познаје.
Ови напади су лакши за преваранте ако имате личне податке на интернету. Нападач је у стању да истражи вас и вашу мрежу како би направио поруку која је релевантна и убедљива.
Због велике количине персонализације, спеар пхисхинг нападе је много теже идентификовати у поређењу са редовним пхисхинг нападима.
Такође су мање уобичајене, јер им је потребно више времена да их криминалци успешно извуку.
Питање: Која је стопа успешности е-поште са спеарпхисхинг-ом?
Одговор: Спеарпхисхинг имејлови имају просечну брзину отварања е-поште од 100% 100% прималаца кликните на везу у е-поруци.
У поређењу са пхисхинг нападима, напади лова на китове су драстично циљанији.
Напади лова на китове иду на појединце у организацији као што су извршни директор или главни финансијски директор компаније.
Један од најчешћих циљева китоловских напада је манипулисање жртвом тако да нападачу пошаље велике суме новца.
Слично као код обичног пхисхинга по томе што је напад у облику е-поште, китолов може користити логотипе компаније и сличне адресе да би се прикрио.
У неким случајевима, нападач ће се опонашати као извршни директор и искористите ту личност да убедите другог запосленог да открије финансијске податке или пребаци новац на рачун нападача.
Пошто је мање вероватно да ће запослени одбити захтев некога вишег, ови напади су много превртљивији.
Нападачи ће често проводити више времена у стварању напада на китолов јер имају тенденцију да се боље исплате.
Назив „китолов“ односи се на чињеницу да мете имају већу финансијску моћ (извршни директори).
Пецање пецароша је релативно нова врста пхисхинг напада и постоји на друштвеним медијима.
Они не прате традиционални формат е-поште пхисхинг напада.
Уместо тога, они се прерушавају у представнике служби за кориснике компанија и преваре људе да им пошаљу информације путем директних порука.
Уобичајена превара је слање људи на лажну веб локацију корисничке подршке која ће преузети малвер или другим речима рансомваре на уређај жртве.
Висхинг напад је када вас преварант позове да покуша да прикупи личне податке од вас.
Преваранти се обично претварају да су реномирани бизнис или организација као што су Мицрософт, пореска управа или чак ваша банка.
Они користе тактику страха да би вас навели да откријете важне податке о налогу.
Ово им омогућава да директно или индиректно приступе вашим важним налозима.
Вишинг напади су лукави.
Нападачи могу лако да се лажно представљају као људи којима верујете.
Погледајте како оснивач Хаилбитес-а Давид МцХале говори о томе како ће роботски позиви нестати са будућом технологијом.
Већина пхисхинг напада се дешава путем е-поште, али постоје начини да се идентификује њихов легитимитет.
Када отворите имејл проверите да ли је са јавног домена е-поште (тј. @гмаил.цом).
Ако је са јавног домена е-поште, највероватније је реч о пхисхинг нападу јер организације не користе јавне домене.
Уместо тога, њихови домени би били јединствени за њихово пословање (тј. Гоогле-ов домен е-поште је @гоогле.цом).
Међутим, постоје сложенији пхисхинг напади који користе јединствени домен.
Корисно је извршити брзу претрагу компаније и проверити њену легитимност.
Пецајући напади увек покушавају да вас спријатеље лепим поздравом или емпатијом.
На пример, не тако давно сам у својој нежељеној пошти пронашао пхисхинг емаил са поздравом „Драги пријатељу“.
Већ сам знао да је ово пхисхинг имејл јер је у наслову писало: „ДОБРЕ ВЕСТИ О ВАШИМ СРЕДСТВИМА 21.“.
Видети такве врсте поздрава требало би да буде тренутна црвена застава ако никада нисте ступили у интеракцију са тим контактом.
Садржај е-поште за крађу идентитета је веома важан и видећете неке карактеристичне карактеристике које чине већину.
Ако садржај звучи апсурдно, онда је највероватније у питању превара.
На пример, ако је у насловној линији писало: „Освојили сте на лутрији 1000000 долара“ и не сећате се да сте учествовали, онда је то црвена заставица.
Када садржај ствара осећај хитности као што је „зависи од вас“ и доведе до кликања на сумњиву везу, онда је највероватније реч о превари.
Пецање имејлова увек има приложену сумњиву везу или датотеку.
Добар начин да проверите да ли веза има вирус је да користите ВирусТотал, веб локацију која проверава датотеке или везе на малвер.
Пример е-поште за „пецање“:
У примеру, Гоогле истиче да имејл може бити потенцијално опасан.
Препознаје да се његов садржај подудара са другим сличним имејловима за крађу идентитета.
Ако е-пошта испуњава већину горе наведених критеријума, препоручује се да је пријавите на репортпхисхинг@апвг.орг или пхисхинг-репорт@ус-церт.гов како би била блокирана.
Ако користите Гмаил, постоји опција да пријавите имејл за „пецање“.
Иако су пхисхинг напади усмерени на случајне кориснике, они често циљају на запослене у компанији.
Међутим, нападачи не траже увек новац компаније већ њене податке.
У пословном смислу, подаци су много вреднији од новца и могу озбиљно да утичу на компанију.
Нападачи могу да користе процуреле податке да утичу на јавност тако што ће утицати на поверење потрошача и оцрнити име компаније.
Али то нису једине последице које могу произаћи из тога.
Остале последице укључују негативан утицај на поверење инвеститора, ометање пословања и подстицање регулаторних казни у складу са Општом уредбом о заштити података (ГДПР).
Препоручује се обука ваших запослених да се носе са овим проблемом да бисте смањили успешне пхисхинг нападе.
Начини да се обуче запослени углавном су да им се покажу примери пхисхинг е-порука и начини да их уочите.
Још један добар начин да се запосленима покаже пхисхинг је симулација.
Симулације пхисхинга су у основи лажни напади дизајнирани да помогну запосленима да препознају пхисхинг из прве руке без икаквих негативних ефеката.
Сада ћемо поделити кораке које треба да предузмете да бисте покренули успешну пхисхинг кампању.
Према ВИПРО-овом извештају о стању сајбер безбедности за 2020., пхисхинг остаје највећа безбедносна претња.
Један од најбољих начина за прикупљање података и едукацију запослених је покретање интерне пхисхинг кампање.
Може бити довољно лако креирати пхисхинг е-пошту са платформом за пхисхинг, али постоји много више од тога да притиснете „пошаљи“.
Разговараћемо о томе како се носити са тестовима пхисхинг-а са интерном комуникацијом.
Затим ћемо размотрити како анализирате и користите податке које прикупљате.
Пецарска кампања није кажњавање људи ако наседну на превару. Симулација пхисхинг-а се односи на подучавање запослених како да одговоре на пхисхинг мејлове. Желите да будете сигурни да сте транспарентни у вези са обуком о пхисхинг-у у вашој компанији. Дајте приоритет информисању челника компаније о вашој пхисхинг кампањи и опишите циљеве кампање.
Након што пошаљете свој први основни тест пхисхинг е-поште, можете да објавите обавештење за целу компанију свим запосленима.
Важан аспект интерне комуникације је да порука буде доследна. Ако радите сопствене тестове за пхисхинг, онда је добра идеја да смислите направљен бренд за свој материјал за обуку.
Осмишљавање назива за ваш програм помоћи ће запосленима да препознају ваш образовни садржај у свом пријемном сандучету.
Ако користите услугу тестирања управљаног пхисхинга, вероватно ће то имати покривено. Образовни садржај треба да буде произведен унапред како бисте могли да имате непосредан наставак након кампање.
Дајте својим запосленима упутства и информације о свом интерном пхисхинг емаил протоколу након основног теста.
Желите да својим сарадницима пружите прилику да правилно реагују на обуку.
Видети број људи који су исправно уочили и пријавили е-пошту је важна информација коју можете добити од пхисхинг теста.
Шта би требало да буде ваш главни приоритет за вашу кампању?
Ангажовање.
Можете покушати да своје резултате базирате на броју успеха и неуспеха, али ти бројеви не морају нужно да вам помогну у вашој сврси.
Ако покренете симулацију пхисхинг теста и нико не кликне на везу, да ли то значи да је ваш тест био успешан?
Кратак одговор је „не“.
Постојање стопе успеха од 100% не значи успех.
То може значити да је ваш тест пхисхинг једноставно био превише лак за уочавање.
С друге стране, ако добијете огромну стопу неуспеха са вашим пхисхинг тестом, то би могло значити нешто сасвим друго.
То може значити да ваши запослени још нису у стању да уоче нападе пхисхинг-а.
Када добијете високу стопу кликова за своју кампању, постоји велика шанса да ћете морати да смањите потешкоће својих е-порука за „пецање“.
Одвојите више времена да обучите људе на њиховом тренутном нивоу.
На крају желите да смањите стопу кликова на „пецање“ на линкове.
Можда се питате шта је добра или лоша стопа кликова са симулацијом пхисхинга.
Према санс.орг, ваш прва симулација пхисхинга може дати просечну стопу кликова од 25-30%.
То изгледа као заиста висок број.
Срећом, они су то пријавили након 9-18 месеци обуке за пхисхинг, стопа кликова за пхисхинг тест је била испод 5%.
Ови бројеви могу да вам помогну као груба процена ваших жељених резултата обуке за пхисхинг.
Да бисте започели своју прву симулацију пхисхинг е-поште, обавезно ставите на белу листу ИП адресу алатке за тестирање.
Ово осигурава да ће запослени примити е-пошту.
Када правите своју прву симулирану пхисхинг е-пошту, немојте то чинити превише лаким или претешким.
Такође треба да запамтите своју публику.
Ако ваши сарадници нису велики корисници друштвених медија, онда вероватно не би била добра идеја да користите лажну е-пошту за ресетовање лозинке за ЛинкедИн. Е-пошта тестера мора да има довољно широку привлачност да би сви у вашој компанији имали разлога да кликну.
Неки примери е-поште за крађу идентитета са широком привлачношћу могу бити:
Само запамтите психологију како ће ваша публика прихватити поруку пре него што притиснете „пошаљи“.
Наставите да својим запосленима шаљете е-поруке о обуци за пхисхинг. Уверите се да полако повећавате потешкоћу током времена да бисте повећали нивое вештина људи.
Препоручује се слање е-поште месечно. Ако пречесто „фиширате“ своју организацију, вероватно ће се пребрзо ухватити.
Ухватите своје запослене, мало неспремно, најбољи је начин да добијете реалније резултате.
Ако сваки пут шаљете исту врсту „пхисхинг“ е-порука, нећете учити своје запослене како да реагују на различите преваре.
Можете испробати неколико различитих углова укључујући:
Док шаљете нове кампање, увек водите рачуна да фино подесите релевантност поруке за вашу публику.
Ако пошаљете е-поруку за „пецање“ која није повезана са нечим интересантним, можда нећете добити много одговора од своје кампање.
Након што пошаљете различите кампање својим запосленима, освежите неке од старих кампања које су превариле људе први пут и урадите нови обрт у тој кампањи.
Моћи ћете да процените ефикасност ваше обуке ако видите да људи или уче и да се усавршавају.
Одатле ћете моћи да кажете да ли им треба више образовања о томе како да уоче одређену врсту пхисхинг е-поште.
Постоје 3 фактора у одређивању да ли ћете креирати сопствени програм обуке за крађу идентитета или ћете програм оутсоурцинг.
Ако сте инжењер безбедности или га имате у својој компанији, лако можете да покренете сервер за пхисхинг користећи већ постојећу платформу за пхисхинг да бисте креирали своје кампање.
Ако немате ниједан безбедносни инжењер, креирање сопственог програма за пхисхинг можда не долази у обзир.
Можда имате безбедносног инжењера у својој организацији, али он можда нема искуства са друштвеним инжењерингом или тестовима за пхисхинг.
Ако имате некога ко је искусан, онда би он био довољно поуздан да креира сопствени програм за пхисхинг.
Ово је заиста велики фактор за мала и средња предузећа.
Ако је ваш тим мали, можда неће бити згодно додати још један задатак свом безбедносном тиму.
Много је згодније да други искусан тим ради посао уместо вас.
Прошли сте кроз цео овај водич да бисте открили како можете да обучите своје запослене и спремни сте да почнете да штитите своју организацију кроз обуку о пхисхинг-у.
Шта сад?
Ако сте инжењер безбедности и желите да почнете да водите своје прве пхисхинг кампање сада, идите овде да бисте сазнали више о алату за симулацију пхисхинга који можете користити да бисте започели данас.
Или ...
Ако сте заинтересовани да сазнате више о управљаним услугама за покретање пхисхинг кампања за вас, сазнајте више о томе како можете да започнете бесплатну пробну обуку за пхисхинг.
Користите контролну листу да бисте идентификовали необичне е-поруке и ако су пхисхинг, пријавите их.
Иако постоје филтери за пхисхинг који вас могу заштитити, то није 100%.
Пецање е-порука се стално развија и никада није иста.
До заштитите своју компанију од фишинг напада у којима можете учествовати пхисхинг симулације да бисте смањили шансе за успешне пхисхинг нападе.
Надамо се да сте научили довољно из овог водича да схватите шта треба да урадите следеће да бисте смањили шансе за напад на пхисхинг на ваше пословање.
Молимо вас да оставите коментар ако имате питања за нас или ако желите да поделите своје знање или искуство са пхисхинг кампањама.
Не заборавите да поделите овај водич и ширите реч!
Хаилбитес
9511 Куеенс Гуард Цт.
Лаурел, МД 20723
Телефон: (КСНУМКС) КСНУМКС-КСНУМКС
Емаил: инфо@хаилбитес.цом
