Συνειδητοποίηση phishing: Πώς συμβαίνει και πώς να το αποτρέψετε
Γιατί οι εγκληματίες χρησιμοποιούν επίθεση phishing;
Ποια είναι η μεγαλύτερη ευπάθεια ασφαλείας σε έναν οργανισμό;
Οι άνθρωποι!
Κάθε φορά που θέλουν να μολύνουν έναν υπολογιστή ή να αποκτήσουν πρόσβαση σε σημαντικά πληροφορίες όπως αριθμούς λογαριασμών, κωδικούς πρόσβασης ή αριθμούς PIN, το μόνο που έχουν να κάνουν είναι να ρωτήσουν.
Phishing Οι επιθέσεις είναι συνηθισμένες γιατί είναι:
- Εύκολο να γίνει – Ένα παιδί 6 ετών θα μπορούσε να κάνει επίθεση phishing.
- Επεκτάσιμα – Κυμαίνονται από επιθέσεις ψαρέματος με δόρυ που χτυπούν ένα άτομο έως επιθέσεις σε ολόκληρο οργανισμό.
- Πολύ αποτελεσματικό - Το 74% των οργανισμών έχουν βιώσει μια επιτυχημένη επίθεση phishing.
- Διαπιστευτήρια λογαριασμού Gmail – $80
- καρφίτσα πιστωτικής κάρτας - $20
- Διαπιστευτήρια ηλεκτρονικής τράπεζας για λογαριασμούς με τουλάχιστον 100 $ σε αυτούς - $40
- Τραπεζικούς λογαριασμούς με τουλάχιστον 2,000 $ - $120
Πιθανότατα σκέφτεστε, "Ουάου, οι λογαριασμοί μου πηγαίνουν για το χαμηλότερο δολάριο!"
Και αυτό είναι αλήθεια.
Υπάρχουν άλλοι τύποι λογαριασμών που έχουν πολύ υψηλότερη τιμή, επειδή είναι πιο εύκολο να διατηρήσουν τις μεταφορές χρημάτων ανώνυμες.
Οι λογαριασμοί που διαθέτουν κρυπτογράφηση είναι το τζάκποτ για απατεώνες phishing.
Τα τρέχοντα επιτόκια για λογαριασμούς κρυπτογράφησης είναι:
- Coinbase - $610
- Blockchain.com – $310
- Binance - $410
Υπάρχουν επίσης και άλλοι μη οικονομικοί λόγοι για επιθέσεις phishing.
Οι επιθέσεις phishing μπορούν να χρησιμοποιηθούν από έθνη-κράτη για να χακάρουν σε άλλες χώρες και να εξορύξουν τα δεδομένα τους.
Οι επιθέσεις μπορεί να είναι για προσωπικές βεντέτες ή ακόμη και για να καταστρέψουν τη φήμη εταιρειών ή πολιτικών εχθρών.
Οι λόγοι για τις επιθέσεις phishing είναι ατελείωτοι…
Πώς ξεκινά μια επίθεση phishing;
Μια επίθεση phishing συνήθως ξεκινά με τον εγκληματία να βγαίνει και να σας στέλνει μήνυμα.
Μπορεί να σας δώσουν ένα τηλεφώνημα, ένα email, ένα άμεσο μήνυμα ή ένα SMS.
Θα μπορούσαν να ισχυριστούν ότι είναι κάποιος που εργάζεται για μια τράπεζα, μια άλλη εταιρεία με την οποία συνεργάζεστε, μια κυβερνητική υπηρεσία ή ακόμη και ότι είναι κάποιος στον οργανισμό σας.
Ένα email ηλεκτρονικού ψαρέματος μπορεί να σας ζητήσει να κάνετε κλικ σε έναν σύνδεσμο ή να κάνετε λήψη και εκτέλεση ενός αρχείου.
Μπορεί να πιστεύετε ότι είναι ένα νόμιμο μήνυμα, κάντε κλικ στον σύνδεσμο μέσα στο μήνυμά τους και συνδεθείτε σε αυτόν που φαίνεται να είναι ο ιστότοπος από τον οργανισμό που εμπιστεύεστε.
Σε αυτό το σημείο η απάτη phishing έχει ολοκληρωθεί.
Έχετε παραδώσει τα προσωπικά σας στοιχεία στον εισβολέα.
Πώς να αποτρέψετε μια επίθεση phishing
Η κύρια στρατηγική για την αποφυγή επιθέσεων phishing είναι η εκπαίδευση των εργαζομένων και η οικοδόμηση της οργανωτικής ευαισθητοποίησης.
Πολλές επιθέσεις phishing μοιάζουν με νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου και μπορούν να περάσουν από ένα φίλτρο ανεπιθύμητης αλληλογραφίας ή παρόμοια φίλτρα ασφαλείας.
Με την πρώτη ματιά, το μήνυμα ή ο ιστότοπος μπορεί να φαίνονται αληθινοί χρησιμοποιώντας μια γνωστή διάταξη λογότυπου κ.λπ.
Ευτυχώς, ο εντοπισμός επιθέσεων phishing δεν είναι τόσο δύσκολος.
Το πρώτο πράγμα που πρέπει να προσέξετε είναι η διεύθυνση του αποστολέα.
Εάν η διεύθυνση αποστολέα είναι μια παραλλαγή σε έναν τομέα ιστότοπου που μπορεί να έχετε συνηθίσει, ίσως θέλετε να προχωρήσετε με προσοχή και να μην κάνετε κλικ σε τίποτα στο σώμα του ηλεκτρονικού ταχυδρομείου.
Μπορείτε επίσης να δείτε τη διεύθυνση του ιστότοπου όπου ανακατευθυνθείτε εάν υπάρχουν σύνδεσμοι.
Για να είστε ασφαλείς, θα πρέπει να πληκτρολογήσετε τη διεύθυνση του οργανισμού που θέλετε να επισκεφτείτε στο πρόγραμμα περιήγησης ή να χρησιμοποιήσετε τα αγαπημένα του προγράμματος περιήγησης.
Προσέξτε για συνδέσμους που όταν τοποθετείτε το δείκτη του ποντικιού πάνω τους εμφανίζουν έναν τομέα που δεν είναι ίδιος με την εταιρεία που στέλνει το μήνυμα ηλεκτρονικού ταχυδρομείου.
Διαβάστε προσεκτικά το περιεχόμενο του μηνύματος και να είστε δύσπιστοι για όλα τα μηνύματα που σας ζητούν να υποβάλετε τα προσωπικά σας δεδομένα ή να επαληθεύσετε πληροφορίες, να συμπληρώσετε φόρμες ή να κάνετε λήψη και εκτέλεση αρχείων.
Επίσης, μην αφήσετε το περιεχόμενο του μηνύματος να σας ξεγελάσει.
Οι επιτιθέμενοι συχνά προσπαθούν να σας τρομάξουν για να σας κάνουν να κάνετε κλικ σε έναν σύνδεσμο ή να σας ανταμείψουν για να λάβετε τα προσωπικά σας δεδομένα.
Κατά τη διάρκεια μιας πανδημίας ή εθνικής έκτακτης ανάγκης, οι απατεώνες phishing θα εκμεταλλευτούν τους φόβους των ανθρώπων και θα χρησιμοποιήσουν το περιεχόμενο της γραμμής θέματος ή του σώματος μηνύματος για να σας τρομάξουν να αναλάβετε δράση και να κάνετε κλικ σε έναν σύνδεσμο.
Επίσης, ελέγξτε για κακά ορθογραφικά ή γραμματικά λάθη στο μήνυμα ηλεκτρονικού ταχυδρομείου ή στον ιστότοπο.
Ένα άλλο πράγμα που πρέπει να έχετε κατά νου είναι ότι οι περισσότερες αξιόπιστες εταιρείες συνήθως δεν σας ζητούν να στείλετε ευαίσθητα δεδομένα μέσω ιστού ή αλληλογραφίας.
Γι' αυτό δεν πρέπει ποτέ να κάνετε κλικ σε ύποπτους συνδέσμους ή να παρέχετε οποιοδήποτε είδος ευαίσθητων δεδομένων.
Τι μπορώ να κάνω εάν λάβω ένα email ηλεκτρονικού ψαρέματος;
Εάν λάβετε ένα μήνυμα που φαίνεται σαν επίθεση phishing, έχετε τρεις επιλογές.
- Διέγραψε το.
- Επαληθεύστε το περιεχόμενο του μηνύματος επικοινωνώντας με τον οργανισμό μέσω του παραδοσιακού καναλιού επικοινωνίας του.
- Μπορείτε να προωθήσετε το μήνυμα στο τμήμα ασφάλειας IT για περαιτέρω ανάλυση.
Η εταιρεία σας θα πρέπει ήδη να ελέγχει και να φιλτράρει την πλειοψηφία των ύποπτων μηνυμάτων ηλεκτρονικού ταχυδρομείου, αλλά ο καθένας μπορεί να γίνει θύμα.
Δυστυχώς, οι απάτες phishing είναι μια αυξανόμενη απειλή στο διαδίκτυο και οι κακοί αναπτύσσουν πάντα νέες τακτικές για να περάσουν στα εισερχόμενά σας.
Λάβετε υπόψη ότι τελικά, είστε το τελευταίο και πιο σημαντικό επίπεδο άμυνας ενάντια στις απόπειρες phishing.
Πώς να σταματήσετε μια επίθεση phishing πριν συμβεί
Δεδομένου ότι οι επιθέσεις phishing βασίζονται στο ανθρώπινο λάθος για να είναι αποτελεσματικές, η καλύτερη επιλογή είναι να εκπαιδεύσετε τους ανθρώπους της επιχείρησής σας για το πώς να αποφύγουν το δόλωμα.
Αυτό δεν σημαίνει ότι πρέπει να έχετε μια μεγάλη συνάντηση ή σεμινάριο για το πώς να αποφύγετε μια επίθεση phishing.
Υπάρχουν καλύτεροι τρόποι για να βρείτε κενά στην ασφάλειά σας και να βελτιώσετε την ανθρώπινη απόκρισή σας στο ηλεκτρονικό ψάρεμα.
2 βήματα που μπορείτε να ακολουθήσετε για να αποτρέψετε μια απάτη ηλεκτρονικού ψαρέματος
A προσομοιωτή phishing είναι λογισμικό που σας επιτρέπει να προσομοιώσετε μια επίθεση phishing σε όλα τα μέλη του οργανισμού σας.
Οι προσομοιωτές ηλεκτρονικού ψαρέματος συνήθως συνοδεύονται από πρότυπα που βοηθούν στην απόκρυψη του μηνύματος ηλεκτρονικού ταχυδρομείου ως αξιόπιστου προμηθευτή ή τη μίμηση εσωτερικών μορφών ηλεκτρονικού ταχυδρομείου.
Οι προσομοιωτές ηλεκτρονικού "ψαρέματος" δεν δημιουργούν απλώς το μήνυμα ηλεκτρονικού ταχυδρομείου, αλλά βοηθούν στη δημιουργία του ψεύτικου ιστότοπου στον οποίο οι παραλήπτες θα καταλήξουν να εισάγουν τα διαπιστευτήριά τους εάν δεν περάσουν το τεστ.
Αντί να τους επιπλήττετε επειδή έπεσαν σε παγίδα, ο καλύτερος τρόπος για να χειριστείτε την κατάσταση είναι να παρέχετε πληροφορίες σχετικά με τον τρόπο αξιολόγησης των μηνυμάτων ηλεκτρονικού ψαρέματος στο μέλλον.
Εάν κάποιος αποτύχει σε ένα τεστ ηλεκτρονικού ψαρέματος, είναι καλύτερο να του στείλετε απλώς μια λίστα με συμβουλές για τον εντοπισμό μηνυμάτων ηλεκτρονικού ψαρέματος.
Μπορείτε ακόμη και να χρησιμοποιήσετε αυτό το άρθρο ως αναφορά για τους υπαλλήλους σας.
Ένα άλλο σημαντικό πλεονέκτημα της χρήσης ενός καλού προσομοιωτή phishing είναι ότι μπορείτε να μετρήσετε την ανθρώπινη απειλή στον οργανισμό σας, κάτι που συχνά είναι δύσκολο να προβλεφθεί.
Μπορεί να χρειαστεί έως και ενάμιση χρόνο για την εκπαίδευση των εργαζομένων σε ένα ασφαλές επίπεδο μετριασμού.
Είναι σημαντικό να επιλέξετε τη σωστή υποδομή προσομοίωσης phishing για τις ανάγκες σας.
Εάν κάνετε προσομοιώσεις phishing σε μία επιχείρηση, τότε το έργο σας θα είναι πιο εύκολο
Εάν είστε MSP ή MSSP, μπορεί να χρειαστεί να εκτελέσετε δοκιμές phishing σε πολλές επιχειρήσεις και τοποθεσίες.
Η επιλογή μιας λύσης που βασίζεται στο cloud θα ήταν η καλύτερη επιλογή για χρήστες που εκτελούν πολλές καμπάνιες.
Στη Hailbytes, έχουμε διαμορφώσει GoPhish, ένα από τα πιο δημοφιλή πλαίσια phishing ανοιχτού κώδικα ως εύχρηστο παράδειγμα στο AWS.
Πολλοί προσομοιωτές phishing διατίθενται στο παραδοσιακό μοντέλο Saas και έχουν στενά συμβόλαια που συνδέονται με αυτούς, αλλά το GoPhish στο AWS είναι μια υπηρεσία που βασίζεται στο cloud όπου πληρώνετε με μετρημένο επιτόκιο αντί για συμβόλαιο 1 ή 2 ετών.
Βήμα 2. Εκπαίδευση ευαισθητοποίησης για την ασφάλεια
Ένα βασικό όφελος από την παροχή στους εργαζόμενους συνειδητοποίηση της ασφάλειας Η εκπαίδευση τους προστατεύει από κλοπή ταυτότητας, κλοπή τραπεζών και κλεμμένα επιχειρηματικά διαπιστευτήρια.
Η εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια είναι απαραίτητη για τη βελτίωση της ικανότητας των εργαζομένων να εντοπίζουν απόπειρες phishing.
Τα μαθήματα μπορούν να βοηθήσουν στην εκπαίδευση του προσωπικού για τον εντοπισμό προσπαθειών phishing, αλλά μόνο μερικά εστιάζουν σε μικρές επιχειρήσεις.
Μπορεί να είναι δελεαστικό για εσάς ως ιδιοκτήτη μικρής επιχείρησης να μειώσετε το κόστος ενός μαθήματος στέλνοντας μερικά βίντεο στο Youtube σχετικά με την ευαισθητοποίηση σε θέματα ασφάλειας…
αλλά το προσωπικό σπάνια θυμάται αυτό το είδος προπόνησης για περισσότερες από μερικές ημέρες.
Το Hailbytes έχει ένα μάθημα που περιλαμβάνει έναν συνδυασμό γρήγορων βίντεο και κουίζ, ώστε να μπορείτε να παρακολουθείτε την πρόοδο των υπαλλήλων σας, να αποδείξετε ότι ισχύουν μέτρα ασφαλείας και να μειώσετε μαζικά τις πιθανότητές σας να υποστείτε απάτη ηλεκτρονικού ψαρέματος.
Μπορείτε να δείτε το μάθημά μας για το Udemy εδώ ή να κάνετε κλικ στο μάθημα παρακάτω:
Εάν ενδιαφέρεστε να εκτελέσετε μια δωρεάν προσομοίωση phishing για να εκπαιδεύσετε τους υπαλλήλους σας, κατευθυνθείτε στο AWS και ελέγξτε το GoPhish!
Είναι εύκολο να ξεκινήσετε και μπορείτε πάντα να επικοινωνήσετε μαζί μας εάν χρειάζεστε βοήθεια για τη ρύθμιση.
