Spear Phishing Përkufizimi | Çfarë është Spear Phishing?

Përmbajtje

Mashtrim spearphishing

Spear Phishing Përkufizimi

Spear phishing është një sulm kibernetik që mashtron një viktimë për të zbuluar informacione konfidenciale. Çdokush mund të jetë një objektiv i një sulmi spearphishing. Kriminelët mund të synojnë punonjësit e qeverisë ose kompanitë private. Sulmet e phishing me shtizë pretendojnë se vijnë nga një koleg ose mik i viktimës. Këto sulme madje mund të imitojnë shabllonet e postës elektronike nga kompani të njohura si FexEx, Facebook ose Amazon. 
 
Qëllimi i një sulmi phishing është që ta detyrojë viktimën të klikojë një lidhje ose të shkarkojë një skedar. Nëse viktima klikon një lidhje dhe joshet për të shtypur informacionin e hyrjes në një faqe interneti të rreme, ata sapo i kanë dhënë kredencialet e tyre sulmuesit. Nëse viktima shkarkon një skedar, atëherë malware instalohet në kompjuter dhe në atë moment, viktima ka dhënë mbi të gjitha aktivitetet dhe informacionin e vendosur në atë kompjuter.
 
Një numër i madh i sulmeve spear-phishing janë të sponsorizuara nga qeveria. Ndonjëherë, sulmet vijnë nga kriminelët kibernetikë që ua shesin informacionin qeverive ose korporatave. Një sulm i suksesshëm spear-phishing ndaj një kompanie ose qeverie mund të çojë në një shpërblim të madh. Kompanitë e mëdha si Google dhe Facebook kanë humbur para nga këto sulme. Rreth tre vjet më parë, Raportoi BBC që të dyja kompanitë u mashtruan me një shumë prej rreth 100 milionë dollarë secila nga një haker i vetëm.

Si ndryshon Spear Phishing nga Phishing?

Megjithëse phishing dhe spear-phishing janë të ngjashëm në qëllimet e tyre, ato janë të ndryshme në metodë. Një sulm phishing është një përpjekje e vetme që synon një grup të madh njerëzish. Është bërë me aplikacione jashtë raftit të krijuara për këtë qëllim. Këto sulme nuk kërkojnë shumë aftësi për t'u kryer. Ideja e një sulmi të rregullt phishing është të vjedhësh kredencialet në një shkallë masive. Kriminelët që e bëjnë këtë zakonisht kanë për qëllim rishitjen e kredencialeve në rrjetin e errët ose shterimin e llogarive bankare të njerëzve.
 
Sulmet e phishing me shtizë janë shumë më të sofistikuara. Ato zakonisht synohen te punonjësit, kompanitë ose organizatat specifike. Ndryshe nga emailet e përgjithshme phishing, emailet spear-phishing duken sikur vijnë nga një kontakt i ligjshëm që objektivi e njeh. Ky mund të jetë një menaxher projekti ose një drejtues ekipi. Objektivat janë planifikuar dhe të hulumtuar mirë. Një sulm spearphishing zakonisht do të përdorë informacionin e disponueshëm publikisht për të imituar personin e objektivave. 
 
Për shembull, një sulmues mund të hulumtojë viktimën dhe të zbulojë se ata kanë një fëmijë. Pastaj ata mund ta përdorin atë informacion për të krijuar një strategji se si ta përdorin atë informacion kundër tyre. Për shembull, ata mund të dërgojnë një njoftim të rremë të kompanisë duke pyetur nëse do të donin çerdhe falas për fëmijët e tyre të ofruar nga kompania. Ky është vetëm një shembull se si një sulm spearphishing përdor të dhëna të njohura publikisht (zakonisht përmes mediave sociale) kundër jush.
 
Pas marrjes së kredencialeve të viktimës, sulmuesi mund të vjedhë më shumë informacione personale ose financiare. Këtu përfshihen informacionet bankare, numrat e sigurimeve shoqërore dhe numrat e kartës së kreditit. Spear phishing kërkon më shumë kërkime mbi viktimat e tyre për të depërtuar në mbrojtjen e tyre sukses.Një sulm spear-phishing është zakonisht fillimi i një sulmi shumë më të madh ndaj një kompanie. 
Peshkim me shtiza

Si funksionon një sulm Spear Phishing?

Përpara se kriminelët kibernetikë të kryejnë sulme spear-phishing, ata hulumtojnë objektivat e tyre. Gjatë këtij procesi, ata gjejnë emailet e objektivave, titujt e punës dhe kolegët e tyre. Disa nga këto informacione janë në faqen e internetit të kompanisë ku punon objektivi. Ata gjejnë më shumë informacion duke kaluar përmes LinkedIn, Twitter ose Facebook të objektivit. 
 
Pas mbledhjes së informacionit, krimineli kibernetik kalon në hartimin e mesazhit të tij. Ata krijojnë një mesazh që duket sikur vjen nga një kontakt i njohur i objektivit, si p.sh. një drejtues ekipi ose një menaxher. Ka disa mënyra se si kriminelët kibernetikë mund t'i dërgojnë mesazhin objektivit. Email-et përdoren për shkak të përdorimit të shpeshtë të tyre në mjediset e korporatave. 
 
Sulmet spar-phishing duhet të jenë të lehta për t'u identifikuar për shkak të adresës së emailit në përdorim. Sulmuesi nuk mund të ketë të njëjtën adresë me atë që është në pronësi të personit që sulmuesi po paraqet. Për të mashtruar objektivin, sulmuesi mashtron adresën e emailit të një prej kontakteve të objektivit. Kjo bëhet duke e bërë adresën e emailit të duket sa më e ngjashme me origjinalin. Ata mund të zëvendësojnë një "o" me një "0" ose "l" të vogël me një "I" të madhe dhe kështu me radhë. Kjo, së bashku me faktin se përmbajtja e emailit duket e ligjshme, e bën të vështirë identifikimin e një sulmi spear-phishing.
 
Email-i i dërguar zakonisht përmban një bashkëngjitje skedari ose një lidhje me një faqe interneti të jashtme që objektivi mund ta shkarkojë ose klikon. Faqja e internetit ose bashkëngjitja e skedarit do të përmbante malware. Malware ekzekutohet sapo të shkarkohet në pajisjen e objektivit. Malware vendos komunikim me pajisjen e kriminelit kibernetik. Sapo të fillojë kjo, ai mund të regjistrojë goditjet e tasteve, të mbledhë të dhëna dhe të bëjë atë që urdhëron programuesi.

Kush duhet të shqetësohet për sulmet e Spear Phishing?

Të gjithë duhet të jenë në vëzhgim për sulmet e phishing me shtizë. Disa kategori njerëzish kanë më shumë gjasa të sulmohen se të tjerat. Njerëzit që kanë punë të nivelit të lartë në industri të tilla si kujdesi shëndetësor, financa, arsimi ose qeveria kanë një rrezik më të madh. Një sulm i suksesshëm phishing me shtizë në secilën prej këtyre industrive mund të çojë në:

  • Një shkelje e të dhënave
  • Pagesa të mëdha shpërblimi
  • Kërcënimet e Sigurisë Kombëtare
  • Humbja e reputacionit
  • Pasojat ligjore

 

Ju nuk mund të shmangni marrjen e emaileve phishing. Edhe nëse përdorni një filtër emaili, do të ndodhin disa sulme spearphishing.

Mënyra më e mirë për ta trajtuar këtë është duke trajnuar punonjësit se si të dallojnë emailet e falsifikuara.

 

Si mund të parandaloni sulmet Spear Phishing?

Ka disa hapa që mund të ndërmerrni për të parandaluar sulmet e phishing me shtizë. Më poshtë është një listë e masave parandaluese dhe mbrojtëse kundër sulmeve spear-phishing:
 
  • Shmangni vendosjen e shumë informacioneve për veten tuaj në mediat sociale. Kjo është një nga ndalesat e para të një krimineli kibernetik për të peshkuar për informacion rreth jush.
  • Sigurohuni që shërbimi pritës që përdorni të ketë sigurinë e postës elektronike dhe mbrojtjen kundër spamit. Kjo shërben si linja e parë e mbrojtjes kundër një krimineli kibernetik.
  • Mos klikoni në lidhjet ose bashkëngjitjet e skedarëve derisa të jeni të sigurt për burimin e emailit.
  • Jini të kujdesshëm ndaj emaileve të pakërkuara ose emaileve me kërkesa urgjente. Përpiquni ta verifikoni një kërkesë të tillë përmes një mjeti tjetër komunikimi. Jepini personit të dyshuar një telefonatë, mesazhe ose bisedoni ballë për ballë.
 
Organizatat duhet të edukojnë punonjësit e tyre mbi taktikat e phishing-ut. Kjo i ndihmon punonjësit të dinë se çfarë të bëjnë kur ndeshen me një email phishing. Ky është edukimi mund të arrihet me një Simulim Spear Phishing.
 
Një mënyrë se si mund t'i mësoni punonjësit tuaj se si të shmangin sulmet e phishing-ut është përmes simulimeve të phishing..

Çfarë janë simulimet e phishing?

Një simulim spear-phishing është një mjet i shkëlqyer për t'i nxitur punonjësit në taktikat e spear-phishing të kriminelëve kibernetikë. Është një seri ushtrimesh ndërvepruese të krijuara për t'u mësuar përdoruesve të saj se si të identifikojnë emailet e phishing me shtizë për t'i shmangur ose raportuar ato. Punonjësit që janë të ekspozuar ndaj simulimeve spear-phishing kanë një shans shumë më të mirë për të dalluar një sulm spear-phishing dhe për të reaguar siç duhet.

Si funksionon një simulim i phishing me shtizë?

  1. Informoni punonjësit se ata do të marrin një email "të rremë" phishing.
  2. Dërgojini atyre një artikull që përshkruan se si të dalloni emailet e phishing paraprakisht për t'u siguruar që ata janë të informuar përpara se të testohen.
  3. Dërgoni emailin "fals" të phishing në një kohë të rastësishme gjatë muajit që ju shpallni trajnimin e phishing.
  4. Matni statistikat se sa punonjës ranë për tentativën e phishing kundrejt shumës që nuk e bëri ose kush raportoi përpjekjen e phishing.
  5. Vazhdo trajnimin duke dërguar këshilla për ndërgjegjësimin për phishing dhe duke testuar kolegët tuaj një herë në muaj.

 

>>>Mund të mësoni më shumë rreth gjetjes së simulatorit të duhur të phishing KETU.<<

pult gophish
Si të bëni një test phishing falas për organizatën tuaj

Pse do të doja të simuloja një sulm phishing?

Nëse organizata juaj goditet me sulme spearphishing, statistikat mbi sulmet e suksesshme do të jenë të kthjellëta për ju.

Shkalla mesatare e suksesit të një sulmi spearphishing është një normë klikimi prej 50% për emailet e phishing. 

Ky është lloji i detyrimit që kompania juaj nuk dëshiron.

Kur ndërgjegjësoni phishing-un në vendin tuaj të punës, nuk po mbroni vetëm punonjësit ose kompaninë nga mashtrimi i kartave të kreditit ose vjedhja e identitetit.

Një simulim phishing mund t'ju ndihmojë të parandaloni shkeljet e të dhënave që i kushtojnë kompanisë suaj miliona padi dhe miliona në besimin e klientit.

>>Nëse dëshironi të shikoni një sërë statistikash të phishing, ju lutemi vazhdoni dhe shikoni Udhëzuesin tonë përfundimtar për të kuptuar phishing në vitin 2021 KETU.<<

Nëse dëshironi të filloni një provë falas të GoPhish Phishing Framework të certifikuar nga Hailbytes, mund te na kontaktoni ketu për më shumë informacion ose filloni provën tuaj falas në AWS sot.

Vendosni platformën GoPhish Phishing në Ubuntu 18.04 në AWS

Sherbimet

Kompania jonë

Adresa jonë

Hailbytes

9511 Queens Guard Ct.

Dafina, MD 20723

Telefon: (732) 771 9995-

Email: info@hailbytes.com

Zgjidhjet

FAQ për sigurinë

Mediat sociale