Меню
Полное руководство по фишингу в 2023 году
Итак, что фишинг?
Фишинг — это форма социальной инженерии, которая обманом заставляет людей раскрывать свои пароли или ценные информация. Фишинговые атаки могут быть в форме электронных писем, текстовых сообщений и телефонных звонков.
Обычно эти атаки выдают себя за популярные сервисы и компании, которые люди легко узнают.
Когда пользователи нажимают фишинговую ссылку в теле письма, они перенаправляются на похожую версию сайта, которому они доверяют. На этом этапе фишинговой аферы их просят ввести учетные данные для входа. Как только они вводят свою информацию на поддельном веб-сайте, злоумышленник получает все необходимое для доступа к своей реальной учетной записи.
Фишинговые атаки могут привести к краже личной информации, финансовой информации или медицинской информации. Как только злоумышленник получает доступ к одной учетной записи, он либо продает доступ к учетной записи, либо использует эту информацию для взлома других учетных записей жертвы.
Как только учетная запись будет продана, кто-то, кто знает, как получить прибыль от учетной записи, купит учетные данные учетной записи в темной сети и извлечет выгоду из украденных данных.
Вот визуализация, которая поможет вам понять этапы фишинговой атаки:
Фишинговые атаки бывают разных форм. Фишинг может работать с телефонным звонком, текстовым сообщением, электронной почтой или сообщением в социальных сетях.
Общие фишинговые электронные письма являются наиболее распространенным типом фишинговых атак. Подобные атаки распространены, потому что они требуют наименьших усилий.
Хакеры берут список адресов электронной почты, связанных с учетными записями Paypal или социальных сетей, и отправляют массовая рассылка электронных писем потенциальным жертвам.
Когда жертва нажимает на ссылку в электронном письме, она часто перенаправляет ее на поддельную версию популярного веб-сайта и просит ее войти в систему с данными своей учетной записи. Как только они отправят информацию о своей учетной записи, хакер получит все необходимое для доступа к своей учетной записи.
В некотором смысле этот тип фишинга подобен забрасыванию сети в косяк рыбы; тогда как другие формы фишинга носят более целенаправленный характер.
Целевой фишинг — это когда злоумышленник нацелен на конкретного человека вместо того, чтобы отправлять общее электронное письмо группе людей.
Целевые фишинговые атаки пытаются конкретно адресовать цель и маскировать себя под человека, которого жертва может знать.
Эти атаки проще для мошенника, если у вас есть личная информация в Интернете. Злоумышленник может исследовать вас и вашу сеть, чтобы создать релевантное и убедительное сообщение.
Из-за высокой степени персонализации целевые фишинговые атаки гораздо сложнее идентифицировать по сравнению с обычными фишинговыми атаками.
Они также менее распространены, потому что преступникам требуется больше времени, чтобы успешно их осуществить.
Вопрос: Какова вероятность успеха целевого фишинга?
Ответ: средний показатель открываемости электронных писем, предназначенных для целевого фишинга, составляет 70% и 50% получателей щелкнули ссылку в электронном письме.
По сравнению с атаками целевого фишинга китобойные атаки гораздо более целенаправленны.
Нападения китов преследуют отдельных лиц в организации, таких как главный исполнительный директор или финансовый директор компании.
Одной из наиболее распространенных целей китобойных атак является манипулирование жертвой, чтобы она перевела злоумышленнику крупные суммы денег.
Подобно обычному фишингу в том смысле, что атака осуществляется в форме электронной почты, китобойный промысел может использовать логотипы компаний и аналогичные адреса для маскировки.
В некоторых случаях злоумышленник выдает себя за генерального директора. и использовать эту личность, чтобы убедить другого сотрудника раскрыть финансовые данные или перевести деньги на счет злоумышленников.
Поскольку сотрудники с меньшей вероятностью откажут в просьбе кого-то вышестоящего, эти атаки гораздо более коварны.
Злоумышленники часто тратят больше времени на подготовку китобойной атаки, потому что они, как правило, лучше окупаются.
Название «китобойный промысел» относится к тому факту, что цели обладают большей финансовой властью (генеральные директора).
Фишинг Angler является относительно новый тип фишинговой атаки и существует в социальных сетях.
Они не следуют традиционному формату фишинговых атак по электронной почте.
Вместо этого они маскируются под представителей службы поддержки клиентов компаний и обманом заставляют людей отправлять им информацию через прямые сообщения.
Обычная афера заключается в отправке людей на поддельный веб-сайт поддержки клиентов, который загружает вредоносное ПО или, другими словами, вымогателей на устройство жертвы.
Атака вишинга - это когда вам звонит мошенник чтобы попытаться получить личную информацию от вас.
Мошенники обычно притворяются уважаемым бизнесом или организацией, такой как Microsoft, IRS или даже вашим банком.
Они используют тактику запугивания, чтобы заставить вас раскрыть важные данные аккаунта.
Это позволяет им прямо или косвенно получать доступ к вашим важным учетным записям.
Вишинг-атаки сложны.
Злоумышленники могут легко выдавать себя за людей, которым вы доверяете.
Посмотрите, как основатель Hailbytes Дэвид Макхейл рассказывает о том, как роботизированные звонки исчезнут с появлением технологий будущего.
Большинство фишинговых атак происходит через электронные письма, но есть способы определить их законность.
Когда вы открываете письмо проверьте, не является ли он из общедоступного домена электронной почты (например, @gmail.com).
Если это из общедоступного домена электронной почты, это, скорее всего, фишинговая атака, поскольку организации не используют общедоступные домены.
Скорее, их домены будут уникальными для их бизнеса (например, домен электронной почты Google — @google.com).
Однако существуют более хитрые фишинговые атаки, в которых используется уникальный домен.
Полезно сделать быстрый поиск компании и проверить ее легитимность.
Фишинговые атаки всегда пытаются подружиться с вами с помощью приятного приветствия или сочувствия.
Например, не так давно в спаме я нашел фишинговое письмо с приветствием «Дорогой друг».
Я уже знал, что это фишинговое письмо, так как в строке темы было написано: «ХОРОШИЕ НОВОСТИ О ВАШИХ СРЕДСТВАХ 21».
Если вы никогда не взаимодействовали с этим контактом, то такие приветствия должны быть мгновенными красными флажками.
Содержимое фишингового электронного письма очень важно, и вы увидите некоторые отличительные особенности, составляющие большую его часть.
Если содержание звучит абсурдно, то, скорее всего, это лохотрон.
Например, если в теме письма сказано: «Вы выиграли в лотерею 1000000 XNUMX XNUMX долларов», и вы не помните, что участвовали в ней, то это тревожный сигнал.
Когда контент создает ощущение срочности, например, «это зависит от вас», и приводит к переходу по подозрительной ссылке, то это, скорее всего, мошенничество.
К фишинговым письмам всегда прилагается подозрительная ссылка или файл.
Хороший способ проверить, содержит ли ссылка вирус, — использовать VirusTotal, веб-сайт, который проверяет файлы или ссылки на наличие вредоносных программ.
Пример фишингового письма:
В примере Google указывает, что электронная почта может быть потенциально опасной.
Он распознает, что его содержание совпадает с другими подобными фишинговыми сообщениями.
Если электронное письмо соответствует большинству вышеперечисленных критериев, рекомендуется сообщить об этом по адресу reportphishing@apwg.org или phishing-report@us-cert.gov, чтобы оно было заблокировано.
Если вы используете Gmail, есть возможность пожаловаться на фишинг.
Несмотря на то, что фишинговые атаки ориентированы на случайных пользователей, они часто нацелены на сотрудников компании.
Однако злоумышленникам всегда нужны не деньги компании, а ее данные.
С точки зрения бизнеса данные гораздо ценнее денег, и они могут серьезно повлиять на компанию.
Злоумышленники могут использовать утечку данных, чтобы повлиять на общественность, подорвав доверие потребителей и запятнав имя компании.
Но это не единственные последствия, к которым это может привести.
Другие последствия включают негативное влияние на доверие инвесторов, нарушение бизнеса и подстрекательство к штрафам со стороны регулирующих органов в соответствии с Общим регламентом по защите данных (GDPR).
Рекомендуется обучить ваших сотрудников решению этой проблемы, чтобы уменьшить количество успешных фишинговых атак.
Способы обучения сотрудников обычно заключаются в том, чтобы показать им примеры фишинговых писем и способы их обнаружения.
Еще один хороший способ показать сотрудникам, что они занимаются фишингом, — это симуляция.
Моделирование фишинга — это в основном поддельные атаки, разработанные, чтобы помочь сотрудникам распознать фишинг из первых рук без каких-либо негативных последствий.
Теперь мы поделимся шагами, которые необходимо предпринять для проведения успешной фишинговой кампании.
Согласно отчету WIPRO о состоянии кибербезопасности за 2020 год, фишинг остается главной угрозой безопасности.
Один из лучших способов собрать данные и обучить сотрудников — провести внутреннюю фишинговую кампанию.
Создать фишинговое электронное письмо с помощью фишинговой платформы может быть достаточно просто, но это гораздо больше, чем просто нажать «Отправить».
Мы обсудим, как обрабатывать фишинговые тесты с помощью внутренних коммуникаций.
Затем мы рассмотрим, как вы анализируете и используете собранные данные.
Фишинговая кампания не направлена на наказание людей, если они попадутся на удочку. Моделирование фишинга — это обучение сотрудников тому, как реагировать на фишинговые электронные письма. Вы хотите убедиться, что вы открыто проводите обучение фишингу в своей компании. Расставьте приоритеты в информировании руководителей компании о фишинговой кампании и опишите цели кампании.
После того, как вы отправите свое первое базовое тестовое сообщение о фишинге, вы можете сделать объявление всем сотрудникам компании.
Важным аспектом внутренних коммуникаций является поддержание согласованности сообщения. Если вы проводите свои собственные тесты на фишинг, рекомендуется придумать вымышленный бренд для вашего учебного материала.
Придумав название для своей программы, вы поможете сотрудникам узнавать ваш образовательный контент в своих почтовых ящиках.
Если вы используете управляемую службу тестирования фишинга, то они, скорее всего, покроют это. Образовательный контент должен быть подготовлен заблаговременно, чтобы вы могли сразу же следить за ходом своей кампании.
Предоставьте своим сотрудникам инструкции и информацию о вашем внутреннем протоколе фишинговой электронной почты после базового теста.
Вы хотите дать своим коллегам возможность правильно отреагировать на тренинг.
Наблюдение за количеством людей, которые правильно обнаруживают электронное письмо и сообщают об этом, является важной информацией, которую можно получить в результате проверки на фишинг.
Что должно быть вашим главным приоритетом в вашей кампании?
Обязательство.
Вы можете попытаться основывать свои результаты на количестве успехов и неудач, но эти цифры не обязательно помогут вам в достижении вашей цели.
Если вы запускаете тестовую симуляцию фишинга, и никто не нажимает на ссылку, означает ли это, что ваш тест прошел успешно?
Короткий ответ - нет".
Наличие 100% успеха не означает успеха.
Это может означать, что ваш фишинговый тест было слишком легко обнаружить.
С другой стороны, если вы получаете огромное количество отказов с фишинговым тестом, это может означать что-то совершенно другое.
Это может означать, что ваши сотрудники еще не могут обнаружить фишинговые атаки.
Когда вы получаете высокий уровень кликов для своей кампании, есть большая вероятность, что вам нужно снизить сложность фишинговых писем.
Уделите больше времени обучению людей на их нынешнем уровне.
В конечном итоге вы хотите снизить количество кликов по фишинговым ссылкам.
Вам может быть интересно, каков хороший или плохой рейтинг кликов при имитации фишинга.
Согласно sans.org, ваш первая симуляция фишинга может дать средний показатель кликов 25-30%.
Кажется, это действительно большое число.
К счастью, они сообщили, что после 9-18 месяцев обучения фишингу кликабельность фишингового теста составила ниже 5%.
Эти цифры могут помочь в качестве приблизительной оценки желаемых результатов обучения фишингу.
Чтобы начать свою первую симуляцию фишинговой электронной почты, обязательно внесите IP-адрес инструмента тестирования в белый список.
Это гарантирует, что сотрудники получат электронное письмо.
Создавая свое первое смоделированное фишинговое письмо, не делайте его слишком простым или слишком сложным.
Вы также должны помнить о своей аудитории.
Если ваши коллеги не являются активными пользователями социальных сетей, то, вероятно, не стоит использовать поддельное фишинговое письмо для сброса пароля LinkedIn. Письмо тестировщика должно иметь достаточно широкую привлекательность, чтобы у всех в вашей компании была причина нажать на него.
Вот некоторые примеры фишинговых писем с широкой привлекательностью:
Просто помните психологию того, как сообщение будет воспринято вашей аудиторией, прежде чем нажать «Отправить».
Продолжайте рассылать своим сотрудникам обучающие письма по фишингу. Убедитесь, что вы медленно увеличиваете сложность с течением времени, чтобы повысить уровень навыков людей.
Рекомендуется делать ежемесячные рассылки по электронной почте. Если вы слишком часто «фишируете» свою организацию, они, скорее всего, поймут это слишком быстро.
Застать своих сотрудников врасплох — лучший способ получить более реалистичные результаты.
Если вы каждый раз отправляете однотипные «фишинговые» письма, вы не научите своих сотрудников, как реагировать на разные виды мошенничества.
Вы можете попробовать несколько разных ракурсов, в том числе:
Когда вы отправляете новые кампании, всегда следите за тем, чтобы точно настроить актуальность сообщения для вашей аудитории.
Если вы отправляете фишинговое электронное письмо, не связанное с чем-то интересным, вы можете не получить много ответов от своей кампании.
После отправки различных кампаний своим сотрудникам обновите некоторые из старых кампаний, которые обманули людей в первый раз, и по-новому взгляните на эту кампанию.
Вы сможете оценить эффективность своего обучения, если увидите, что люди либо учатся, либо совершенствуются.
Оттуда вы сможете сказать, нужно ли им больше информации о том, как определить определенный тип фишинговой электронной почты.
Есть 3 фактора, определяющих, собираетесь ли вы создать собственную программу обучения фишингу или отдать ее на аутсорсинг.
Если вы являетесь инженером по безопасности или имеете его в своей компании, вы можете легко создать фишинговый сервер, используя уже существующую фишинговую платформу для создания своих кампаний.
Если у вас нет инженеров по безопасности, о создании собственной фишинговой программы не может быть и речи.
В вашей организации может быть инженер по безопасности, но он может не иметь опыта работы с социальной инженерией или фишинговыми тестами.
Если у вас есть опытный человек, он будет достаточно надежным, чтобы создать свою собственную программу фишинга.
Это действительно важный фактор для малых и средних компаний.
Если ваша команда небольшая, может быть неудобно добавлять еще одну задачу в группу безопасности.
Гораздо удобнее, чтобы за вас работала другая опытная команда.
Вы прошли все это руководство, чтобы выяснить, как вы можете обучать своих сотрудников, и вы готовы начать защищать свою организацию с помощью обучения фишингу.
Что теперь?
Если вы инженер по безопасности и хотите начать свои первые фишинговые кампании прямо сейчас, перейдите сюда, чтобы узнать больше об инструменте моделирования фишинга, который вы можете использовать, чтобы начать работу сегодня.
Или…
Если вы хотите узнать об управляемых службах для проведения фишинговых кампаний, см. Узнайте больше прямо здесь о том, как вы можете начать бесплатную пробную версию обучения фишингу.
Используйте контрольный список, чтобы определить необычные электронные письма, и если они являются фишингом, сообщите о них.
Несмотря на то, что существуют фишинговые фильтры, которые могут защитить вас, это не на 100%.
Фишинговые письма постоянно развиваются и никогда не бывают одинаковыми.
к защитить свою компанию от фишинговых атак, в которых вы можете принять участие имитация фишинга чтобы уменьшить вероятность успешных фишинговых атак.
Мы надеемся, что вы узнали из этого руководства достаточно, чтобы понять, что вам нужно делать дальше, чтобы снизить вероятность фишинговой атаки на ваш бизнес.
Пожалуйста, оставьте комментарий, если у вас есть какие-либо вопросы к нам или если вы хотите поделиться своими знаниями или опытом в отношении фишинговых кампаний.
Не забудьте поделиться этим руководством и распространить информацию!
град
9511 Королевская гвардия Ct.
Laurel, MD 20723
Телефон: (732) 771-9995
Электронная почта: info@hailbytes.com
