Дасведчанасць аб фішынгу: як гэта адбываецца і як гэтага прадухіліць
Чаму злачынцы выкарыстоўваюць фішынгавыя атакі?
Якая самая вялікая ўразлівасць бяспекі ў арганізацыі?
Людзі!
Кожны раз, калі яны хочуць заразіць кампутар або атрымаць доступ да важных інфармацыя як нумары ўліковых запісаў, паролі або PIN-коды, усё, што ім трэба зрабіць, гэта спытаць.
фішынг напады з'яўляюцца звычайнай з'явай, таму што яны:
- Лёгка зрабіць – 6-гадовае дзіця магло ажыццявіць фішынгавую атаку.
- Маштабаванасць – Яны вар'іруюцца ад фішынгавых нападаў, якія дзівяць аднаго чалавека, да нападаў на ўсю арганізацыю.
- вельмі эфектыўны - 74% арганізацый перажылі паспяховую фішынгавую атаку.
- Уліковыя даныя ўліковага запісу Gmail – $80
- PIN-код крэдытнай карты - $20
- Інтэрнэт-банкаўскія ўліковыя дадзеныя для рахункаў з мінімум 100 долараў у іх – $40
- Банкаўскія рахункі с мінімум 2,000 долараў - $120
Напэўна, вы думаеце: "Вау, мае рахункі ідуць на самы нізкі долар!"
І гэта праўда.
Існуюць і іншыя тыпы рахункаў, якія каштуюць значна больш, таму што яны прасцей захаваць ананімнасць грашовых пераводаў.
Уліковыя запісы, якія захоўваюць крыптаграфію, з'яўляюцца джэкпотам для фішынгавых ашуканцаў.
Дзеючыя стаўкі для крыпта-рахункаў:
- Coinbase - $610
- Blockchain.com – $310
- Binance - $410
Існуюць і іншыя нефінансавыя прычыны фішынгавых нападаў.
Фішынгавыя атакі могуць выкарыстоўвацца нацыянальнымі дзяржавамі для ўзлому іншых краін і здабычы іх дадзеных.
Напады могуць быць зроблены з мэтай асабістай помсты ці нават з мэтай знішчэння рэпутацыі карпарацый або палітычных ворагаў.
Прычын для фішынгавых атак бясконца...
Як пачынаецца фішынгавая атака?
Фішынг-атака звычайна пачынаецца з таго, што злачынец адразу выходзіць і піша вам паведамленне.
Яны могуць даць вам тэлефонны званок, электроннае паведамленне, імгненнае паведамленне або SMS.
Яны могуць прэтэндаваць на тое, што з'яўляюцца кімсьці, хто працуе ў банку, іншай кампаніі, з якой вы вядзеце бізнес, дзяржаўнай установе, або нават прыкідвацца супрацоўнікам вашай арганізацыі.
Фішынгавы ліст можа папрасіць вас націснуць на спасылку або загрузіць і запусціць файл.
Вы можаце падумаць, што гэта паведамленне з'яўляецца законным, пстрыкніце па спасылцы ў іх паведамленні і ўвайдзіце на вэб-сайт арганізацыі, якой вы давяраеце.
На гэтым фішынг завершаны.
Вы перадалі вашу асабістую інфармацыю зламысніку.
Як прадухіліць фішынгавую атаку
Асноўная стратэгія пазбягання фішынгавых нападаў - навучанне супрацоўнікаў і павышэнне дасведчанасці арганізацыі.
Многія фішынгавыя атакі выглядаюць як законныя электронныя лісты і могуць праходзіць праз фільтр спаму або падобныя фільтры бяспекі.
На першы погляд, паведамленне або вэб-сайт могуць выглядаць рэальнымі з выкарыстаннем вядомага лагатыпа і г.д.
На шчасце, выявіць фішынгавыя атакі не так складана.
Першае, на што варта звярнуць увагу, гэта адрас адпраўніка.
Калі адрас адпраўніка з'яўляецца варыянтам дамена вэб-сайта, да якога вы, магчыма, прывыклі, вы можаце дзейнічаць асцярожна і не націскаць ні на што ў целе электроннага ліста.
Вы таксама можаце паглядзець на адрас вэб-сайта, на які вы перанакіраваны, ці ёсць спасылкі.
Каб быць у бяспецы, вы павінны ўвесці адрас арганізацыі, якую вы хочаце наведаць, у браўзеры або выкарыстоўваць абранае браўзера.
Сачыце за спасылкамі, якія пры навядзенні курсора паказваюць дамен, які адрозніваецца ад дамена кампаніі, якая адпраўляе ліст.
Уважліва прачытайце змест паведамлення і скептычна ставіцеся да ўсіх паведамленняў, у якіх вас просяць адправіць асабістыя дадзеныя або праверыць інфармацыю, запоўніць формы або загрузіць і запусціць файлы.
Таксама не дазваляйце зместу паведамлення падмануць вас.
Зламыснікі часта спрабуюць напалохаць вас, каб прымусіць вас перайсці па спасылцы або ўзнагародзіць вас, каб атрымаць вашы асабістыя дадзеныя.
Падчас пандэміі або надзвычайнага становішча ў краіне фішынгавыя ашуканцы скарыстаюцца страхамі людзей і выкарыстоўваюць змесціва радка тэмы або цела паведамлення, каб напалохаць вас прыняць меры і націснуць спасылку.
Таксама праверце арфаграфічныя або граматычныя памылкі ў паведамленні электроннай пошты ці на сайце.
Варта памятаць і пра тое, што большасць надзейных кампаній звычайна не будуць прасіць вас адпраўляць канфідэнцыяльныя даныя праз Інтэрнэт або пошту.
Вось чаму вы ніколі не павінны націскаць на падазроныя спасылкі або прадастаўляць любыя канфідэнцыйныя дадзеныя.
Што мне рабіць, калі я атрымліваю фішынг-ліст?
Калі вы атрымаеце паведамленне, падобнае на фішынг-атаку, у вас ёсць тры варыянты.
- Выдаліць яго.
- Праверце змест паведамлення, звязаўшыся з арганізацыяй праз яе традыцыйны канал сувязі.
- Вы можаце пераслаць паведамленне ў аддзел бяспекі ІТ для далейшага аналізу.
Ваша кампанія ўжо павінна правяраць і фільтраваць большасць падазроных лістоў, але ахвярай можа стаць кожны.
На жаль, фішынг становіцца ўсё большай пагрозай у Інтэрнэце, і зламыснікі заўсёды распрацоўваюць новыя тактыкі, каб дабрацца да вашай паштовай скрыні.
Майце на ўвазе, што ў рэшце рэшт, вы з'яўляецеся апошнім і самым важным узроўнем абароны ад спроб фішынгу.
Як спыніць фішынгавую атаку, перш чым яна адбудзецца
Паколькі эфектыўнасць фішынгавых атак залежыць ад чалавечых памылак, лепшым варыянтам з'яўляецца навучанне супрацоўнікаў вашага бізнесу таму, як не трапіцца на вуду.
Гэта не значыць, што вам трэба правесці вялікую сустрэчу або семінар, каб даведацца, як пазбегнуць фішынгавай атакі.
Ёсць лепшыя спосабы знайсці прабелы ў вашай бяспецы і палепшыць рэакцыю чалавека на фішынг.
2 крокі, якія вы можаце зрабіць, каб прадухіліць фішынг
A сімулятар фішынгу гэта праграмнае забеспячэнне, якое дазваляе імітаваць фішынгавую атаку на ўсіх членаў вашай арганізацыі.
Сімулятары фішынгу звычайна пастаўляюцца з шаблонамі, якія дапамагаюць маскіраваць электронную пошту пад надзейнага пастаўшчыка або імітаваць унутраныя фарматы электроннай пошты.
Сімулятары фішынгу не проста ствараюць электронную пошту, але яны дапамагаюць наладзіць падроблены вэб-сайт, на якім атрымальнікі ў канчатковым выніку ўвядуць свае ўліковыя дадзеныя, калі не пройдуць тэст.
Замест таго, каб лаяць іх за тое, што яны трапілі ў пастку, лепшы спосаб справіцца з сітуацыяй - даць інфармацыю аб тым, як ацэньваць фішынгавыя электронныя лісты ў будучыні.
Калі хтосьці не праходзіць тэст на фішынг, лепш проста адправіць яму спіс парад па выяўленні фішынгавых лістоў.
Вы нават можаце выкарыстоўваць гэты артыкул у якасці даведкі для сваіх супрацоўнікаў.
Яшчэ адна галоўная перавага выкарыстання добрага сімулятара фішынгу заключаецца ў тым, што вы можаце вымераць чалавечую пагрозу ў вашай арганізацыі, якую часта цяжка прадказаць.
На навучанне супрацоўнікаў бяспечнаму ўзроўню змякчэння наступстваў можа спатрэбіцца да паўтара года.
Важна выбраць правільную інфраструктуру мадэлявання фішынгу для вашых патрэб.
Калі вы робіце сімуляцыю фішынгу ў адной кампаніі, ваша задача будзе прасцей
Калі вы з'яўляецеся MSP або MSSP, вам можа спатрэбіцца запусціць фішынг-тэсты ў некалькіх прадпрыемствах і месцах.
Выбар воблачнага рашэння будзе лепшым варыянтам для карыстальнікаў, якія праводзяць некалькі кампаній.
У Hailbytes мы наладзілі GoPhish, адна з самых папулярных фрэймворкаў для фішынгу з адкрытым зыходным кодам просты ў выкарыстанні асобнік на AWS.
Многія сімулятары фішынгу пастаўляюцца ў традыцыйнай мадэлі Saas і маюць жорсткія кантракты, звязаныя з імі, але GoPhish на AWS - гэта воблачны сэрвіс, дзе вы плаціце па дазаванай стаўцы, а не па кантракту на 1 ці 2 гады.
Крок 2. Навучанне па бяспецы
Ключавая перавага давання супрацоўнікаў інфармаванасць аб бяспецы навучанне абараняе іх ад крадзяжу асабістых дадзеных, банкаўскіх крадзяжоў і крадзяжу ўліковых даных бізнесу.
Навучанне інфармаванасці аб бяспецы вельмі важна для павышэння здольнасці супрацоўнікаў выяўляць спробы фішынгу.
Курсы могуць дапамагчы навучыць персанал выяўляць спробы фішынгу, але толькі нешматлікія засяроджваюцца на малых прадпрыемствах.
У вас, як уладальніка малога бізнэсу, можа ўзнікнуць спакуса скараціць выдаткі на курс, даслаўшы на Youtube некалькі відэа аб інфармаванасці аб бяспецы...
але персанал рэдка ўспамінае гэты тып навучання больш за некалькі дзён.
У Hailbytes ёсць курс, які складаецца з камбінацыі хуткіх відэаролікаў і тэстаў, каб вы маглі адсочваць прагрэс вашых супрацоўнікаў, даказаць, што меры бяспекі прынятыя, і значна скараціць вашыя шанцы пацярпець ад фішынгавага махлярства.
Вы можаце праверыць наш курс па Udemy тут або націснуць на курс ніжэй:
Калі вы зацікаўлены ў бясплатнай сімуляцыі фішынгу для навучання сваіх супрацоўнікаў, адпраўляйцеся ў AWS і паглядзіце GoPhish!
Пачаць лёгка, і вы заўсёды можаце звярнуцца да нас, калі вам спатрэбіцца дапамога ў наладжванні.
