Menyja
Udhëzuesi përfundimtar për të kuptuar phishing në 2023
Pra, çfarë është Phishing?
Phishing është një formë e inxhinierisë sociale që i mashtron njerëzit të zbulojnë fjalëkalimet e tyre ose të vlefshme informacion. Sulmet e phishing mund të jenë në formën e emaileve, mesazheve me tekst dhe telefonatave.
Zakonisht, këto sulme paraqesin shërbime dhe kompani të njohura që njerëzit i njohin lehtësisht.
Kur përdoruesit klikojnë një lidhje phishing në trupin e një emaili, ata dërgohen në një version të ngjashëm të një sajti që besojnë. Atyre u kërkohen kredencialet e tyre të hyrjes në këtë pikë të mashtrimit të phishing. Pasi të fusin informacionin e tyre në faqen e rreme të internetit, sulmuesi ka atë që i nevojitet për të hyrë në llogarinë e tyre reale.
Sulmet e phishing mund të rezultojnë në vjedhje të informacionit personal, informacionit financiar ose informacionit shëndetësor. Sapo sulmuesi të ketë akses në një llogari, ata ose shesin aksesin në llogari ose e përdorin atë informacion për të hakuar llogaritë e tjera të viktimës.
Pasi llogaria të shitet, dikush që di se si të përfitojë nga llogaria do të blejë kredencialet e llogarisë nga rrjeti i errët dhe do të përfitojë nga të dhënat e vjedhura.
Këtu është një vizualizim për t'ju ndihmuar të kuptoni hapat në një sulm phishing:
Sulmet e phishing vijnë në forma të ndryshme. Phishing mund të funksionojë nga një telefonatë, mesazh me tekst, email ose mesazh në media sociale.
Emailet e përgjithshme të phishing janë lloji më i zakonshëm i sulmit të phishing. Sulmet si këto janë të zakonshme sepse kërkojnë më pak përpjekje.
Hakerët marrin një listë të adresave të postës elektronike të lidhura me llogaritë e Paypal ose mediave sociale dhe dërgojnë një Shpërthim i madh i emailit për viktimat e mundshme.
Kur viktima klikon lidhjen në email, shpesh e çon atë në një version të rremë të një uebsajti të njohur dhe i kërkon që të identifikohen me informacionin e llogarisë së tyre. Sapo të paraqesin informacionin e llogarisë së tyre, hakeri ka atë që u nevojitet për të hyrë në llogarinë e tyre.
Në njëfarë kuptimi, ky lloj phishing është si të hedhësh një rrjetë në një shkollë peshqish; ndërsa format e tjera të phishing janë përpjekje më të synuara.
Spear phishing është kur një sulmues synon një individ të caktuar në vend që t'i dërgoni një email të përgjithshëm një grupi njerëzish.
Sulmet e phishing me shtizë përpiqen të adresojnë në mënyrë specifike objektivin dhe të maskohen si një person që viktima mund të njohë.
Këto sulme janë më të lehta për një mashtrues nëse keni informacion personal të identifikueshëm në internet. Sulmuesi është në gjendje të hulumtojë ju dhe rrjetin tuaj për të krijuar një mesazh që është relevant dhe bindës.
Për shkak të sasisë së lartë të personalizimit, sulmet e phishing me shtizë janë shumë më të vështira për t'u identifikuar në krahasim me sulmet e rregullta të phishing.
Ato janë gjithashtu më pak të zakonshme, sepse u duhet më shumë kohë kriminelëve për t'i tërhequr me sukses.
Pyetje: Cila është shkalla e suksesit të një emaili spearphishing?
Përgjigje: Email-et spearphishing kanë një normë mesatare të hapjes së emailit prej 70% 50% e marrësve klikoni një lidhje në email.
Krahasuar me sulmet e phishing me shtizë, sulmet e balenave janë në mënyrë drastike më të synuara.
Sulmet e gjuetisë së balenave shkojnë pas individëve në një organizatë si shefi ekzekutiv ose shefi financiar i një kompanie.
Një nga qëllimet më të zakonshme të sulmeve të gjuetisë së balenave është manipulimi i viktimës që t'i dërgojë shuma të mëdha parash sulmuesit.
Ngjashëm me phishing-un e rregullt, pasi sulmi është në formën e emailit, gjuetia e balenave mund të përdorë logot e kompanisë dhe adresa të ngjashme për t'u maskuar.
Në disa raste, sulmuesi do të imitojë CEO dhe përdorni atë person për të bindur një punonjës tjetër që të zbulojë të dhëna financiare ose të transferojë para në llogarinë e sulmuesit.
Meqenëse punonjësit kanë më pak gjasa të refuzojnë një kërkesë nga dikush më lart, këto sulme janë shumë më dredharake.
Sulmuesit shpesh shpenzojnë më shumë kohë për të krijuar një sulm balenash, sepse ata priren të paguajnë më mirë.
Emri "gjueti balenash" i referohet faktit që objektivat kanë më shumë fuqi financiare (CEO's).
Peshkatari phishing është relativisht një lloj i ri i sulmit phishing dhe ekziston në mediat sociale.
Ata nuk ndjekin formatin tradicional të postës elektronike të sulmeve të phishing.
Në vend të kësaj, ata maskohen si përfaqësues të shërbimeve ndaj klientit të kompanive dhe mashtrojnë njerëzit që t'u dërgojnë informacione përmes mesazheve të drejtpërdrejta.
Një mashtrim i zakonshëm është dërgimi i njerëzve në një faqe interneti të rreme për mbështetjen e klientit që do të shkarkojë malware ose me fjalë të tjera ransomware në pajisjen e viktimës.
Një sulm vishing është kur një mashtrues ju thërret në përpjekje për të mbledhur informacion personal nga ju.
Mashtruesit zakonisht pretendojnë të jenë një biznes ose organizatë me reputacion si Microsoft, IRS, apo edhe banka juaj.
Ata përdorin taktika të frikës për t'ju bërë të zbuloni të dhëna të rëndësishme të llogarisë.
Kjo i lejon ata të kenë akses direkt ose indirekt në llogaritë tuaja të rëndësishme.
Sulmet e Vishingut janë të ndërlikuara.
Sulmuesit mund të imitojnë lehtësisht njerëzit që ju besoni.
Shikoni themeluesin e Hailbytes, David McHale, duke folur për mënyrën sesi telefonatat robotike do të zhduken me teknologjinë e ardhshme.
Shumica e sulmeve të phishing ndodhin përmes postës elektronike, por ka mënyra për të identifikuar legjitimitetin e tyre.
Kur hapni një email kontrolloni për të parë nëse është apo jo nga një domen publik email (dmth. @gmail.com).
Nëse është nga një domen publik i postës elektronike, ka shumë të ngjarë të jetë një sulm phishing pasi organizatat nuk përdorin domene publike.
Përkundrazi, domenet e tyre do të ishin unike për biznesin e tyre (dmth. domeni i emailit të Google është @google.com).
Megjithatë, ka sulme më të ndërlikuara të phishing që përdorin një domen unik.
Është e dobishme të bëni një kërkim të shpejtë të kompanisë dhe të kontrolloni legjitimitetin e saj.
Sulmet e phishing gjithmonë përpiqen t'ju miqësojnë me një përshëndetje ose ndjeshmëri të këndshme.
Për shembull, në postën time të padëshiruar jo shumë kohë më parë gjeta një email phishing me përshëndetjen "I dashur mik".
Tashmë e dija se ky ishte një email phishing pasi në rreshtin e temës shkruhej, “LAJM I MIRË PËR FONDET TUAJ 21/06/2020”.
Shikimi i atyre llojeve të përshëndetjeve duhet të jetë flamuj të kuq të menjëhershëm nëse nuk keni ndërvepruar kurrë me atë kontakt.
Përmbajtja e një emaili phishing është shumë e rëndësishme dhe do të shihni disa veçori dalluese që përbëjnë pjesën më të madhe.
Nëse përmbajtja tingëllon absurde, atëherë ka shumë të ngjarë që është një mashtrim.
Për shembull, nëse linja e temës thoshte: "Ju fituat Lotarinë 1000000 $" dhe nuk ju kujtohet se keni marrë pjesë, atëherë ky është një flamur i kuq.
Kur përmbajtja krijon një ndjenjë urgjence si "kjo varet nga ju" dhe kjo çon në klikimin e një lidhjeje të dyshimtë, atëherë ka shumë të ngjarë të jetë një mashtrim.
Emailet e phishing gjithmonë kanë një lidhje ose skedar të dyshimtë të bashkangjitur me to.
Një mënyrë e mirë për të kontrolluar nëse një lidhje ka një virus është të përdorni VirusTotal, një faqe interneti që kontrollon skedarët ose lidhjet për malware.
Shembull i emailit phishing:
Në shembull, Google thekson se emaili mund të jetë potencialisht i rrezikshëm.
Ai pranon që përmbajtja e tij përputhet me emaile të tjera të ngjashme phishing.
Nëse një email plotëson shumicën e kritereve të mësipërme, atëherë rekomandohet ta raportoni në reportphishing@apwg.org ose phishing-report@us-cert.gov në mënyrë që të bllokohet.
Nëse jeni duke përdorur Gmail, ekziston një mundësi për të raportuar emailin për phishing.
Edhe pse sulmet e phishing janë të orientuara drejt përdoruesve të rastit, ata shpesh synojnë punonjësit e një kompanie.
Megjithatë sulmuesit nuk janë gjithmonë pas parave të një kompanie, por të dhënave të saj.
Për sa i përket biznesit, të dhënat janë shumë më të vlefshme se paratë dhe mund të ndikojnë rëndë një kompani.
Sulmuesit mund të përdorin të dhëna të rrjedhura për të ndikuar në publik duke ndikuar në besimin e konsumatorëve dhe duke dëmtuar emrin e kompanisë.
Por këto nuk janë pasojat e vetme që mund të rezultojnë nga kjo.
Pasoja të tjera përfshijnë ndikimin negativ në besimin e investitorëve, prishjen e biznesit dhe nxitjen e gjobave rregullatore sipas Rregullores së Përgjithshme të Mbrojtjes së të Dhënave (GDPR).
Trajnimi i punonjësve tuaj për t'u marrë me këtë problem rekomandohet për të reduktuar sulmet e suksesshme të phishing.
Mënyrat për të trajnuar punonjësit në përgjithësi janë t'u tregosh atyre shembuj të emaileve phishing dhe mënyrat për t'i dalluar ato.
Një mënyrë tjetër e mirë për t'u treguar punonjësve phishing është përmes simulimit.
Simulimet e phishing janë në thelb sulme të rreme të krijuara për të ndihmuar punonjësit të njohin phishing nga dora e parë pa ndonjë efekt negativ.
Tani do të ndajmë hapat që duhet të ndërmerrni për të drejtuar një fushatë të suksesshme phishing.
Phishing mbetet të jetë kërcënimi kryesor i sigurisë sipas raportit të gjendjes së sigurisë kibernetike të WIPRO 2020.
Një nga mënyrat më të mira për të mbledhur të dhëna dhe për të edukuar punonjësit është të zhvilloni një fushatë të brendshme phishing.
Mund të jetë mjaft e lehtë për të krijuar një email phishing me një platformë phishing, por ka shumë më tepër për të sesa të goditni dërgimin.
Ne do të diskutojmë se si të trajtojmë testet e phishing me komunikimet e brendshme.
Më pas, ne do të shqyrtojmë se si analizoni dhe përdorni të dhënat që grumbulloni.
Një fushatë phishing nuk ka të bëjë me ndëshkimin e njerëzve nëse bien në një mashtrim. Një simulim phishing ka të bëjë me mësimin e punonjësve se si t'i përgjigjen emaileve të phishing. Ju dëshironi të siguroheni që jeni transparent në lidhje me trajnimin e phishing në kompaninë tuaj. Jepini përparësi informimit të drejtuesve të kompanive për fushatën tuaj të phishing dhe përshkruani qëllimet e fushatës.
Pasi të dërgoni testin tuaj të parë bazë të emailit të phishing, mund të bëni një njoftim në të gjithë kompaninë për të gjithë punonjësit.
Një aspekt i rëndësishëm i komunikimit të brendshëm është mbajtja e mesazhit të qëndrueshëm. Nëse jeni duke bërë testet tuaja të phishing, atëherë është një ide e mirë të krijoni një markë të krijuar për materialin tuaj të trajnimit.
Gjetja e një emri për programin tuaj do t'i ndihmojë punonjësit të njohin përmbajtjen tuaj arsimore në kutinë e tyre hyrëse.
Nëse jeni duke përdorur një shërbim testimi të menaxhuar të phishing, atëherë ata ka të ngjarë ta kenë të mbuluar këtë. Përmbajtja edukative duhet të prodhohet para kohe në mënyrë që të mund të keni një ndjekje të menjëhershme pas fushatës suaj.
Jepni punonjësve tuaj udhëzime dhe informacion në lidhje me protokollin tuaj të brendshëm të emailit të phishing pas testit tuaj bazë.
Ju dëshironi t'u jepni bashkëpunëtorëve tuaj mundësinë për t'iu përgjigjur saktë trajnimit.
Shikimi i numrit të njerëzve që zbulojnë dhe raportojnë saktë emailin është informacion i rëndësishëm për t'u marrë nga testi i phishing.
Cili duhet të jetë prioriteti juaj kryesor për fushatën tuaj?
Angazhimi.
Mund të përpiqeni të bazoni rezultatet tuaja në numrin e sukseseve dhe dështimeve, por këto shifra nuk ju ndihmojnë domosdoshmërisht me qëllimin tuaj.
Nëse kryeni një simulim të testit të phishing dhe askush nuk klikon në lidhje, a do të thotë kjo se testi juaj ishte i suksesshëm?
Përgjigja e shkurtër është "jo".
Të kesh një shkallë suksesi 100% nuk përkthehet si sukses.
Mund të nënkuptojë se testi juaj i phishing ishte thjesht shumë i lehtë për t'u dalluar.
Nga ana tjetër, nëse merrni një shkallë të jashtëzakonshme dështimi me testin tuaj të phishing, mund të nënkuptojë diçka krejtësisht të ndryshme.
Kjo mund të nënkuptojë që punonjësit tuaj nuk janë në gjendje të dallojnë ende sulmet e phishing.
Kur merrni një shkallë të lartë klikimesh për fushatën tuaj, ka një shans të mirë që ju duhet të ulni vështirësinë e emaileve tuaja të phishing.
Merrni më shumë kohë për të trajnuar njerëzit në nivelin e tyre aktual.
Ju në fund të fundit dëshironi të ulni shkallën e klikimeve të lidhjeve të phishing.
Ju mund të pyesni veten se çfarë është një normë e mirë apo e keqe e klikimeve me një simulim phishing.
Sipas sans.org, juaj Simulimi i parë i phishing mund të japë një normë mesatare klikimi prej 25-30%.
Duket si një shifër vërtet e lartë.
Për fat të mirë, ata e raportuan atë pas 9-18 muajsh trajnimi për phishing, shkalla e klikimeve për një test phishing ishte nën 5%.
Këta numra mund të ndihmojnë si një vlerësim i përafërt i rezultateve tuaja të dëshiruara nga trajnimi i phishing.
Për të filluar simulimin tuaj të parë të email-it të phishing, sigurohuni që të vendosni në listën e bardhë adresën IP të mjetit të testimit.
Kjo siguron që punonjësit të marrin emailin.
Kur krijoni emailin tuaj të parë të simuluar të phishing, mos e bëni shumë të lehtë apo shumë të vështirë.
Ju gjithashtu duhet të mbani mend audiencën tuaj.
Nëse kolegët tuaj nuk janë përdorues të mëdhenj të mediave sociale, atëherë ndoshta nuk do të ishte një ide e mirë të përdorni një email të rremë për rivendosjen e fjalëkalimit të LinkedIn. Email-i i testuesit duhet të ketë mjaftueshëm apel të gjerë që të gjithë në kompaninë tuaj të kenë një arsye për të klikuar.
Disa shembuj të email-eve phishing me tërheqje të gjerë mund të jenë:
Vetëm mbani mend psikologjinë se si do të merret mesazhi nga audienca juaj përpara se të shtypni dërgimin.
Vazhdoni të dërgoni emaile trajnimi për phishing punonjësve tuaj. Sigurohuni që po e rritni ngadalë vështirësinë me kalimin e kohës për të rritur nivelet e aftësive të njerëzve.
Rekomandohet të bëni dërgime mujore me email. Nëse e "phish" organizatën tuaj shumë shpesh, ka të ngjarë që ata ta kapin paksa shumë shpejt.
Të kapni punonjësit tuaj, pak të pakujdesshëm është mënyra më e mirë për të marrë rezultate më realiste.
Nëse dërgoni të njëjtin lloj emailesh "phishing" çdo herë, nuk do t'i mësoni punonjësit tuaj se si të reagojnë ndaj mashtrimeve të ndryshme.
Mund të provoni disa kënde të ndryshme duke përfshirë:
Ndërsa dërgoni fushata të reja, gjithmonë sigurohuni që po rregulloni mirë rëndësinë e mesazhit për audiencën tuaj.
Nëse dërgoni një email phishing që nuk lidhet me diçka me interes, mund të mos merrni shumë përgjigje nga fushata juaj.
Pas dërgimit të fushatave të ndryshme te punonjësit tuaj, rifreskoni disa nga fushatat e vjetra që mashtruan njerëzit herën e parë dhe bëni një rrotullim të ri në atë fushatë.
Ju do të jeni në gjendje të tregoni efektivitetin e trajnimit tuaj nëse shihni se njerëzit ose po mësojnë dhe po përmirësohen.
Nga atje do të jeni në gjendje të tregoni nëse ata kanë nevojë për më shumë edukim se si të dallojnë një lloj të caktuar emaili phishing.
Ekzistojnë 3 faktorë për të përcaktuar nëse do të krijoni programin tuaj të trajnimit për phishing ose do të kontraktoni programin.
Nëse jeni një inxhinier sigurie ose keni një në kompaninë tuaj, mund të krijoni lehtësisht një server phishing duke përdorur një platformë phishing para-ekzistuese për të krijuar fushatat tuaja.
Nëse nuk keni ndonjë inxhinier sigurie, krijimi i programit tuaj të phishing mund të jetë jashtë diskutimit.
Ju mund të keni një inxhinier sigurie në organizatën tuaj, por ata mund të mos kenë përvojë në inxhinieri sociale ose teste phishing.
Nëse keni dikë me përvojë, atëherë ai do të ishte mjaftueshëm i besueshëm për të krijuar programin e tyre të phishing.
Ky është një faktor vërtet i madh për kompanitë e vogla dhe të mesme.
Nëse ekipi juaj është i vogël, mund të mos jetë e përshtatshme të shtoni një detyrë tjetër në ekipin tuaj të sigurisë.
Është shumë më e përshtatshme që një ekip tjetër me përvojë të bëjë punën për ju.
Ju keni kaluar nëpër të gjithë këtë udhëzues për të kuptuar se si mund t'i trajnoni punonjësit tuaj dhe jeni gati të filloni të mbroni organizatën tuaj përmes trajnimit për phishing.
Po tani?
Nëse jeni një inxhinier sigurie dhe dëshironi të filloni të kryeni fushatat tuaja të para të phishing tani, shkoni këtu për të mësuar më shumë rreth një mjeti simulimi phishing që mund ta përdorni për të filluar sot.
Ose
Nëse jeni të interesuar të mësoni rreth shërbimeve të menaxhuara për të drejtuar fushata phishing për ju, mësoni më shumë këtu se si mund të filloni provën tuaj falas të trajnimit të phishing.
Përdorni listën e kontrollit për të identifikuar emailet e pazakonta dhe nëse janë phishing, atëherë raportojini ato.
Edhe pse ka filtra phishing atje që mund t'ju mbrojnë, nuk është 100%.
Emailet e phishing janë vazhdimisht në zhvillim dhe nuk janë kurrë të njëjta.
në mbroni kompaninë tuaj nga sulmet e phishing ku mund të merrni pjesë simulimet e phishing për të ulur shanset e sulmeve të suksesshme të phishing.
Shpresojmë se keni mësuar mjaftueshëm nga ky udhëzues për të kuptuar se çfarë duhet të bëni më pas për të ulur shanset tuaja për një sulm phishing në biznesin tuaj.
Ju lutemi lini një koment nëse keni ndonjë pyetje për ne ose nëse dëshironi të ndani ndonjë nga njohuritë ose përvojën tuaj me fushatat e phishing.
Mos harroni të ndani këtë udhëzues dhe të përhapni fjalën!
Hailbytes
9511 Queens Guard Ct.
Dafina, MD 20723
Telefon: (732) 771 9995-
Email: info@hailbytes.com
