Pět osvědčených postupů, jak udržet útoky na phishing a lov velryb na uzdě

Perry Carpenter je hlavním Evangelistou KnowBe4 Inc., poskytovatel populárního školení o povědomí o bezpečnosti & simulovaná phishingová platforma.

getty

Phishing je na vzestupu a nevykazuje žádné známky zpomalení. Google vykázal v roce 2020 rekordních 2, 1 milionu phishingových webů, což je téměř o 25% více než v roce 2019. A co víc, Google proaktivně blokuje více než 18 milionů phishingových e-mailů každý den od začátku pandemie Covid-19. Ohromující.

většina phishingových útoků je jako obyčejný spam. E-maily, texty, tweety a příspěvky na sociálních médiích často vystupují v objemu jednoduše proto, že je to levnější, a zaměřují se na každého, kdo klikne na zprávu, která pak zahájí skutečný útok. Bylo by však chybou si myslet, že všechny phishingové útoky jsou tak obecné. Vítejte ve světě phishingu a lovu velryb (vyšší třída phish). Tyto phishingové techniky se neustále vyvíjejí a ve svém přístupu jsou cokoli jiného než rozptyl. Zprávy naznačují, že syndikáty počítačové kriminality aktivně investují čas, peníze a úsilí jít po vysoce hodnotných cílech.

co odlišuje spear-phishing a lov velryb od jejich obecnějších sourozenců na trhu, je soustředěná povaha útoků. Zatímco spear-phishing zahrnuje jít po konkrétních typech cílů, často podle organizační příslušnosti, lov velryb zahrnuje jít po konkrétních cílech (obvykle podstatných a pravděpodobně bohatých) podle pozice, identity nebo jména. Podívejme se podrobněji na mechanismy phishingových a velrybářských útoků.

Spear-Phishing: přechod od nerozlišujících k cíleným

Spear-phishingové útoky mají tendenci využívat veřejně přístupné informace a cílové organizace. Příspěvky na sociálních médiích, Tiskové zprávy, novinové články atd. používají kybernetičtí zločinci k vytváření e-mailových zpráv, které vypadají důvěryhodně a autenticky. Zdá se, že takové zprávy pocházejí od někoho uvnitř organizace, který má pravomoc požadovat důvěrné informace. Jakmile útočníci vytvoří důvěru, spear-phishers obvykle požadují uživatelská jména a hesla nebo žádají oběti, aby klikly na odkaz, který tajně nainstaluje stahování z disku do svých počítačů.

v prosinci 2020 společnost IBM oznámila objev kampaně spear-phishing, která se zaměřovala na studený řetězec vakcíny Covid-19 zasíláním phishingových e-mailů vybraným zaměstnancům v prodejních, nákupních, informačních technologiích a finančních pozicích.

FBI také vydala varování americkým společnostem před rostoucím hlasem založeným na spear-phishingovém útoku, jehož cílem je zachytit přihlašovací údaje zaměstnanců. Útočníci maskující se jako ostatní lidé nazývali zaměstnance z domova ve snaze získat přihlašovací údaje k účtu. Jakmile mají přístup k těmto pověřením, útočníci získají přístup do firemního prostředí a zmapují svůj další postup. Nakonec by spear-phisher mohl získat administrativní hesla, informace o bankovním účtu, přístup k duševnímu vlastnictví nebo jiným cenným datům nebo být úspěšný v tom, aby někdo uvnitř konkrétní organizace spustil škodlivý malware.

lov velryb: Síťování ceněné trofeje

Obecné phishingové útoky vrhají širokou síť v naději, že chytí každého, kdo padne na návnadu, zatímco lov velryb se zaměřuje na vybraného jednotlivce, obvykle výkonného ředitele významné společnosti na úrovni C. Jedno z prvních pozorování velrybářského útoku se objevilo v roce 2008, kdy New York Times informoval o kybernetickém útoku, který se zaměřil na tisíce vysoce postavených vedoucích pracovníků ve společnostech poskytujících finanční služby.

každý cíl obdržel e-mailovou zprávu maskovanou jako předvolání z USA Okresní soud v San Diegu, který zahrnoval jméno výkonného ředitele, společnost, adresa a telefonní číslo a pokyny k předložení před velkou porotou v nadcházejícím občanskoprávním řízení. Zpráva vedla příjemce ke stažení úplné kopie předvolání, který poté zahájil stahování drive-by, které zahrnovalo keylogger a backdoor Trojan.

v jiném příkladu v roce 2019 město Saskatoon převedlo 1 milion dolarů na podvodníky, kteří se vydávali za finančního ředitele renomované stavební společnosti. Útočníci vytvořili podobná doménová jména a e-mailové adresy a přesvědčili Město, že se jejich bankovní informace změnily.

zprávy naznačující použití technologie umělé inteligence (AI) a strojového učení (ML)se také začaly objevovat. Útočníci dokonce používají AI k napodobování vysoce postavených vedoucích pracovníků a provádění vysoce postavených velrybářských útoků.

předcházení útokům na phishing a lov velryb

zatímco útoky na phishing a lov velryb nelze zastavit, dodržování těchto pěti osvědčených postupů může určitě pomoci lidem, aby pro ně padli:

1. Nikdy neklikejte na odkazy ani nestahujte podezřelé přílohy. Většina phishingových útoků končí výzvou k akci-obvykle kliknutím na odkaz nebo otevřením přílohy. Jakmile si všimnete odkazu, na který máte kliknout, měli byste být podezřelí. Pokud si myslíte, že odkaz je legitimní, přejděte do prohlížeče a místo vložení zadejte adresu URL. Většina útočníků používá zkracovače adres URL a podobná doménová jména k oklamání obětí.

2. Nenechte se obětí vyrobené naléhavosti. Důležitou součástí phishingu nebo lovu velryb je naléhavost žádosti nebo poptávky. Většina útočníků vytvoří naléhavost, která způsobí, že se oběť obává hrozící hrozby nebo termínu. Reagovat na takové prosby, žádosti nebo požadavky se nikdy nedoporučuje.

3. Než budete jednat, ověřte požadavky. Požádal by vás generální ředitel nebo finanční ředitel o převod tisíců dolarů na offshore účet? Pokud si myslíte, že je něco špatně, měli byste okamžitě ověřit jeho pravost. I když si myslíte, že žádost je pravá, je vždy dobré zvednout telefon a ověřit. Pokud obdržíte náhodný telefonní hovor s žádostí o přístupové údaje, před sdílením jakýchkoli citlivých informací vždy ověřte jejich totožnost.

4. Omezte své osobní údaje online. Spear-phishers často využívají osobní údaje z účtů sociálních médií, jako je Facebook, Twitter nebo LinkedIn. Udržujte své účty v soukromí a vyhněte se zveřejňování všech detailů svého osobního a profesního života na těchto platformách.

5. Zvyšte své povědomí o kybernetické bezpečnosti. Je důležité, abyste vy a vaši zaměstnanci absolvovali pravidelné vzdělávání a školení, které pomáhá rozvíjet svalovou paměť k identifikaci a odpuzování kybernetických útoků. Studie ukázaly, že simulované školení o phishingu může snížit průměrné procento náchylné k phishům o více než 60%.

cílené podvody se mohou ukázat jako velmi škodlivé. Praxe dobré kybernetické hygieny v kombinaci s pravidelným školením o povědomí a silnou technologickou obranou však může podnikům určitě pomoci chránit se a udržet phishery na uzdě.

Forbes Business Council je přední růstová a síťová organizace pro majitele podniků a vůdce. Mám nárok?

Následujte mě na Twitteru nebo LinkedIn. Podívejte se na mé webové stránky.