Меню
Повний посібник із розуміння фішингу у 2023 році
Отже, що є phishing?
Фішинг — це форма соціальної інженерії, яка обманом змушує людей розкрити їхні паролі чи цінні речі інформація. Фішингові атаки можуть здійснюватися у вигляді електронних листів, текстових повідомлень і телефонних дзвінків.
Зазвичай ці атаки видають за популярні сервіси та компанії, які люди легко впізнають.
Коли користувачі натискають фішингове посилання в тілі електронного листа, вони переходять на схожу версію сайту, якому довіряють. На цьому етапі фішингового шахрайства їх запитують облікові дані для входу. Щойно вони введуть свою інформацію на фальшивому веб-сайті, зловмисник отримає все необхідне для доступу до свого справжнього облікового запису.
Фішингові атаки можуть призвести до викрадення особистої інформації, фінансової інформації або інформації про здоров’я. Коли зловмисник отримує доступ до одного облікового запису, він або продає доступ до облікового запису, або використовує цю інформацію для злому інших облікових записів жертви.
Після продажу облікового запису хтось, хто знає, як отримати прибуток від облікового запису, купить облікові дані облікового запису в темній мережі та заробить на викрадених даних.
Ось візуалізація, яка допоможе вам зрозуміти етапи фішингової атаки:
Фішингові атаки бувають різних форм. Фішинг може працювати за допомогою телефонного дзвінка, текстового повідомлення, електронної пошти чи повідомлення в соціальних мережах.
Загальні фішингові листи є найпоширенішим типом фішингової атаки. Такі напади є поширеними, тому що вони вимагають найменших зусиль.
Хакери беруть список електронних адрес, пов’язаних із обліковими записами Paypal або соціальних мереж, і надсилають масова розсилка електронних листів потенційним жертвам.
Коли жертва натискає посилання в електронному листі, вона часто перенаправляє її на підроблену версію популярного веб-сайту та просить увійти, використовуючи дані свого облікового запису. Як тільки вони надсилають інформацію про свій обліковий запис, хакер отримує все необхідне для доступу до свого облікового запису.
У певному сенсі цей тип фішингу схожий на закидання сіті в зграю риб; тоді як інші форми фішингу є більш цілеспрямованими.
Фішинг – це коли зловмисник націлений на конкретну особу а не надсилати загальний електронний лист групі людей.
Фішингові атаки спрямовані на ціль і видають себе за людину, яку жертва може знати.
Ці атаки легші для шахраїв, якщо у вас є особиста інформація в Інтернеті. Зловмисник може дослідити вас і вашу мережу, щоб створити доречне та переконливе повідомлення.
Через високий рівень персоналізації фішингові атаки значно важче ідентифікувати порівняно зі звичайними фішинговими атаками.
Вони також менш поширені, оскільки злочинцям потрібно більше часу, щоб їх успішно витягти.
Запитання. Який відсоток успіху електронної пошти для підманного фішингу?
Відповідь: середня кількість відкритих електронних листів для фішингу становить 70% та 50% одержувачів клацнуть посилання в електронному листі.
Порівняно з фішинговими атаками, китобійні атаки значно цілеспрямованіші.
Напади на китобійних промислів спрямовані на окремих осіб в організації, наприклад на головного виконавчого директора або фінансового директора компанії.
Однією з найпоширеніших цілей нападу на китобійного промислу є змусити жертву перевести великі суми грошей зловмиснику.
Подібно до звичайного фішингу в тому, що атака здійснюється у формі електронного листа, китобійний промисел може використовувати логотипи компанії та подібні адреси, щоб замаскуватися.
У деяких випадках зловмисник видає себе за генерального директора і використовувати цю особу, щоб переконати іншого співробітника розкрити фінансові дані або переказати гроші на рахунок зловмисників.
Оскільки співробітники з меншою ймовірністю відмовлять у запиті від когось із вищих посад, ці атаки набагато хитріші.
Зловмисники часто витрачають більше часу на створення китобійної атаки, оскільки вони, як правило, окупаються краще.
Назва «китобійний промисел» стосується того факту, що цілі мають більшу фінансову владу (керівники).
Фішинг рибалок – це відносно Новий тип фішингової атаки існує в соціальних мережах.
Вони не дотримуються традиційного електронного формату фішингових атак.
Натомість вони маскуються під представників служби підтримки клієнтів компаній і обманом змушують людей надсилати їм інформацію через прямі повідомлення.
Поширене шахрайство полягає в тому, щоб відправити людей на фальшивий веб-сайт підтримки клієнтів, який завантажує зловмисне програмне забезпечення або іншими словами вимагачів на пристрій жертви.
Вішинг-атака – це коли вам дзвонить шахрай щоб спробувати зібрати від вас особисту інформацію.
Зазвичай шахраї видають себе за авторитетну компанію чи організацію, як-от Microsoft, IRS або навіть ваш банк.
Вони використовують тактику страху, щоб змусити вас розкрити важливі дані облікового запису.
Це дає їм прямий або опосередкований доступ до ваших важливих облікових записів.
Напади вішингу складні.
Зловмисники можуть легко видати себе за людей, яким ви довіряєте.
Дивіться розмову засновника Hailbytes Девіда Макхейла про те, як автоматичні дзвінки зникнуть із технологією майбутнього.
Більшість фішингових атак відбувається через електронні листи, але є способи визначити їх законність.
Коли ви відкриваєте електронний лист перевірте, чи це домен загальнодоступної електронної пошти (тобто @gmail.com).
Якщо це загальнодоступний домен електронної пошти, це, швидше за все, фішингова атака, оскільки організації не використовують публічні домени.
Швидше, їхні домени будуть унікальними для їхнього бізнесу (тобто домен електронної пошти Google – @google.com).
Однак існують складніші фішингові атаки, які використовують унікальний домен.
Корисно швидко пошукати компанію та перевірити її законність.
Фішингові атаки завжди намагаються подружитися з вами за допомогою приємного привітання або співчуття.
Наприклад, нещодавно я знайшов у своєму спамі фішинговий лист із привітанням «Любий друже».
Я вже знав, що це фішинговий електронний лист, оскільки в темі було написано: «ДОБРА НОВИНА ПРО ВАШІ КОШТИ 21».
Якщо ви ніколи не спілкувалися з цим контактом, побачивши такі типи привітань, має бути миттєва тривога.
Вміст фішингового електронного листа дуже важливий, і ви побачите деякі відмінні риси, які складають більшість.
Якщо зміст звучить абсурдно, то, швидше за все, це шахрайство.
Наприклад, якщо в темі сказано: «Ви виграли в лотерею 1000000 XNUMX доларів США», і ви нічого не пам’ятаєте, що брали участь, це червоний прапорець.
Якщо вміст викликає відчуття терміновості, наприклад «це залежить від вас», і це призводить до натискання підозрілого посилання, то, швидше за все, це шахрайство.
До фішингових електронних листів завжди прикріплено підозріле посилання або файл.
Хороший спосіб перевірити, чи містить посилання вірус, — скористатися VirusTotal, веб-сайтом, який перевіряє файли чи посилання на наявність зловмисного програмного забезпечення.
Приклад фішингової електронної пошти:
У цьому прикладі Google зазначає, що електронний лист може бути потенційно небезпечним.
Він розпізнає, що його вміст збігається з іншими подібними фішинговими електронними листами.
Якщо електронний лист відповідає більшості наведених вище критеріїв, радимо повідомити про нього на адресу reportphishing@apwg.org або phishing-report@us-cert.gov, щоб його було заблоковано.
Якщо ви користуєтеся Gmail, є можливість повідомити про фішинг в електронній пошті.
Незважаючи на те, що фішингові атаки спрямовані на випадкових користувачів, вони часто спрямовані на співробітників компанії.
Однак зловмисникам не завжди потрібні гроші компанії, а її дані.
З точки зору бізнесу, дані набагато цінніші за гроші, і вони можуть серйозно вплинути на компанію.
Зловмисники можуть використовувати витік даних, щоб впливати на громадськість, впливаючи на довіру споживачів і заплямувавши назву компанії.
Але це не єдині наслідки, до яких це може призвести.
Інші наслідки включають негативний вплив на довіру інвесторів, підрив бізнесу та стимулювання регуляторних штрафів відповідно до Загального регламенту захисту даних (GDPR).
Щоб зменшити кількість успішних фішингових атак, рекомендується навчити своїх співробітників вирішувати цю проблему.
Загалом можна навчити працівників, показуючи їм приклади фішингових електронних листів і способи їх виявлення.
Іншим хорошим способом показати співробітникам фішинг є моделювання.
Симуляції фішингу — це в основному фальшиві атаки, розроблені, щоб допомогти співробітникам розпізнати фішинг з перших вуст без будь-яких негативних наслідків.
Зараз ми поділимося кроками, які потрібно виконати, щоб провести успішну фішингову кампанію.
Згідно зі звітом WIPRO про стан кібербезпеки за 2020 рік, фішинг залишається головною загрозою безпеці.
Один із найкращих способів збору даних і навчання співробітників — проведення внутрішньої фішингової кампанії.
Створити фішинговий електронний лист за допомогою фішингової платформи може бути досить легко, але це набагато більше, ніж натиснути кнопку «Надіслати».
Ми обговоримо, як обробляти тести на фішинг за допомогою внутрішніх комунікацій.
Потім ми розглянемо, як ви аналізуєте та використовуєте дані, які збираєте.
Фішингова кампанія не передбачає покарання людей, якщо вони потрапляють на шахрайство. Симуляція фішингу передбачає навчання співробітників, як реагувати на фішингові листи. Ви хочете бути впевненими, що ви прозорі щодо навчання фішингу у своїй компанії. Надайте пріоритет інформуванню керівництва компанії про вашу фішингову кампанію та опишіть цілі кампанії.
Після того, як ви надішлете свій перший базовий фішинговий тест електронної пошти, ви можете зробити оголошення для всієї компанії всім співробітникам.
Важливим аспектом внутрішніх комунікацій є збереження узгодженості повідомлення. Якщо ви проводите власні тести на фішинг, тоді було б гарною ідеєю придумати вигаданий бренд для вашого навчального матеріалу.
Вибір назви для вашої програми допоможе співробітникам розпізнавати ваш навчальний контент у своїй папці "Вхідні".
Якщо ви користуєтеся керованою службою перевірки фішингу, вони, ймовірно, охоплять це. Освітній контент має бути створений завчасно, щоб ви могли негайно відслідкувати свою кампанію.
Дайте своїм співробітникам інструкції та інформацію про внутрішній протокол електронної пошти під фішинг після базового тесту.
Ви хочете дати своїм колегам можливість правильно відповісти на навчання.
Перегляд кількості людей, які правильно помітили електронний лист і повідомили про нього, є важливою інформацією, яку можна отримати під час тесту на фішинг.
Що має бути вашим головним пріоритетом у вашій кампанії?
Залучення.
Ви можете спробувати заснувати свої результати на кількості успіхів і невдач, але ці цифри не обов’язково допоможуть вам у досягненні мети.
Якщо ви запускаєте симуляцію тесту на фішинг і ніхто не натискає посилання, чи означає це, що ваш тест пройшов успішно?
Коротка відповідь: «ні».
100% успіх не означає успіх.
Це може означати, що ваш тест на фішинг було занадто легко виявити.
З іншого боку, якщо ви отримуєте величезний відсоток невдач під час тесту на фішинг, це може означати щось зовсім інше.
Це може означати, що ваші співробітники ще не можуть помітити фішингові атаки.
Коли ви отримуєте високу кількість кліків для своєї кампанії, є хороший шанс, що вам потрібно знизити складність ваших фішингових електронних листів.
Приділіть більше часу навчанню людей на їхньому поточному рівні.
Зрештою, ви хочете зменшити кількість кліків фішингових посилань.
Можливо, вам цікаво, який рейтинг кліків є хорошим чи поганим із симуляцією фішингу.
За даними sans.org, ваш перша симуляція фішингу може дати середню частоту кліків 25-30%.
Здається, це справді велика цифра.
На щастя, вони повідомили про це після 9-18 місяців навчання фішингу частота кліків для тесту на фішинг становила нижче 5%.
Ці цифри можуть допомогти як приблизна оцінка ваших бажаних результатів від навчання фішингу.
Щоб розпочати свою першу симуляцію фішингової електронної пошти, обов’язково внесіть IP-адресу інструмента тестування в білий список.
Це гарантує, що співробітники отримають електронний лист.
Створюючи свій перший імітований фішинговий електронний лист, не робіть це надто легким чи надто складним.
Ви також повинні пам'ятати про свою аудиторію.
Якщо ваші колеги не дуже активно користуються соціальними мережами, то, ймовірно, було б не гарною ідеєю використовувати підроблений фішинговий лист для скидання пароля LinkedIn. Електронний лист тестувальника має бути достатньо привабливим, щоб кожен у вашій компанії мав причину натиснути.
Нижче наведено кілька прикладів фішингових електронних листів із широкою популярністю.
Просто запам’ятайте психологію того, як ваша аудиторія сприйме повідомлення, перш ніж натиснути «Надіслати».
Продовжуйте надсилати навчальні електронні листи з фішингу своїм співробітникам. Переконайтеся, що ви повільно збільшуєте складність з часом, щоб підвищити рівень навичок людей.
Рекомендовано надсилати листи щомісяця. Якщо ви надто часто «фішингуєте» свою організацію, вона, ймовірно, надто швидко розбереться.
Зловити своїх співробітників трохи зненацька – найкращий спосіб отримати більш реалістичні результати.
Якщо ви щоразу надсилаєте один і той самий тип «фішингових» електронних листів, ви не навчите своїх співробітників, як реагувати на різні шахрайства.
Ви можете спробувати кілька різних ракурсів, зокрема:
Надсилаючи нові кампанії, завжди переконайтеся, що ви точно налаштовуєте релевантність повідомлення для вашої аудиторії.
Якщо ви надішлете фішинговий електронний лист, який не стосується чогось цікавого, ви можете не отримати відповіді від своєї кампанії.
Надіславши різні кампанії своїм співробітникам, оновіть деякі старі кампанії, які ввели людей в оману вперше, і розгорніть цю кампанію заново.
Ви зможете оцінити ефективність свого навчання, якщо побачите, що люди або навчаються, і вдосконалюються.
Звідти ви зможете визначити, чи потрібна їм додаткова освіта щодо виявлення певного типу фішингової електронної пошти.
Існує 3 чинники, які визначають, чи збираєтеся ви створити власну програму навчання фішингу чи замовити цю програму.
Якщо ви є інженером із безпеки або маєте його у своїй компанії, ви можете легко створити фішинговий сервер, використовуючи вже існуючу фішингову платформу для створення своїх кампаній.
Якщо у вас немає інженерів із безпеки, про створення власної фішингової програми може бути й мови.
У вашій організації може бути інженер із безпеки, але він може не мати досвіду в тестуванні соціальної інженерії чи фішингу.
Якщо у вас є хтось із досвідом, він буде достатньо надійним, щоб створити власну фішингову програму.
Це дуже важливий фактор для малих і середніх компаній.
Якщо ваша команда невелика, можливо, буде незручно додавати ще одне завдання до вашої групи безпеки.
Набагато зручніше, якщо інша досвідчена команда виконує роботу за вас.
Ви пройшли весь цей посібник, щоб зрозуміти, як навчити своїх співробітників, і ви готові розпочати захист своєї організації за допомогою навчання фішингу.
Що тепер?
Якщо ви інженер із безпеки та хочете розпочати свої перші фішингові кампанії зараз, перейдіть сюди, щоб дізнатися більше про інструмент симуляції фішингу, який ви можете використовувати, щоб почати вже сьогодні.
Або…
Якщо вам цікаво дізнатися про керовані служби для проведення фішингових кампаній, тут дізнайтеся більше про те, як розпочати безкоштовну пробну версію навчання фішингу.
Використовуйте контрольний список, щоб визначити незвичні електронні листи та, якщо вони є фішинговими, повідомити про них.
Навіть якщо існують фішингові фільтри, які можуть захистити вас, це не на 100%.
Фішингові електронні листи постійно розвиваються і ніколи не бувають однаковими.
До захистити свою компанію від фішингових атак, у яких ви можете брати участь симуляції фішингу щоб зменшити ймовірність успішних фішингових атак.
Ми сподіваємося, що ви дізналися достатньо з цього посібника, щоб зрозуміти, що вам потрібно робити далі, щоб зменшити шанси фішингової атаки на ваш бізнес.
Будь ласка, залиште коментар, якщо у вас є запитання до нас або якщо ви хочете поділитися своїми знаннями чи досвідом щодо фішингових кампаній.
Не забудьте поділитися цим посібником і поширити інформацію!
Hailbytes
9511 Queens Guard Ct.
Лорел, MD 20723
Телефон: (732) 771-9995
Електронна адреса: info@hailbytes.com
