Ndërgjegjësimi për phishing: Si ndodh dhe si ta parandaloni atë
Pse kriminelët përdorin një sulm phishing?
Cila është dobësia më e madhe e sigurisë në një organizatë?
Njerezit!
Sa herë që duan të infektojnë një kompjuter ose të kenë akses në të rëndësishme informacion si numrat e llogarisë, fjalëkalimet ose numrat PIN, gjithçka që duhet të bëjnë është të pyesin.
phishing Sulmet janë të zakonshme sepse ato janë:
- Lehtë për t'u bërë – Një fëmijë 6-vjeçar mund të kryejë një sulm phishing.
- Shkallëzuar – Ato variojnë nga sulmet spear-phishing që godasin një person deri tek sulmet ndaj një organizate të tërë.
- Shumë efektive - 74% e organizatave kanë përjetuar një sulm të suksesshëm phishing.
- Kredencialet e llogarisë Gmail - $80
- kunja e kartës së kreditit - $20
- Kredencialet bankare në internet për llogaritë me të paktën $ 100 në to - $40
- Llogaritë bankare me të paktën $ 2,000 - $120
Ju ndoshta po mendoni, "Uau, llogaritë e mia po shkojnë për dollarin më të ulët!"
Dhe kjo është e vërtetë.
Ka lloje të tjera llogarish që shkojnë për një çmim shumë më të lartë, sepse ato janë më të lehta për t'i mbajtur transfertat e parave anonime.
Llogaritë që mbajnë kripto janë çmimi i parë për mashtruesit e phishing.
Tarifat për llogaritë kripto janë:
- Baza e monedhave - $610
- Blockchain.com – $310
- Binance - $410
Ka edhe arsye të tjera jofinanciare për sulmet e phishing.
Sulmet e phishing mund të përdoren nga shtetet-kombë për të hakuar në vende të tjera dhe për të minuar të dhënat e tyre.
Sulmet mund të jenë për hakmarrje personale apo edhe për të shkatërruar reputacionin e korporatave apo armiqve politikë.
Arsyet e sulmeve të phishing janë të pafundme…
Si fillon një sulm phishing?
Një sulm phishing zakonisht fillon kur krimineli del menjëherë dhe ju dërgon mesazhe.
Ata mund t'ju japin një telefonatë, një email, një mesazh të menjëhershëm ose një SMS.
Ata mund të pretendojnë se janë dikush që punon për një bankë, një kompani tjetër me të cilën bëni biznes, një agjenci qeveritare ose madje pretendojnë të jenë dikush në organizatën tuaj.
Një email phishing mund t'ju kërkojë të klikoni në një lidhje ose të shkarkoni dhe ekzekutoni një skedar.
Ju mund të mendoni se është një mesazh legjitim, klikoni lidhjen brenda mesazhit të tyre dhe identifikohuni në atë që duket të jetë uebsajti i organizatës që besoni.
Në këtë pikë mashtrimi i phishing ka përfunduar.
Ju i keni dorëzuar informacionet tuaja private sulmuesit.
Si të parandaloni një sulm phishing
Strategjia kryesore për të shmangur sulmet e phishing është trajnimi i punonjësve dhe ndërtimi i vetëdijes organizative.
Shumë sulme phishing duken si emaile të ligjshme dhe mund të kalojnë përmes një filtri të padëshiruar ose filtra të ngjashëm sigurie.
Në shikim të parë, mesazhi ose faqja e internetit mund të duket reale duke përdorur një paraqitje të njohur logoje, etj.
Për fat të mirë, zbulimi i sulmeve të phishing nuk është aq i vështirë.
Gjëja e parë për t'u kujdesur është adresa e dërguesit.
Nëse adresa e dërguesit është një variacion në një domen uebsajti me të cilin mund të jeni mësuar, mund të dëshironi të vazhdoni me kujdes dhe të mos klikoni asgjë në trupin e emailit.
Ju gjithashtu mund të shikoni adresën e faqes së internetit ku jeni ridrejtuar nëse ka ndonjë lidhje.
Për të qenë të sigurt, duhet të shkruani adresën e organizatës që dëshironi të vizitoni në shfletues ose të përdorni të preferuarat e shfletuesit.
Kujdes nga lidhjet që kur vendosen mbi të tregojnë një domen që nuk është i njëjtë me kompaninë që dërgon emailin.
Lexoni me kujdes përmbajtjen e mesazhit dhe jini skeptik ndaj të gjitha mesazheve që ju kërkojnë të dorëzoni të dhënat tuaja private ose të verifikoni informacionin, të plotësoni formularët ose të shkarkoni dhe ekzekutoni skedarë.
Gjithashtu, mos lejoni që përmbajtja e mesazhit t'ju mashtrojë.
Sulmuesit shpesh përpiqen t'ju trembin për t'ju bërë të klikoni në një lidhje ose t'ju shpërblejnë për të marrë të dhënat tuaja personale.
Gjatë një emergjence pandemie ose kombëtare, mashtruesit e phishing do të përfitojnë nga frika e njerëzve dhe do të përdorin përmbajtjen e linjës së temës ose të trupit të mesazhit për t'ju frikësuar që të ndërmerrni veprime dhe të klikoni një lidhje.
Gjithashtu, kontrolloni për gabime drejtshkrimore ose gramatikore në mesazhin e postës elektronike ose faqen e internetit.
Një tjetër gjë që duhet mbajtur parasysh është se kompanitë më të besuara zakonisht nuk do t'ju kërkojnë të dërgoni të dhëna të ndjeshme përmes ueb-it ose postës.
Kjo është arsyeja pse nuk duhet të klikoni kurrë në lidhje të dyshimta ose të jepni ndonjë lloj të dhënash të ndjeshme.
Çfarë duhet të bëj nëse marr një email phishing?
Nëse merrni një mesazh që duket si një sulm phishing, keni tre opsione.
- Fshije.
- Verifikoni përmbajtjen e mesazhit duke kontaktuar organizatën përmes kanalit të saj tradicional të komunikimit.
- Ju mund ta përcillni mesazhin në departamentin tuaj të sigurisë IT për analiza të mëtejshme.
Kompania juaj tashmë duhet të ekzaminojë dhe filtrojë shumicën e emaileve të dyshimta, por çdokush mund të bëhet viktimë.
Fatkeqësisht, mashtrimet e phishing janë një kërcënim në rritje në internet dhe njerëzit e këqij gjithmonë po zhvillojnë taktika të reja për të hyrë në kutinë tuaj hyrëse.
Mbani në mend se në fund, ju jeni shtresa e fundit dhe më e rëndësishme e mbrojtjes kundër përpjekjeve të phishing.
Si të ndaloni një sulm phishing përpara se të ndodhë
Meqenëse sulmet e phishing mbështeten në gabimet njerëzore për të qenë efektive, alternativa më e mirë është të trajnoni njerëzit në biznesin tuaj se si të shmangin marrjen e karremit.
Kjo nuk do të thotë që ju duhet të keni një takim ose seminar të madh se si të shmangni një sulm phishing.
Ka mënyra më të mira për të gjetur boshllëqe në sigurinë tuaj dhe për të përmirësuar reagimin tuaj njerëzor ndaj phishing.
2 hapa që mund të ndërmerrni për të parandaluar një mashtrim phishing
A simulator phishing është softuer që ju lejon të simuloni një sulm phishing ndaj të gjithë anëtarëve të organizatës suaj.
Simulatorët e phishing zakonisht vijnë me shabllone për të ndihmuar në maskimin e emailit si një shitës i besuar ose për të imituar formatet e brendshme të postës elektronike.
Simulatorët e phishing jo vetëm që krijojnë emailin, por ndihmojnë në konfigurimin e uebsajtit të rremë që marrësit do të përfundojnë duke futur kredencialet e tyre nëse nuk e kalojnë testin.
Në vend që t'i qortoni ata se ranë në një kurth, mënyra më e mirë për të trajtuar situatën është të jepni informacion se si të vlerësoni emailet e phishing në të ardhmen.
Nëse dikush dështon në një test phishing, është më mirë t'i dërgoni atij një listë me këshilla për zbulimin e emaileve të phishing.
Ju madje mund ta përdorni këtë artikull si referencë për punonjësit tuaj.
Një përfitim tjetër i madh i përdorimit të një simulatori të mirë phishing është se ju mund të matni kërcënimin njerëzor në organizatën tuaj, gjë që shpesh është e vështirë të parashikohet.
Mund të duhen deri në një vit e gjysmë për të trajnuar punonjësit në një nivel të sigurt zbutjeje.
Është e rëndësishme të zgjidhni infrastrukturën e duhur të simulimit të phishing për nevojat tuaja.
Nëse jeni duke bërë simulime phishing në një biznes, atëherë detyra juaj do të jetë më e lehtë
Nëse jeni një MSP ose MSSP, mund t'ju duhet të kryeni teste phishing nëpër biznese dhe vendndodhje të shumta.
Zgjedhja për një zgjidhje të bazuar në cloud do të ishte alternativa më e mirë për përdoruesit që drejtojnë fushata të shumta.
Në Hailbytes, ne kemi konfiguruar GoPhish, një nga Kornizat më të njohura të phishing me burim të hapur si një shembull i lehtë për t'u përdorur në AWS.
Shumë simulatorë të phishing vijnë në modelin tradicional Saas dhe kanë kontrata të ngushta të lidhura me ta, por GoPhish në AWS është një shërbim i bazuar në renë kompjuterike ku ju paguani me një normë të matur dhe jo një kontratë 1 ose 2-vjeçare.
Hapi 2. Trajnim i Ndërgjegjësimit për Sigurinë
Një përfitim kryesor i dhënies së punonjësve ndërgjegjësimi për sigurinë trajnimi po i mbron ata nga vjedhja e identitetit, vjedhja e bankave dhe kredencialet e vjedhura të biznesit.
Trajnimi i ndërgjegjësimit për sigurinë është thelbësor për të përmirësuar aftësinë e punonjësve për të dalluar përpjekjet e phishing.
Kurset mund të ndihmojnë në trajnimin e stafit për të zbuluar përpjekjet e phishing, por vetëm disa fokusohen në bizneset e vogla.
Mund të jetë joshëse për ju si pronar i një biznesi të vogël të ulni kostot e një kursi duke dërguar disa video në Youtube rreth ndërgjegjësimit të sigurisë…
por stafi rrallë kujtohet atë lloj trajnimi për më shumë se disa ditë.
Hailbytes ka një kurs që ka një kombinim të videove dhe kuizeve të shpejta, në mënyrë që të mund të gjurmoni përparimin e punonjësve tuaj, të provoni se masat e sigurisë janë të vendosura dhe të zvogëloni masivisht shanset tuaja për të vuajtur nga një mashtrim phishing.
Ju mund të shikoni kursin tonë për Udemy këtu ose klikoni në kursin më poshtë:
Nëse jeni të interesuar të ekzekutoni një simulim phishing falas për të trajnuar punonjësit tuaj, drejtohuni në AWS dhe shikoni GoPhish!
Është e lehtë për të filluar dhe ju gjithmonë mund të na kontaktoni nëse keni nevojë për ndihmë për konfigurimin.
