Perry Carpenter jest głównym ewangelistą dla KnowBe4 Inc., dostawca popularnego szkolenia Security Awareness & symulowanej Platformy phishingowej.
getty
Phishing rośnie i nie wykazuje oznak spowolnienia. Google odnotowało rekordowe 2,1 miliona witryn phishingowych w 2020 r., czyli prawie 25% więcej niż w 2019 r. Co więcej, Google aktywnie blokuje ponad 18 milionów e-maili wyłudzających informacje każdego dnia od początku pandemii Covid-19. Zdumiewające.
większość ataków phishingowych jest jak zwykły spam. E-maile, teksty, tweety i posty w mediach społecznościowych często wychodzą głośnie, ponieważ jest to tańsze, kierując się na każdego, kto kliknie wiadomość, która następnie inicjuje prawdziwy atak. Ale błędem byłoby myśleć, że wszystkie ataki phishingowe są tak ogólne. Witaj w świecie spear-phishingu i wielorybnictwa (wyższa klasa phishingu). Te techniki phishingu stale się rozwijają i nie są niczym więcej niż rozproszonym w ich podejściu. Raporty wskazują, że syndykaty cyberprzestępczości aktywnie inwestują czas, pieniądze i wysiłek, aby ścigać cele o wysokiej wartości.
to, co odróżnia spear-phishing i wielorybnictwo od ich bardziej ogólnego, słabego rodzeństwa, to skoncentrowany charakter ataków. Podczas gdy spear-phishing polega na ściganiu określonych typów celów, często przez przynależność organizacyjną, wielorybnictwo polega na ściganiu określonych celów (zwykle znaczących i przypuszczalnie bogatych) według pozycji, tożsamości lub nazwy. Przyjrzyjmy się bardziej szczegółowo mechanizmom ataków typu spear-phishing i wielorybnictwo.
Spear-Phishing: przejście od masowych ataków na ukierunkowane
ataki Spear-phishing wykorzystują zazwyczaj publicznie dostępne informacje i celują w organizacje. Posty w mediach społecznościowych, komunikaty prasowe, artykuły informacyjne itp. są używane przez cyberprzestępców do tworzenia wiadomości e-mail, które wydają się wiarygodne i autentyczne. Takie wiadomości mogą nawet wydawać się pochodzić od kogoś wewnątrz organizacji, kto ma prawo zażądać poufnych informacji. Gdy atakujący zdobędą zaufanie, spear-phisherzy Zwykle proszą o nazwy użytkowników i hasła lub proszą ofiary o kliknięcie linku, który potajemnie instaluje pliki do pobrania na ich komputerach.
w grudniu 2020 r. IBM ogłosił odkrycie kampanii wyłudzania danych, która miała na celu wykrycie łańcucha zimnego szczepionki covid-19, wysyłając wiadomości e-mail do wybranych pracowników na stanowiskach ds. sprzedaży, zaopatrzenia, technologii informatycznych i finansów.
FBI wystosowało również ostrzeżenie dla amerykańskich firm przed rosnącym atakiem typu spear-phishing, który ma na celu przechwycenie danych logowania pracowników. Napastnicy podszywający się pod innych ludzi nazywanych pracownikami z domu w celu uzyskania poświadczeń konta. Po uzyskaniu dostępu do tych poświadczeń napastnicy uzyskują dostęp do środowiska firmy i wyznaczają kolejny kierunek działania. Ostatecznie Spear-phisher może uzyskać hasła administracyjne, informacje o kontach bankowych, dostęp do własności intelektualnej lub innych cennych danych lub odnieść sukces w pozyskaniu kogoś w określonej organizacji do uruchomienia złośliwego oprogramowania.
: Siatkowanie cenionego trofeum
ogólne ataki phishingowe rzucają szeroką sieć w nadziei, że złapią każdego, kto wpadnie na przynętę,podczas gdy wielorybnictwo celuje w wybraną osobę, zwykle menedżera dużej korporacji na poziomie C. Jeden z pierwszych przypadków ataku na wieloryby pojawił się w 2008 roku, kiedy New York Times poinformował o cyberataku, który wymierzył w tysiące wysoko postawionych menedżerów w firmach świadczących usługi finansowe.
każdy z celów otrzymał wiadomość e-mail Sąd Rejonowy w San Diego, który zawierał nazwisko, firmę, adres i numer telefonu oraz instrukcje stawienia się przed ławą przysięgłych w nadchodzącym procesie cywilnym. Wiadomość skłoniła odbiorców do pobrania pełnej kopii wezwania do sądu, które następnie zainicjowało pobieranie drive-by zawierające keylogger i Trojan backdoor.
w innym przykładzie, w 2019 roku miasto Saskatoon przekazało milion dolarów oszustom udającym dyrektora finansowego renomowanej firmy budowlanej. Napastnicy stworzyli podobne nazwy domen i adresy e-mail i przekonali Miasto, że ich informacje bankowe uległy zmianie.
pojawiły się również doniesienia sugerujące wykorzystanie sztucznej inteligencji (AI) i technologii uczenia maszynowego (ML). Atakujący będą nawet używać sztucznej inteligencji do naśladowania wysokiej rangi kadry kierowniczej i wykonywania głośnych ataków wielorybniczych.
zapobieganie atakom typu Spear-Phishing i wielorybnictwo
chociaż nie można powstrzymać ataków typu spear-phishing i wielorybnictwo, przestrzeganie tych pięciu najlepszych praktyk z pewnością może pomóc ludziom w zakochaniu się w nich:
1. Nigdy nie klikaj linków ani nie pobieraj podejrzanych załączników. Większość ataków phishingowych kończy się wezwaniem do działania-zwykle klikając link lub otwierając załącznik. Jak tylko zauważysz link, w który powinieneś kliknąć, powinieneś być podejrzliwy. Jeśli uważasz, że link jest zgodny z prawem, przejdź do przeglądarki i wpisz adres URL zamiast go wklejać. Większość napastników używa skrótów adresów URL i podobnych nazw domen, aby oszukać ofiary.
2. Nie padaj ofiarą zmyślonej pilności. Ważnym elementem wyłudzania włóczni lub ataku wielorybniczego jest pilność żądania lub żądania. Większość napastników wytworzy pilną potrzebę, która sprawia, że ofiara martwi się o zbliżające się zagrożenie lub termin. Odpowiadanie na takie prośby, prośby lub żądania nigdy nie jest wskazane.
3. Zweryfikuj wnioski, zanim zaczniesz działać. Czy dyrektor generalny lub dyrektor finansowy poprosi Cię o przelanie tysięcy dolarów na zagraniczne konto? Jeśli uważasz, że coś jest nie tak, powinieneś natychmiast zweryfikować jego autentyczność. Nawet jeśli uważasz, że żądanie jest prawdziwe, zawsze dobrze jest odebrać telefon i zweryfikować. Jeśli otrzymasz losowy telefon z prośbą o poświadczenia dostępu, zawsze zweryfikuj ich tożsamość przed udostępnieniem poufnych informacji.
4. Ogranicz swoje dane osobowe online. Spear-phishers często wykorzystują dane osobowe z kont mediów społecznościowych, takich jak Facebook, Twitter lub LinkedIn. Zachowaj prywatność swoich kont i unikaj publikowania wszystkich szczegółów swojego życia osobistego i zawodowego na takich platformach.
5. Zwiększ swoją świadomość w zakresie cyberbezpieczeństwa. Ważne jest, abyś ty i Twoi pracownicy poddawali się regularnej edukacji i szkoleniom, które pomagają rozwijać pamięć mięśniową w celu identyfikacji i odpierania cyberataków. Badania wykazały, że symulowany trening phishingowy może zmniejszyć średni odsetek podatności na phishing o ponad 60%.
ukierunkowane oszustwa mogą okazać się niezwykle szkodliwe. Jednak praktyka dobrej higieny cybernetycznej, w połączeniu z regularnymi szkoleniami uświadamiającymi i silną technologiczną obroną, z pewnością może pomóc firmom chronić się i trzymać phisherów na dystans.
Forbes Business Council jest wiodącą organizacją rozwoju i networkingu dla właścicieli firm i liderów. Czy się kwalifikuję?
zapraszam na Twittera lub LinkedIn. Zajrzyj na moją stronę.
Perry Carpenter jest głównym ewangelistą dla KnowBe4 Inc., dostawca popularnego szkolenia Security Awareness & symulowanej Platformy phishingowej. Przeczytaj pełny profil Perry Carpenter tutaj.
Czytaj Więcejczytaj Mniej