меню
Канчатковае кіраўніцтва па разуменні фішынгу ў 2023 годзе
Такім чынам, што ёсць фішынгу?
Фішынг - гэта форма сацыяльнай інжынерыі, якая падманам прымушае людзей раскрыць свае паролі або каштоўнасці інфармацыя. Фішынгавыя атакі могуць быць у форме электронных лістоў, тэкставых паведамленняў і тэлефонных званкоў.
Звычайна гэтыя атакі выдаюць за папулярныя сэрвісы і кампаніі, якія людзі лёгка пазнаюць.
Калі карыстальнікі націскаюць на фішынг-спасылку ў целе электроннага ліста, яны накіроўваюцца на аналагічную версію сайта, якому давяраюць. На гэтым этапе фішынг-махлярства ў іх запытваюцца ўліковыя дадзеныя для ўваходу. Пасля таго, як яны ўводзяць сваю інфармацыю на падробленым вэб-сайце, зламыснік атрымлівае ўсё неабходнае для доступу да свайго сапраўднага акаўнта.
Фішынгавыя атакі могуць прывесці да крадзяжу асабістай інфармацыі, фінансавай інфармацыі або інфармацыі пра здароўе. Як толькі зламыснік атрымлівае доступ да аднаго ўліковага запісу, ён альбо прадае доступ да ўліковага запісу, альбо выкарыстоўвае гэтую інфармацыю для ўзлому іншых уліковых запісаў ахвяры.
Пасля таго, як уліковы запіс будзе прададзены, той, хто ведае, як атрымаць прыбытак ад уліковага запісу, купіць уліковыя дадзеныя ўліковага запісу ў цёмным сеціве і зарабіць на скрадзеных дадзеных.
Вось візуалізацыя, якая дапаможа вам зразумець этапы фішынгавай атакі:
Фішынгавыя атакі бываюць розных формаў. Фішынг можа працаваць з дапамогай тэлефоннага званка, тэкставага паведамлення, электроннай пошты ці паведамлення ў сацыяльных сетках.
Агульныя фішынгавыя лісты з'яўляюцца найбольш распаўсюджаным тыпам фішынгавых нападаў. Такія атакі з'яўляюцца звычайнай з'явай, таму што яны патрабуюць мінімум намаганняў.
Хакеры бяруць спіс адрасоў электроннай пошты, звязаных з уліковымі запісамі Paypal або сацыяльных сетак, і адпраўляюць масавая рассылка электроннай пошты патэнцыйным ахвярам.
Калі ахвяра пераходзіць па спасылцы ў электронным лісце, яна часта накіроўвае яе на падробленую версію папулярнага вэб-сайта і просіць яе ўвайсці з дадзенымі свайго ўліковага запісу. Як толькі яны адпраўляюць інфармацыю аб сваім уліковым запісе, хакер атрымлівае ўсё неабходнае для доступу да свайго ўліковага запісу.
У пэўным сэнсе гэты від фішынгу падобны на закідванне сеткі ў зграю рыб; у той час як іншыя формы фішынгу - гэта больш мэтанакіраваныя намаганні.
Фішынг - гэта калі зламыснік нацэлены на канкрэтнага чалавека замест адпраўкі звычайнага электроннага ліста групе людзей.
Фішынгавыя атакі спрабуюць канкрэтна адрасаваць мэта і замаскіраваць сябе пад асобу, якую ахвяра можа ведаць.
Гэтыя атакі прасцей для махляроў, калі ў вас ёсць асабістая інфармацыя ў Інтэрнэце. Зламыснік можа даследаваць вас і вашу сетку, каб стварыць адпаведнае і пераканаўчае паведамленне.
З-за вялікай колькасці персаналізацыі фішынгавыя атакі нашмат цяжэй ідэнтыфікаваць у параўнанні са звычайнымі фішынгавымі атакамі.
Яны таксама менш распаўсюджаныя, таму што злачынцам патрабуецца больш часу, каб іх паспяхова здзейсніць.
Пытанне: які каэфіцыент поспеху электроннага ліста з фішынгам?
Адказ: сярэдняя хуткасць адкрыцця электронных лістоў пад фішынгам складае 70% і 50% атрымальнікаў націскаюць спасылку ў электронным лісце.
У параўнанні з фішынгавымі атакамі, кітабойныя атакі значна больш мэтанакіраваныя.
Напады на кітабойных промыслаў накіраваны на такіх людзей у арганізацыі, як галоўны выканаўчы дырэктар або фінансавы дырэктар кампаніі.
Адна з найбольш распаўсюджаных мэтаў нападаў на кітабойных промыслаў - прымусіць ахвяру перавесці зламысніку вялікія сумы грошай.
Падобна звычайнаму фішынгу ў тым, што атака адбываецца ў форме электроннай пошты, кітабойны промысел можа выкарыстоўваць лагатыпы кампаній і падобныя адрасы, каб замаскіравацца.
У некаторых выпадках зламыснік выдае сябе за генеральнага дырэктара і выкарыстоўваць гэтую асобу, каб пераканаць іншага супрацоўніка раскрыць фінансавыя дадзеныя або перавесці грошы на рахунак зламыснікаў.
Паколькі супрацоўнікі з меншай верагоднасцю адмовяць у просьбе каго-небудзь вышэйшага кіраўніцтва, гэтыя атакі значна больш падступныя.
Зламыснікі часта марнуюць больш часу на стварэнне кітабойнай атакі, таму што яны, як правіла, лепш акупляюцца.
Назва «кітабойны промысел» адносіцца да таго факту, што мэты маюць большую фінансавую моц (генеральныя дырэктары).
Рыбалоўны фішынг - гэта адносна новы тып фішынгавай атакі і існуе ў сацыяльных сетках.
Яны не прытрымліваюцца традыцыйнага фармату фішынгавых атак па электроннай пошце.
Замест гэтага яны маскіруюцца пад прадстаўнікоў службы падтрымкі кліентаў кампаній і падманам прымушаюць людзей адпраўляць ім інфармацыю праз прамыя паведамленні.
Распаўсюджанае махлярства - гэта адпраўка людзей на падроблены вэб-сайт падтрымкі кліентаў, які спампоўвае шкоднасныя праграмы, іншымі словамі вымагальнікаў на прыладу ахвяры.
Атака вішінг - гэта калі вам тэлефануе ашуканец каб паспрабаваць сабраць ад вас асабістую інфармацыю.
Ашуканцы звычайна выдаюць сябе за паважаную кампанію або арганізацыю, напрыклад, Microsoft, IRS або нават ваш банк.
Яны выкарыстоўваюць тактыку страху, каб прымусіць вас раскрыць важныя дадзеныя ўліковага запісу.
Гэта дазваляе ім атрымаць прамы або ўскосны доступ да вашых важных уліковых запісаў.
Атакі вішінгаў складаныя.
Зламыснікі могуць лёгка выдаць сябе за людзей, якім вы давяраеце.
Глядзіце, як заснавальнік Hailbytes Дэвід Макхейл расказвае пра тое, як аўтаматызаваныя выклікі знікнуць з тэхналогіямі будучыні.
Большасць фішынгавых атак адбываецца праз электронную пошту, але ёсць спосабы вызначыць іх законнасць.
Калі вы адкрываеце электронны ліст праверце, ці з агульнадаступнага дамена электроннай пошты (напрыклад, @gmail.com).
Калі гэта з агульнадаступнага дамена электроннай пошты, хутчэй за ўсё гэта фішынг-атака, паколькі арганізацыі не выкарыстоўваюць публічныя дамены.
Хутчэй, іх дамены будуць унікальнымі для іх бізнесу (напрыклад, дамен электроннай пошты Google - @google.com).
Аднак ёсць больш складаныя фішынгавыя атакі, якія выкарыстоўваюць унікальны дамен.
Карысна правесці хуткі пошук кампаніі і праверыць яе законнасць.
Фішынгавыя атакі заўсёды спрабуюць пасябраваць з вамі з дапамогай прыгожага прывітання або суперажывання.
Напрыклад, нядаўна ў сваім спаме я знайшоў фішынгавы ліст з прывітаннем «Дарагі сябар».
Я ўжо ведаў, што гэта фішынгавы ліст, бо ў тэме было напісана: «ДОБРЫЯ НАВІНЫ ПРА ВАШЫЯ ФОНДЫ 21».
Калі вы ніколі не ўзаемадзейнічалі з гэтым кантактам, бачанне падобных прывітанняў павінна быць імгненнай сігналізацыяй.
Змест фішынгавага ліста вельмі важны, і вы ўбачыце некаторыя адметныя асаблівасці, якія складаюць большасць.
Калі змест гучыць абсурдна, то, хутчэй за ўсё, гэта махлярства.
Напрыклад, калі ў тэме сказана: «Вы выйгралі ў латарэю 1000000 долараў», і вы не памятаеце ўдзелу, то гэта сігнал.
Калі змесціва стварае адчуванне тэрміновасці, кшталту «гэта залежыць ад вас», і прыводзіць да пераходу па падазронай спасылцы, то, хутчэй за ўсё, гэта махлярства.
Фішынгавыя электронныя лісты заўсёды маюць падазроную спасылку або файл, прымацаваны да іх.
Добры спосаб праверыць, ці ёсць у спасылцы вірус, - гэта выкарыстоўваць VirusTotal, вэб-сайт, які правярае файлы і спасылкі на наяўнасць шкоднасных праграм.
Прыклад фішынгавай электроннай пошты:
У прыкладзе Google паказвае, што электронная пошта можа быць патэнцыйна небяспечнай.
Ён прызнае, што яго змесціва супадае з іншымі падобнымі фішынгавымі лістамі.
Калі электронны ліст адпавядае большасці вышэйпералічаных крытэрыяў, рэкамендуецца паведаміць пра яго на reportphishing@apwg.org або phishing-report@us-cert.gov, каб ён быў заблакіраваны.
Калі вы карыстаецеся Gmail, ёсць магчымасць паведаміць аб фішынгу па электроннай пошце.
Нягледзячы на тое, што фішынгавыя атакі накіраваны на выпадковых карыстальнікаў, яны часта накіраваны на супрацоўнікаў кампаніі.
Аднак зламыснікі шукаюць не грошы кампаніі, а яе даныя.
З пункту гледжання бізнесу, даныя значна больш каштоўныя, чым грошы, і могуць сур'ёзна паўплываць на кампанію.
Зламыснікі могуць выкарыстаць уцечку дадзеных, каб паўплываць на грамадскасць, уплываючы на давер спажыўцоў і ачарняючы назву кампаніі.
Але гэта не адзіныя наступствы, да якіх гэта можа прывесці.
Іншыя наступствы ўключаюць негатыўны ўплыў на давер інвестараў, парушэнне бізнесу і падштурхоўванне нарматыўных штрафаў у адпаведнасці з Агульным рэгламентам аб абароне даных (GDPR).
Каб паменшыць паспяховыя фішынгавыя атакі, рэкамендуецца навучыць сваіх супрацоўнікаў вырашэнню гэтай праблемы.
Спосабы навучання супрацоўнікаў у цэлым заключаюцца ў паказе ім прыкладаў фішынгавых лістоў і спосабаў іх выяўлення.
Яшчэ адзін добры спосаб паказаць супрацоўнікам фішынг - гэта мадэляванне.
Мадэляванне фішынгу - гэта ў асноўным ілжывыя атакі, прызначаныя дапамагчы супрацоўнікам распазнаць фішынг з першых рук без якіх-небудзь негатыўных наступстваў.
Зараз мы падзелімся крокамі, якія вам трэба зрабіць, каб правесці паспяховую фішынг-кампанію.
Згодна са справаздачай WIPRO аб стане кібербяспекі за 2020 год, фішынг застаецца галоўнай пагрозай бяспецы.
Адзін з лепшых спосабаў збору даных і навучання супрацоўнікаў - гэта правядзенне ўнутранай фішынгавай кампаніі.
Стварыць фішынг-ліст з дапамогай фішынгавай платформы можа быць дастаткова проста, але гэта значна больш, чым націсканне "Адправіць".
Мы абмяркуем, як апрацоўваць фішынг-тэсты з дапамогай унутраных камунікацый.
Затым мы разгледзім, як вы аналізуеце і выкарыстоўваеце даныя, якія вы збіраеце.
Фішынгавая кампанія - гэта не пакаранне людзей, калі яны трапіліся на афёру. Сімуляцыя фішынгу - гэта навучанне супрацоўнікаў, як рэагаваць на фішынгавыя электронныя лісты. Вы хочаце быць упэўненымі ў празрыстасці навучання фішынгу ў сваёй кампаніі. Расстаўце прыярытэты для інфармавання кіраўнікоў кампаніі аб вашай фішынгавай кампаніі і апішыце мэты кампаніі.
Пасля адпраўкі першага базавага тэсту фішынгавай электроннай пошты вы можаце зрабіць аб'яву для ўсёй кампаніі ўсім супрацоўнікам.
Важным аспектам унутранай камунікацыі з'яўляецца захаванне паслядоўнасці паведамлення. Калі вы праводзіце ўласныя тэсты на фішынг, то было б добрай ідэяй прыдумаць выдуманы брэнд для вашага навучальнага матэрыялу.
Прыдуманне назвы для вашай праграмы дапаможа супрацоўнікам распазнаць ваш адукацыйны кантэнт у сваёй паштовай скрыні.
Калі вы карыстаецеся кіраванай службай тэсціравання фішынгу, яны, хутчэй за ўсё, гэта пакрыюць. Навучальны кантэнт павінен быць падрыхтаваны загадзя, каб вы маглі неадкладна працягнуць працу пасля кампаніі.
Дайце сваім супрацоўнікам інструкцыі і інфармацыю аб вашым унутраным пратаколе фішынгавай электроннай пошты пасля базавага тэсту.
Вы хочаце даць сваім калегам магчымасць правільна адказаць на навучанне.
Бачыць колькасць людзей, якія правільна выявілі электронную пошту і паведамілі пра яе, - гэта важная інфармацыя, якую можна атрымаць з тэсту на фішынг.
Што павінна быць вашым галоўным прыярытэтам для вашай кампаніі?
Заручэнне
Вы можаце паспрабаваць заснаваць свае вынікі на колькасці поспехаў і няўдач, але гэтыя лічбы не абавязкова дапамогуць вам у дасягненні вашай мэты.
Калі вы запусціце сімуляцыю фішынгавага тэсту і ніхто не націсне на спасылку, ці азначае гэта, што ваш тэст прайшоў паспяхова?
Кароткі адказ: «не».
Наяўнасць 100% поспеху не азначае поспех.
Гэта можа азначаць, што ваш тэст на фішынг было занадта лёгка выявіць.
З іншага боку, калі вы атрымліваеце велізарны працэнт няўдач падчас тэсту на фішынг, гэта можа азначаць нешта зусім іншае.
Гэта можа азначаць, што вашы супрацоўнікі яшчэ не могуць распазнаць фішынгавыя атакі.
Калі вы атрымліваеце высокі ўзровень клікаў для вашай кампаніі, ёсць вялікая верагоднасць таго, што вам спатрэбіцца знізіць складанасць вашых фішынгавых лістоў.
Выдаткуйце больш часу на навучанне людзей на іх цяперашнім узроўні.
У канчатковым выніку вы хочаце знізіць частату клікаў па фішынгавых спасылках.
Вы можаце задацца пытаннем, што такое добры або дрэнны каэфіцыент клікаў пры сімуляцыі фішынгу.
Паводле sans.org, ваш першае мадэляванне фішынгу можа даць сярэднюю частату клікаў 25-30%.
Гэта здаецца сапраўды высокай лічбай.
На шчасце, яны паведамілі пра гэта пасля 9-18 месяцаў навучання фішынгу частата клікаў для тэсту на фішынг была ніжэй за 5%.
Гэтыя лічбы могуць дапамагчы ў якасці прыблізнай ацэнкі вашых жаданых вынікаў ад навучання фішынгу.
Каб пачаць сваю першую сімуляцыю фішынгавай электроннай пошты, уключыце ў белы спіс IP-адрас інструмента тэсціравання.
Гэта гарантуе, што супрацоўнікі атрымаюць электронны ліст.
Ствараючы свой першы імітаваны фішынг-ліст, не рабіце гэта занадта лёгкім або занадта складаным.
Вы таксама павінны памятаць пра сваю аўдыторыю.
Калі вашы калегі не вельмі часта карыстаюцца сацыяльнымі сеткамі, магчыма, не будзе добрай ідэяй выкарыстоўваць падроблены фішынг-ліст для скіду пароля LinkedIn. Электронная пошта тэсціроўшчыка павінна мець дастаткова шырокую прывабнасць, каб ва ўсіх у вашай кампаніі была прычына націснуць.
Некаторыя прыклады фішынгавых электронных лістоў з шырокай прывабнасцю могуць быць:
Проста ўспомніце псіхалогію таго, як ваша аўдыторыя ўспрыме паведамленне, перш чым націснуць "Адправіць".
Працягвайце рассылаць навучальныя электронныя лісты па фішынгу сваім супрацоўнікам. Пераканайцеся, што вы павольна павялічваеце складанасць з часам, каб павысіць узровень навыкаў людзей.
Рэкамендуецца адпраўляць электронную пошту штомесяц. Калі вы занадта часта будзеце "фішаваць" сваю арганізацыю, яны, хутчэй за ўсё, занадта хутка ўловяць.
Злавіць сваіх супрацоўнікаў крыху знянацку - лепшы спосаб атрымаць больш рэалістычныя вынікі.
Калі вы кожны раз дасылаеце адны і тыя ж «фішынгавыя» электронныя лісты, вы не збіраецеся вучыць сваіх супрацоўнікаў, як рэагаваць на розныя афёры.
Вы можаце паспрабаваць некалькі розных ракурсаў, у тым ліку:
Адпраўляючы новыя кампаніі, заўсёды пераканайцеся, што вы правільна наладжваеце рэлевантнасць паведамлення вашай аўдыторыі.
Калі вы адправіце фішынг-ліст, які не звязаны з чымсьці цікавым, вы можаце не атрымаць адказу ад вашай кампаніі.
Пасля адпраўкі розных кампаній сваім супрацоўнікам абнавіце некаторыя са старых кампаній, якія падманулі людзей у першы раз, і зрабіце гэту кампанію па-новаму.
Вы зможаце сказаць аб эфектыўнасці вашага навучання, калі ўбачыце, што людзі вучацца і ўдасканальваюцца.
Адтуль вы зможаце сказаць, ці патрэбна ім дадатковая інфармацыя аб тым, як распазнаць пэўны тып фішынгавай электроннай пошты.
Ёсць 3 фактары, якія вызначаюць, ці збіраецеся вы стварыць сваю ўласную праграму навучання фішынгу або перадаць гэтую праграму аўтсорсінгу.
Калі вы інжынер па бяспецы або маеце яго ў сваёй кампаніі, вы можаце лёгка стварыць фішынг-сервер, выкарыстоўваючы ўжо існуючую фішынг-платформу для стварэння сваіх кампаній.
Калі ў вас няма інжынераў па бяспецы, стварэнне ўласнай фішынгавай праграмы можа быць выключана.
У вашай арганізацыі можа быць інжынер па бяспецы, але ён можа не мець вопыту ў сацыяльнай інжынерыі або тэстах на фішынг.
Калі ў вас ёсць дасведчаны чалавек, ён будзе дастаткова надзейным, каб стварыць уласную праграму фішынгу.
Гэта сапраўды важны фактар для малых і сярэдніх кампаній.
Калі ваша каманда невялікая, можа быць нязручна дадаваць іншую задачу ў вашу групу бяспекі.
Нашмат зручней, каб іншая вопытная каманда выконвала працу за вас.
Вы азнаёміліся з усім гэтым кіраўніцтвам, каб высветліць, як навучыць сваіх супрацоўнікаў, і гатовыя пачаць абараняць сваю арганізацыю праз навучанне фішынгу.
Што цяпер?
Калі вы інжынер па бяспецы і хочаце зараз пачаць свае першыя фішынгавыя кампаніі, перайдзіце сюды, каб даведацца больш пра інструмент мадэлявання фішынгу, які вы можаце выкарыстоўваць, каб пачаць сёння.
Ці ...
Калі вы хочаце даведацца пра кіраваныя сэрвісы для правядзення фішынгавых кампаній, тут даведайцеся больш пра тое, як вы можаце пачаць бясплатную пробную версію навучання фішынгу.
Выкарыстоўвайце кантрольны спіс, каб вызначыць незвычайныя электронныя лісты і, калі яны з'яўляюцца фішынгавымі, паведаміць пра іх.
Нават калі існуюць фішынгавыя фільтры, якія могуць абараніць вас, гэта не на 100%.
Фішынгавыя электронныя лісты пастаянна развіваюцца і ніколі не бываюць аднолькавымі.
да абараніць вашу кампанію ад фішынгавых атак, у якіх вы можаце прыняць удзел сімуляцыі фішынгу каб паменшыць шанцы на паспяховыя фішынгавыя атакі.
Мы спадзяемся, што вы даведаліся дастаткова з гэтага кіраўніцтва, каб зразумець, што вам трэба зрабіць далей, каб знізіць шанцы фішынгавай атакі на ваш бізнес.
Калі ласка, пакіньце каментарый, калі ў вас ёсць якія-небудзь пытанні да нас або калі вы хочаце падзяліцца сваімі ведамі або вопытам у галіне фішынгавых кампаній.
Не забудзьцеся падзяліцца гэтым кіраўніцтвам і распаўсюдзіць інфармацыю!
Хэйбайты
9511 Queens Guard Ct.
Лаўр, доктар медыцынскіх навук 20723
Тэлефон: (732) 771-9995
Адрас электроннай пошты: info@hailbytes.com
