Menu
Nejlepší průvodce k pochopení phishingu v roce 2023
Takže co je Phishing?
Phishing je forma sociálního inženýrství, která přiměje lidi, aby odhalili svá hesla nebo cennosti informace. Phishingové útoky mohou mít formu e-mailů, textových zpráv a telefonních hovorů.
Tyto útoky obvykle představují oblíbené služby a společnosti, které lidé snadno rozpoznají.
Když uživatelé kliknou na phishingový odkaz v těle e-mailu, jsou přesměrováni na podobnou verzi webu, kterému důvěřují. V tomto okamžiku phishingového podvodu jsou požádáni o své přihlašovací údaje. Jakmile zadají své informace na falešné webové stránce, má útočník vše, co potřebuje k přístupu ke svému skutečnému účtu.
Phishingové útoky mohou vést k odcizení osobních údajů, finančních údajů nebo zdravotních údajů. Jakmile útočník získá přístup k jednomu účtu, buď přístup k účtu prodá, nebo tyto informace použije k hacknutí dalších účtů oběti.
Jakmile je účet prodán, někdo, kdo ví, jak z účtu profitovat, koupí přihlašovací údaje k účtu z temného webu a zúročí ukradená data.
Zde je vizualizace, která vám pomůže pochopit kroky při phishingovém útoku:
Phishingové útoky mají různé podoby. Phishing může fungovat z telefonního hovoru, textové zprávy, e-mailu nebo zprávy ze sociálních sítí.
Obecné phishingové e-maily jsou nejběžnějším typem phishingového útoku. Útoky, jako jsou tyto, jsou běžné, protože vyžadují nejmenší úsilí.
Hackeři vezmou seznam e-mailových adres spojených s účty Paypal nebo sociálních médií a pošlou a hromadné e-maily potenciálním obětem.
Když oběť klikne na odkaz v e-mailu, často ji přesměruje na falešnou verzi oblíbené webové stránky a požádá ji, aby se přihlásila pomocí informací o svém účtu. Jakmile odešlou informace o svém účtu, hacker má vše, co potřebuje k přístupu ke svému účtu.
V jistém smyslu je tento typ phishingu jako vyhazování sítě do hejna ryb; zatímco jiné formy phishingu jsou cílenějším úsilím.
Spear phishing je kdy útočník se zaměří na konkrétní osobu místo odeslání obecného e-mailu skupině lidí.
Spear phishingové útoky se snaží konkrétně oslovit cíl a přestrojit se za osobu, kterou oběť může znát.
Tyto útoky jsou pro podvodníka snazší, pokud máte na internetu osobní údaje. Útočník je schopen prozkoumat vás a vaši síť a vytvořit zprávu, která je relevantní a přesvědčivá.
Kvůli velkému množství personalizace je mnohem těžší identifikovat phishingové útoky ve srovnání s běžnými phishingovými útoky.
Jsou také méně časté, protože zločincům zaberou více času, než je úspěšně dostanou.
Otázka: Jaká je úspěšnost spearphishingového e-mailu?
Odpověď: Spearphishingové e-maily mají průměrnou míru otevření e-mailů 70% a 50% příjemců klikne na odkaz v e-mailu.
Ve srovnání s phishingovými útoky kopím jsou velrybářské útoky výrazně cílenější.
Útoky velryb jdou po jednotlivcích v organizaci, jako je generální ředitel nebo finanční ředitel společnosti.
Jedním z nejčastějších cílů velrybářských útoků je zmanipulovat oběť, aby útočníkovi poslala velké sumy peněz.
Podobně jako u běžného phishingu v tom, že útok probíhá ve formě e-mailu, může lov velryb používat loga společnosti a podobné adresy, aby se zamaskoval.
V některých případech se útočník vydává za generálního ředitele a použijte tuto osobu k přesvědčení jiného zaměstnance, aby odhalil finanční údaje nebo převedl peníze na účet útočníka.
Protože je méně pravděpodobné, že zaměstnanci odmítnou žádost někoho výše, jsou tyto útoky mnohem záludnější.
Útočníci často stráví více času přípravou velrybářského útoku, protože mají tendenci se lépe vyplácet.
Název „velrybářství“ odkazuje na skutečnost, že cíle mají větší finanční sílu (CEO's).
Rybářský phishing je relativně nový typ phishingového útoku a existuje na sociálních sítích.
Nenásledují tradiční e-mailový formát phishingových útoků.
Místo toho se převlékají za zástupce zákaznických služeb společností a klamou lidi, aby jim posílali informace prostřednictvím přímých zpráv.
Běžným podvodem je poslat lidi na falešnou webovou stránku zákaznické podpory, která stáhne malware nebo jinými slovy Ransomware do zařízení oběti.
Vishingový útok je, když vám zavolá podvodník pokusit se od vás získat osobní údaje.
Podvodníci se obvykle vydávají za renomovanou firmu nebo organizaci, jako je Microsoft, IRS nebo dokonce vaše banka.
Používají taktiku strachu, aby vás přiměli odhalit důležitá data účtu.
To jim umožňuje přímý nebo nepřímý přístup k vašim důležitým účtům.
Vishingové útoky jsou ošidné.
Útočníci se mohou snadno vydávat za lidi, kterým důvěřujete.
Podívejte se, jak David McHale, zakladatel společnosti Hailbytes, mluví o tom, jak s budoucí technologií zmizí robotické hovory.
Většina phishingových útoků probíhá prostřednictvím e-mailů, ale existují způsoby, jak zjistit jejich legitimitu.
Když otevřete e-mail zkontrolujte, zda je nebo není z veřejné e-mailové domény (např. @gmail.com).
Pokud je z veřejné e-mailové domény, jedná se s největší pravděpodobností o phishingový útok, protože organizace veřejné domény nepoužívají.
Jejich domény by byly spíše jedinečné pro jejich firmu (tj. e-mailová doména Google je @google.com).
Existují však záludnější phishingové útoky, které využívají jedinečnou doménu.
Je užitečné provést rychlé vyhledávání společnosti a ověřit její legitimitu.
Phishingové útoky se vás vždy snaží spřátelit hezkým pozdravem nebo empatií.
Například nedávno jsem ve svém spamu našel phishingový e-mail s pozdravem „Drahý příteli“.
Už jsem věděl, že se jedná o phishingový e-mail, protože v předmětu bylo uvedeno „DOBRÉ ZPRÁVY O VAŠICH FONDOCH 21/06/2020“.
Pokud jste s tímto kontaktem nikdy nekomunikovali, měli byste vidět tyto typy pozdravů okamžitě.
Obsah phishingového e-mailu je velmi důležitý a uvidíte některé charakteristické rysy, které tvoří většinu.
Pokud obsah zní absurdně, pak se s největší pravděpodobností jedná o podvod.
Pokud například předmět zní: „Vyhráli jste v loterii 1000000 XNUMX XNUMX $“ a vy si nepamatujete, že jste se zúčastnili, je to varovný signál.
Když obsah vytváří pocit naléhavosti jako „záleží na vás“ a vede ke kliknutí na podezřelý odkaz, pak se s největší pravděpodobností jedná o podvod.
Phishingové e-maily mají vždy připojený podezřelý odkaz nebo soubor.
Dobrým způsobem, jak zkontrolovat, zda odkaz obsahuje virus, je použít VirusTotal, webovou stránku, která kontroluje soubory nebo odkazy na přítomnost malwaru.
Příklad phishingového e-mailu:
V příkladu Google poukazuje na to, že e-mail může být potenciálně nebezpečný.
Uvědomuje si, že jeho obsah se shoduje s jinými podobnými phishingovými e-maily.
Pokud e-mail splňuje většinu výše uvedených kritérií, doporučujeme jej nahlásit na adresu reportphishing@apwg.org nebo phishing-report@us-cert.gov, aby byl zablokován.
Pokud používáte Gmail, existuje možnost nahlásit e-mail jako phishing.
Přestože jsou phishingové útoky zaměřeny na náhodné uživatele, často se zaměřují na zaměstnance společnosti.
Útočníkům však nejde vždy o peníze společnosti, ale o její data.
Z hlediska podnikání jsou data mnohem cennější než peníze a mohou mít vážný dopad na společnost.
Útočníci mohou využít uniklá data k ovlivnění veřejnosti tím, že ovlivní důvěru spotřebitelů a pošpiní jméno společnosti.
Ale to nejsou jediné důsledky, které z toho mohou plynout.
Mezi další důsledky patří negativní dopad na důvěru investorů, narušení podnikání a podněcování regulačních pokut podle obecného nařízení o ochraně osobních údajů (GDPR).
Pro snížení úspěšných phishingových útoků se doporučuje proškolit své zaměstnance, aby se s tímto problémem vypořádali.
Způsoby školení zaměstnanců obecně spočívají v tom, že jim ukážete příklady phishingových e-mailů a způsoby, jak je odhalit.
Dalším dobrým způsobem, jak ukázat zaměstnancům phishing, je simulace.
Simulace phishingu jsou v podstatě falešné útoky navržené tak, aby zaměstnancům pomohly rozpoznat phishing z první ruky bez jakýchkoli negativních dopadů.
Nyní se podělíme o kroky, které musíte podniknout, abyste mohli vést úspěšnou phishingovou kampaň.
Phishing zůstává hlavní bezpečnostní hrozbou podle zprávy WIPRO o stavu kybernetické bezpečnosti 2020.
Jedním z nejlepších způsobů, jak sbírat data a vzdělávat zaměstnance, je spustit interní phishingovou kampaň.
Vytvořit phishingový e-mail pomocí phishingové platformy může být dost snadné, ale je toho mnohem víc, než jen odeslat.
Probereme, jak zacházet s phishingovými testy s interní komunikací.
Poté si projdeme, jak analyzujete a používáte data, která shromažďujete.
Phishingová kampaň není o potrestání lidí, pokud napadnou podvod. Simulace phishingu je o výuce zaměstnanců, jak reagovat na phishingové e-maily. Chcete se ujistit, že jste transparentní ohledně školení o phishingu ve vaší společnosti. Upřednostněte informování vedoucích společností o vaší phishingové kampani a popište cíle kampaně.
Poté, co odešlete svůj první základní phishingový e-mailový test, můžete učinit oznámení pro celou společnost všem zaměstnancům.
Důležitým aspektem interní komunikace je udržovat konzistentní sdělení. Pokud si děláte vlastní phishingové testy, pak je dobré vymyslet pro svůj školicí materiál vymyšlenou značku.
Když pro svůj program vymyslíte název, pomůžete zaměstnancům rozpoznat váš vzdělávací obsah ve své doručené poště.
Pokud používáte spravovanou službu testování phishingu, pravděpodobně to bude mít pokryté. Vzdělávací obsah by měl být vytvořen s předstihem, abyste mohli po kampani okamžitě sledovat.
Po základním testu dejte svým zaměstnancům pokyny a informace o vašem interním phishingovém e-mailovém protokolu.
Chcete dát svým spolupracovníkům příležitost správně reagovat na školení.
Zobrazení počtu lidí, kteří správně rozpoznali a nahlásili e-mail, je důležitou informací, kterou lze získat z testu phishingu.
Co by mělo být vaší hlavní prioritou pro vaši kampaň?
Zapojení.
Můžete se pokusit založit své výsledky na počtu úspěchů a neúspěchů, ale tato čísla vám nemusí nutně pomoci s vaším záměrem.
Pokud spustíte simulaci testu phishingu a nikdo neklikne na odkaz, znamená to, že váš test byl úspěšný?
Krátká odpověď je „ne“.
Mít 100% úspěšnost neznamená úspěch.
Může to znamenat, že váš phishingový test byl jednoduše příliš snadno rozpoznatelný.
Na druhou stranu, pokud při phishingovém testu dosáhnete obrovské míry selhání, může to znamenat něco úplně jiného.
Může to znamenat, že vaši zaměstnanci ještě nejsou schopni odhalit phishingové útoky.
Když pro svou kampaň získáte vysokou míru kliknutí, je velká šance, že budete muset snížit obtížnost svých phishingových e-mailů.
Věnujte více času školení lidí na jejich současné úrovni.
Nakonec chcete snížit míru kliknutí na phishingové odkazy.
Možná se ptáte, jaká je dobrá nebo špatná míra kliknutí při simulaci phishingu.
Podle sans.org vaše první simulace phishingu může přinést průměrnou míru kliknutí 25–30 %.
To se zdá být opravdu vysoké číslo.
Naštěstí to oznámili po 9–18 měsících tréninku phishingu byla míra prokliku pro test phishingu pod 5%.
Tato čísla mohou pomoci jako hrubý odhad vašich požadovaných výsledků z tréninku phishingu.
Chcete-li zahájit svou první simulaci phishingových e-mailů, nezapomeňte uvést IP adresu testovacího nástroje na seznam povolených.
Tím je zajištěno, že zaměstnanci obdrží e-mail.
Když vytváříte svůj první simulovaný phishingový e-mail, nedělejte to příliš snadné ani příliš obtížné.
Měli byste také pamatovat na své publikum.
Pokud vaši spolupracovníci nejsou silnými uživateli sociálních médií, pak by pravděpodobně nebylo dobré používat falešný phishingový e-mail pro resetování hesla LinkedIn. E-mail testeru musí být dostatečně široký, aby na něj měl důvod kliknout každý ve vaší společnosti.
Některé příklady phishingových e-mailů se širokou přitažlivostí mohou být:
Jen si vzpomeňte na psychologii toho, jak zprávu přijme vaše publikum, než stisknete tlačítko odeslat.
I nadále posílejte svým zaměstnancům e-maily se školením o phishingu. Ujistěte se, že v průběhu času pomalu zvyšujete obtížnost, abyste zvýšili úroveň dovedností lidí.
Doporučuje se odesílat e-maily měsíčně. Pokud svou organizaci „phishing“ příliš často, pravděpodobně se toho chytí příliš rychle.
Chytit své zaměstnance, trochu nepřipravené, je nejlepší způsob, jak dosáhnout realističtějších výsledků.
Pokud pokaždé posíláte stejný typ „phishingových“ e-mailů, nenaučíte své zaměstnance, jak reagovat na různé podvody.
Můžete vyzkoušet několik různých úhlů, včetně:
Při odesílání nových kampaní se vždy ujistěte, že dolaďujete relevanci sdělení pro své publikum.
Pokud odešlete phishingový e-mail, který se netýká něčeho, co vás zajímá, nemusíte ze své kampaně dostat příliš velkou odpověď.
Poté, co svým zaměstnancům odešlete různé kampaně, obnovte některé ze starých kampaní, které oklamaly lidi poprvé, a proveďte s ní nový obrat.
Efektivitu svého tréninku poznáte, pokud uvidíte, že se lidé buď učí a zlepšují.
Odtud budete schopni říci, zda potřebují další vzdělání o tom, jak rozpoznat určitý typ phishingového e-mailu.
Existují 3 faktory, které určují, zda se chystáte vytvořit svůj vlastní phishingový školicí program, nebo jej outsourcovat.
Pokud jste bezpečnostní technik nebo ho máte ve společnosti, můžete snadno vytvořit phishingový server pomocí již existující phishingové platformy a vytvořit tak své kampaně.
Pokud nemáte žádné bezpečnostní inženýry, vytvoření vlastního phishingového programu možná nepřipadá v úvahu.
Ve vaší organizaci můžete mít bezpečnostního inženýra, ale nemusí mít zkušenosti s testy sociálního inženýrství nebo phishingu.
Pokud máte někoho zkušeného, pak by byl dostatečně spolehlivý, aby vytvořil svůj vlastní phishingový program.
To je opravdu velký faktor pro malé a středně velké společnosti.
Pokud je váš tým malý, nemusí být vhodné přidat do vašeho bezpečnostního týmu další úkol.
Je mnohem pohodlnější, když za vás práci udělá jiný zkušený tým.
Prošli jste celou tuto příručku, abyste zjistili, jak můžete školit své zaměstnance, a jste připraveni začít chránit svou organizaci prostřednictvím školení o phishingu.
Co teď?
Pokud jste bezpečnostní technik a chcete začít provozovat své první phishingové kampaně hned, zde se dozvíte více o nástroji pro simulaci phishingu, který můžete použít, abyste mohli začít ještě dnes.
Nebo…
Máte-li zájem dozvědět se o spravovaných službách pro provozování phishingových kampaní, zde se dozvíte více o tom, jak můžete zahájit bezplatnou zkušební verzi školení o phishingu.
Pomocí kontrolního seznamu identifikujte neobvyklé e-maily a pokud se jedná o phishing, nahlaste je.
I když existují phishingové filtry, které vás mohou ochránit, není to 100 %.
Phishingové e-maily se neustále vyvíjejí a nikdy nejsou stejné.
Na chránit vaši společnost z phishingových útoků, na kterých se můžete podílet phishingové simulace snížit šance na úspěšné phishingové útoky.
Doufáme, že jste se z této příručky dostatečně poučili, abyste zjistili, co musíte udělat, abyste snížili své šance na phishingový útok na vaši firmu.
Zanechte prosím komentář, pokud na nás máte nějaké dotazy nebo pokud se chcete podělit o své znalosti nebo zkušenosti s phishingovými kampaněmi.
Nezapomeňte tento návod sdílet a šířit dál!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-mail: info@hailbytes.com
