Perry Carpenter ist Chief Evangelist von KnowBe4 Inc., Anbieter des beliebten Sicherheitsbewusstseinstrainings & Simulierte Phishing-Plattform.
Phishing ist auf dem Vormarsch und zeigt keine Anzeichen einer Verlangsamung. Google meldete im Jahr 2020 einen Rekord von 2, 1 Millionen Phishing-Websites, was fast 25% mehr ist als 2019. Darüber hinaus hat Google seit Beginn der Covid-19-Pandemie täglich über 18 Millionen Phishing-E-Mails proaktiv blockiert. Staffelung.
Die meisten Phishing-Angriffe sind wie gewöhnlicher Spam. E-Mails, Texte, Tweets und Social-Media-Beiträge werden häufig nur deshalb in großen Mengen veröffentlicht, weil dies billiger ist und auf jeden abzielt, der auf die Nachricht klickt, was dann den eigentlichen Angriff auslöst. Es wäre jedoch ein Fehler zu glauben, dass alle Phishing-Angriffe so allgemein sind. Willkommen in der Welt von Spear-Phishing und Walfang (eine höhere Klasse von Phish). Diese Phishing-Techniken entwickeln sich ständig weiter und sind in ihrem Ansatz alles andere als einfach. Berichte zeigen, dass Cyberkriminalitätssyndikate aktiv Zeit, Geld und Mühe investieren, um hochwertige Ziele zu verfolgen.
Was Spear-Phishing und Walfang von ihren allgemeineren, nach unten gerichteten Geschwistern unterscheidet, ist die fokussierte Natur der Angriffe. Während beim Spear-Phishing bestimmte Arten von Zielen verfolgt werden, häufig nach Organisationszugehörigkeit, Beim Walfang werden bestimmte Ziele (in der Regel erheblich und vermutlich wohlhabend) nach Position, Identität oder Name verfolgt. Schauen wir uns die Mechanismen von Spear-Phishing- und Walfang-Angriffen genauer an.
Spear-Phishing: Die Verschiebung von wahllos auf die gezielte
Spear-Phishing-Angriffe neigen dazu, öffentlich zugängliche Informationen und Zielorganisationen zu nutzen. Beiträge in sozialen Medien, Pressemitteilungen, Nachrichtenartikel usw. werden von Cyberkriminellen verwendet, um E-Mail-Nachrichten zu erstellen, die vertrauenswürdig und authentisch erscheinen. Solche Nachrichten scheinen sogar von jemandem innerhalb der Organisation zu stammen, der befugt ist, vertrauliche Informationen anzufordern. Sobald die Angreifer Vertrauen aufgebaut haben, fordern Spear-Phisher normalerweise Benutzernamen und Passwörter an oder bitten die Opfer, auf einen Link zu klicken, der heimlich Drive-By-Downloads auf ihren PCs installiert.
Im Dezember 2020 gab IBM die Entdeckung einer Spear-Phishing-Kampagne bekannt, die auf eine Covid-19-Impfstoffkühlkette abzielte, indem Phishing-E-Mails an ausgewählte Mitarbeiter in den Bereichen Vertrieb, Beschaffung, Informationstechnologie und Finanzen gesendet wurden.
Das FBI warnte auch US-Unternehmen vor einem wachsenden sprachbasierten Spear-Phishing-Angriff, der darauf abzielt, die Anmeldeinformationen der Mitarbeiter zu erfassen. Angreifer, die sich als andere Personen tarnten, nannten Work-from-Home-Mitarbeiter, um ihre Kontoanmeldeinformationen zu erhalten. Sobald sie Zugriff auf diese Anmeldeinformationen haben, erhalten Angreifer Zugriff auf die Unternehmensumgebung und planen ihre nächste Vorgehensweise. Letztendlich könnte der Spear-Phisher Administratorkennwörter, Bankkontoinformationen, Zugriff auf geistiges Eigentum oder andere wertvolle Daten erhalten oder jemanden in einer bestimmten Organisation dazu bringen, ein bösartiges Malware-Programm auszuführen.
Walfang: Netting The Prized Trophy
Allgemeine Phishing-Angriffe werfen ein weites Netz in der Hoffnung, jeden zu fangen, der auf den Köder hereinfällt, während der Walfang auf eine ausgewählte Person abzielt, normalerweise eine Führungskraft auf C-Ebene eines Großkonzerns. Eine der ersten Sichtungen eines Walfangangriffs erschien 2008, als die New York Times über einen Cyberangriff berichtete, der Tausende hochrangiger Führungskräfte von Finanzdienstleistungsunternehmen zum Ziel hatte.
Jedes Ziel erhielt eine E-Mail-Nachricht, die sich als Vorladung aus den USA tarnte. Bezirksgericht in San Diego, das den Namen, die Firma, die Adresse und die Telefonnummer der Exekutive sowie Anweisungen enthielt, in einem bevorstehenden Zivilprozess vor einer Grand Jury zu erscheinen. Die Nachricht veranlasste die Empfänger, eine vollständige Kopie der Vorladung herunterzuladen, die dann einen Drive-By-Download initiierte, der einen Keylogger und einen Backdoor-Trojaner enthielt.
In einem anderen Beispiel überwies die Stadt Saskatoon 2019 1 Million US-Dollar an Betrüger, die sich als Finanzvorstand eines renommierten Bauunternehmens ausgaben. Die Angreifer erstellt Look-alike-Domain-Namen und E-Mail-Adressen und überzeugte die Stadt, dass ihre Bankdaten geändert hatte.
Berichte, die auf den Einsatz von künstlicher Intelligenz (KI) und maschinellem Lernen (ML) hindeuten, tauchen ebenfalls auf. Angreifer gehen sogar so weit, KI zu nutzen, um hochrangige Führungskräfte zu emulieren und hochkarätige Walfangangriffe auszuführen.
Verhindern von Spear-Phishing- und Walfangangriffen
Obwohl Spear-Phishing- und Walfangangriffe nicht gestoppt werden können, kann die Befolgung dieser fünf Best Practices sicherlich dazu beitragen, dass Menschen nicht auf sie hereinfallen:
1. Klicken Sie niemals auf Links oder laden Sie verdächtige Anhänge herunter. Die meisten Phishing-Angriffe enden mit einem Aufruf zum Handeln – normalerweise klicken Sie auf einen Link oder öffnen einen Anhang. Sobald Sie einen Link erkennen, auf den Sie klicken sollen, sollten Sie misstrauisch sein. Wenn Sie der Meinung sind, dass der Link legitim ist, navigieren Sie zum Browser und geben Sie die URL ein, anstatt sie einzufügen. Die meisten Angreifer verwenden URL-Shortener und Look-Alike-Domain-Namen, um Opfer auszutricksen.
2. Fallen Sie nicht einer hergestellten Dringlichkeit zum Opfer. Ein wesentlicher Bestandteil eines Spear-Phishing- oder Walfangangriffs ist die Dringlichkeit einer Anfrage oder Nachfrage. Die meisten Angreifer werden eine Dringlichkeit herstellen, die das Opfer über eine drohende Bedrohung oder Frist Sorgen macht. Auf solche Bitten, Bitten oder Forderungen zu reagieren, ist niemals ratsam.
3. Überprüfen Sie Anfragen, bevor Sie handeln. Würde der CEO oder CFO Sie bitten, Tausende von Dollar auf ein Offshore-Konto zu überweisen? Wenn Sie denken, dass etwas nicht stimmt, sollten Sie sofort seine Echtheit überprüfen. Selbst wenn Sie denken, dass die Anfrage echt ist, ist es immer eine gute Idee, zum Telefon zu greifen und zu überprüfen. Wenn Sie einen zufälligen Anruf erhalten, in dem Sie um Zugangsdaten gebeten werden, überprüfen Sie immer deren Identität, bevor Sie vertrauliche Informationen weitergeben.
4. Beschränken Sie Ihre persönlichen Daten online. Spear-Phisher nutzen häufig persönliche Informationen von Social-Media-Konten wie Facebook, Twitter oder LinkedIn. Halten Sie Ihre Konten privat und vermeiden Sie es, jedes Detail Ihres persönlichen und beruflichen Lebens auf solchen Plattformen zu veröffentlichen.
5. Steigern Sie Ihr Cybersicherheitsbewusstsein. Es ist wichtig, dass Sie und Ihre Mitarbeiter regelmäßig geschult werden, um das Muskelgedächtnis zu entwickeln und Cyberangriffe zu erkennen und abzuwehren. Studien haben gezeigt, dass simuliertes Phishing-Training den durchschnittlichen Phish-anfälligen Prozentsatz um über 60% reduzieren kann.
Gezielte Betrügereien können sich als äußerst schädlich erweisen. Die Praxis einer guten Cyberhygiene in Kombination mit regelmäßigen Sensibilisierungsschulungen und einer starken technologischen Abwehr kann Unternehmen jedoch sicherlich dabei helfen, sich selbst zu schützen und Phisher in Schach zu halten.
Forbes Business Council ist die führende Wachstums- und Netzwerkorganisation für Unternehmer und Führungskräfte. Bin ich qualifiziert?
Folgen Sie mir auf Twitter oder LinkedIn. Schauen Sie sich meine Website an.
Perry Carpenter ist Chief Evangelist bei KnowBe4 Inc., Anbieter des beliebten Sicherheitsbewusstseinstrainings & Simulierte Phishing-Plattform. Lesen Sie hier das vollständige Executive Profile von Perry Carpenter.
Mehr lesenWeniger lesen