Perry Carpenter är Chief Evangelist för KnowBe4 Inc., leverantör av den populära Säkerhetsmedvetenhetsträningen & simulerad Phishing-plattform.
getty
nätfiske ökar och visar inga tecken på att sakta ner. Google rapporterade rekord 2, 1 miljoner phishing-webbplatser 2020, vilket är nästan 25% mer än 2019. Dessutom har Google proaktivt blockerat över 18 miljoner phishing-e-postmeddelanden varje dag sedan Covid-19-pandemin började. Svindlande.
de flesta nätfiskeattacker är som vanlig spam. E-post, texter, tweets och inlägg på sociala medier går ofta ut i volym helt enkelt för att det är billigare att göra det och riktar sig till alla som klickar på meddelandet, vilket sedan initierar den verkliga attacken. Men det skulle vara ett misstag att tro att alla phishing-attacker är så generiska. Välkommen till en värld av spjut-phishing och valfångst (en högre klass av phish). Dessa phishing-tekniker utvecklas ständigt och är allt annat än scatter-shot i sin strategi. Rapporter tyder på att cyberbrott syndikat aktivt investera tid, pengar och ansträngning för att gå efter högt värde mål.
vad som skiljer spear-phishing och valfångst bortsett från deras mer generiska, down-market syskon är den fokuserade karaktären av attackerna. Medan spjutfiske innebär att man går efter specifika typer av mål, ofta genom organisatorisk anslutning, innebär valfångst att man går efter specifika mål (vanligtvis betydande och förmodligen rika) efter position, identitet eller namn. Låt oss ta en titt på mekanismerna för spjutfiske och valfångstattacker mer detaljerat.
Spear-Phishing: övergången från urskillningslös till riktade
Spear-phishing-attacker tenderar att utnyttja offentligt tillgänglig information och målorganisationer. Sociala medier inlägg, pressmeddelanden, nyhetsartiklar, etc. används av cyberbrottslingar för att skapa e-postmeddelanden som verkar pålitliga och autentiska. Sådana meddelanden kan till och med tyckas komma från någon inom organisationen som har befogenhet att begära konfidentiell information. När angriparna etablera förtroende, spjut-phishers begär vanligtvis användarnamn och lösenord eller be offren att klicka på en länk som i hemlighet installerar drive-by nedladdningar på sina datorer.
i December 2020 tillkännagav IBM upptäckten av en spjutfiskekampanj som riktade sig mot en Covid-19-vaccinkylkedja genom att skicka phishing-e-postmeddelanden för att välja anställda inom försäljning, upphandling, informationsteknik och ekonomi.
FBI utfärdade också en varning till amerikanska företag mot en växande röstbaserad spjutfiskeattack som syftar till att fånga anställdas inloggningsuppgifter. Angripare maskerad som andra människor kallas arbete-from-home anställda i ett försök att få sina kontouppgifter. När de har tillgång till dessa referenser får angripare tillgång till företagsmiljön och kartlägger sin nästa handlingsplan. I slutändan kan spear-phisher få administrativa lösenord, bankkontoinformation, tillgång till immateriella rättigheter eller annan värdefull data eller lyckas få någon i en viss organisation att köra ett skadligt malware-program.
valfångst: Netting the Prized Trophy
allmänna phishing-attacker kastar ett brett nät i hopp om att fånga alla som faller för betet, medan valfångst riktar sig till en utvald individ, vanligtvis en C-nivå verkställande av ett stort företag. En av de första observationerna av en valfångstattack uppträdde 2008 när New York Times rapporterade en cyberattack som riktade sig mot tusentals högt uppsatta chefer på finansiella tjänsteföretag.
varje mål fick ett e-postmeddelande maskerat som en stämning från USA. Tingsrätt i San Diego som inkluderade verkställande namn, företag, adress och telefonnummer och instruktioner för att framträda inför en stor jury i en kommande civil rättegång. Meddelandet ledde mottagarna att ladda ner en fullständig kopia av stämningen, som sedan initierade en drive-by-nedladdning som inkluderade en keylogger och en bakdörr Trojan.
i ett annat exempel överförde staden Saskatoon 2019 1 miljon dollar till bedragare som utger sig för att vara ekonomichef för ett välrenommerat byggföretag. Angriparna skapade likartade domännamn och e-postadresser och övertygade staden om att deras bankinformation hade förändrats.
rapporter som tyder på användningen av artificiell intelligens (AI) och maskininlärningsteknik (ML) har också börjat dyka upp. Angripare kommer till och med att använda AI för att efterlikna högt rankade chefer och utföra högprofilerade valfångstattacker.
förhindra spjutfiske och Valfångstattacker
medan spjutfiske och valfångstattacker inte kan stoppas, kan dessa fem bästa metoder säkert hjälpa människor att falla för dem:
1. Klicka aldrig på länkar eller ladda ner misstänkta bilagor. De flesta nätfiskeattacker slutar med en uppmaning — vanligtvis klickar du på en länk eller öppnar en bilaga. Så snart du ser en länk där du ska klicka, bör du vara misstänksam. Om du tycker att länken är legitim, navigera till webbläsaren och skriv webbadressen istället för att klistra in den. De flesta angripare använder URL-förkortare och likadana domännamn för att lura offer.
2. Inte falla offer för en tillverkad brådskande. En viktig del av ett spjut-phishing eller en valfångst attack är brådskande begäran eller efterfrågan. De flesta angripare kommer att tillverka en brådska som gör att offret oroar sig för ett överhängande hot eller tidsfrist. Att svara på sådana grunder, förfrågningar eller krav är aldrig tillrådligt.
3. Verifiera förfrågningar innan du agerar. Skulle VD eller CFO be dig att överföra tusentals dollar till ett offshore-konto? Om du tycker att något är fel, bör du omedelbart verifiera dess äkthet. Även om du tycker att begäran är äkta är det alltid bra att plocka upp telefonen och verifiera. Om du får ett slumpmässigt telefonsamtal som begär åtkomstuppgifter, verifiera alltid deras identitet innan du delar känslig information.
4. Begränsa din personliga information online. Spear-phishers utnyttjar ofta personlig information från sociala mediekonton som Facebook, Twitter eller LinkedIn. Håll dina konton privata och undvik att publicera alla detaljer i ditt personliga och professionella liv på sådana plattformar.
5. Upp din cybersäkerhetsmedvetenhet. Det är viktigt att du och dina anställda genomgår regelbunden utbildning som hjälper till att utveckla muskelminne för att identifiera och avvisa cyberattacker. Studier har visat att simulerad phishing-utbildning kan minska den genomsnittliga phish-benägna andelen med över 60%.
riktade bedrägerier kan visa sig vara extremt skadliga. Utövandet av god cyberhygien, i kombination med regelbunden medvetenhetsutbildning och starka tekniska försvar, kan dock säkert hjälpa företag att skydda sig och hålla phishers i schack.
Forbes Business Council är den främsta tillväxt-och nätverksorganisationen för företagare och ledare. Kvalificerar jag mig?
Följ mig på Twitter eller LinkedIn. Kolla in min hemsida.
Perry Carpenter är chefsevangelist för KnowBe4 Inc., leverantör av den populära Säkerhetsmedvetenhetsträningen & simulerad Phishing-plattform. Läs Perry Carpenter fullständiga verkställande profil här.
Läs MerLäs Mindre