Perry Carpenter er chefevangelist for Vide4 Inc., udbyder af den populære Sikkerhedsbevidsthedstræning & simuleret Phishing-platform.
Phishing er stigende og viser ingen tegn på opbremsning. Google rapporterede en rekord på 2,1 millioner phishing-sider i 2020, hvilket er næsten 25% mere end 2019. Derudover har Google proaktivt blokeret over 18 millioner phishing-e-mails hver dag siden starten af Covid-19-pandemien. Svimlende.
de fleste phishing-angreb er som almindelig spam. E-mails, tekster, kvidre og indlæg på sociale medier går ofte ud i volumen, simpelthen fordi det er billigere at gøre det, og målretter mod alle, der klikker på beskeden, som derefter indleder det virkelige angreb. Men det ville være en fejl at tro, at alle phishing-angreb er så generiske. Velkommen til en verden af spyd-phishing og hvalfangst (en højere klasse af phish). Disse phishing-teknikker udvikler sig konstant og er alt andet end scatter-shot i deres tilgang. Rapporter viser, at cyberkriminalitetsyndikater aktivt investerer tid, penge og kræfter for at gå efter mål af høj værdi.
hvad sætter spyd-phishing og hvalfangst bortset fra deres mere generiske, ned-markedet søskende er den fokuserede karakter af angrebene. Mens spyd-phishing indebærer at gå efter bestemte typer mål, ofte ved organisatorisk tilknytning, involverer hvalfangst at gå efter specifikke mål (normalt betydelige og formodentlig velhavende) efter position, identitet eller navn. Lad os se nærmere på mekanismerne for spyd-phishing og hvalfangstangreb.
Spear-Phishing: skiftet fra vilkårlig til målrettet
Spear-phishing-angreb har tendens til at udnytte offentligt tilgængelige oplysninger og målorganisationer. Sociale medier indlæg, pressemeddelelser, nyhedsartikler, etc. bruges af cyberkriminelle til at udforme e-mails, der synes troværdig og autentisk. Sådanne meddelelser kan endda synes at stamme fra en person i organisationen, der har myndighed til at anmode om fortrolige oplysninger. Når angriberne etablerer tillid, anmoder spear-phishere normalt brugernavne og adgangskoder eller beder ofrene om at klikke på et link, der i hemmelighed installerer drive-by-overførsler på deres pc ‘ er.
i December 2020 annoncerede IBM opdagelsen af en spear-phishing-kampagne, der var rettet mod en Covid-19-vaccine-kølekæde ved at sende phishing-e-mails for at vælge medarbejdere inden for salg, indkøb, informationsteknologi og finanspositioner.
FBI udsendte også en advarsel til amerikanske virksomheder mod et voksende stemmebaseret spyd-phishing-angreb, der sigter mod at fange medarbejdernes loginoplysninger. Angribere forklædt som andre mennesker kaldet arbejde-fra-hjem medarbejdere i et forsøg på at få deres konto legitimationsoplysninger. Når de har adgang til disse legitimationsoplysninger, får angribere adgang til virksomhedsmiljøet og kortlægger deres næste handlingsforløb. I sidste ende kunne spear-phisher få administrative adgangskoder, bankkontooplysninger, adgang til intellektuel ejendom eller andre værdifulde data eller få succes med at få nogen i en bestemt organisation til at køre et ondsindet program.
hvalfangst: Netting af det værdsatte trofæ
generelle phishing-angreb kaster et bredt net i håb om at fange enhver, der falder for agnet, mens hvalfangst er målrettet mod en udvalgt person, normalt en C-niveau direktør for et større selskab. En af de første observationer af et hvalfangstangreb dukkede op i 2008, da Ny York Times rapporterede om et cyberangreb, der målrettede tusinder af højtstående ledere hos finansielle serviceselskaber.
hvert mål modtog en e-mail, der maskerede sig som en stævning fra USA. District Court i San Diego, der omfattede den udøvende navn, selskab, adresse og telefonnummer og instruktioner til at møde for en grand jury i en kommende civil retssag. Meddelelsen fik modtagerne til at hente en komplet kopi af stævningen, som derefter startede en drive-by-overførsel, der indeholdt en keylogger og en bagdør Trojan.
i et andet eksempel overførte byen Saskatoon i 2019 $1 million til svindlere, der udgør sig som finansdirektør for et anset byggefirma. Angriberne skabte look-alike domænenavne og e-mail-adresser og overbeviste byen om, at deres bankoplysninger var ændret.
rapporter, der antyder brugen af kunstig intelligens (AI) og maskinlæring (ML) teknologi, er også begyndt at dukke op. Angribere går endda i det omfang, de bruger AI til at efterligne højtstående ledere og udføre højt profilerede hvalfangstangreb.
forebyggelse af spyd-Phishing og Hvalfangstangreb
mens spyd-phishing og hvalfangstangreb ikke kan stoppes, kan det at følge disse fem bedste fremgangsmåder helt sikkert hjælpe folk med at falde for dem:
1. Klik aldrig på links eller hente mistænkelige vedhæftede filer. De fleste phishing — angreb slutter med en opfordring til handling-normalt klikker du på et link eller åbner en vedhæftet fil. Så snart du ser et link, hvor du skal klikke, skal du være mistænksom. Hvis du mener, at linket er legitimt, skal du navigere til bro.ser og skrive URL ‘ en i stedet for at indsætte den. De fleste angribere bruger URL-forkortere og lignende domænenavne til at narre ofre.
2. Bliv ikke bytte for en fremstillet haster. En vigtig komponent i et spyd-phishing eller et hvalfangstangreb er, at det haster med anmodning eller efterspørgsel. De fleste angribere vil fremstille en haster, der får offeret til at bekymre sig om en forestående trussel eller deadline. Svar på sådanne anbringender, anmodninger eller krav er aldrig tilrådeligt.
3. Bekræft anmodninger, før du handler. Ville CEO eller CFO bede dig om at overføre tusindvis af dollars til en offshore-konto? Hvis du synes, at noget er galt, skal du straks kontrollere dets ægthed. Selv når du mener, at anmodningen er ægte, er det altid en god ide at hente telefonen og verificere. Hvis du modtager et tilfældigt telefonopkald, der anmoder om adgangsoplysninger, skal du altid bekræfte deres identitet, før du deler følsomme oplysninger.
4. Begræns dine personlige oplysninger online. Spear-phishere udnytter ofte personlige oplysninger fra sociale mediekonti som Facebook, Kvidre eller LinkedIn. Hold dine konti private, og undgå at sende alle detaljer i dit personlige og professionelle liv på sådanne platforme.
5. Op din cybersikkerhed bevidsthed. Det er vigtigt, at du og dine medarbejdere gennemgår regelmæssig uddannelse og træning, der hjælper med at udvikle muskelhukommelse til at identificere og afvise cyberangreb. Undersøgelser har vist, at simuleret phishing-træning kan reducere den gennemsnitlige Phish-tilbøjelige procentdel med over 60%.
målrettede svindel kan vise sig yderst skadelige. Imidlertid, praksis med god cyberhygiejne, kombineret med regelmæssig bevidsthedstræning og stærke teknologiske forsvar, kan helt sikkert hjælpe virksomheder med at beskytte sig selv og holde phishere i skak.
Forbes Business Council er den førende vækst-og netværksorganisation for virksomhedsejere og ledere. Kvalificerer jeg mig?
Følg mig på Facebook eller LinkedIn. Tjek min hjemmeside.
Perry Carpenter er chefevangelist for Kendbe4 Inc., udbyder af den populære Sikkerhedsbevidsthedstræning & simuleret Phishing-platform. Læs Perry Carpenters fulde udøvende profil her.
Læs Merelæs Mindre