Τι είναι λοιπόν το phishing;
Το ηλεκτρονικό ψάρεμα (phishing) είναι ένας τύπος εγκλήματος στον κυβερνοχώρο που επιχειρεί να κάνει τα θύματα να διαρρεύσουν ευαίσθητες πληροφορίες μέσω απάτης ηλεκτρονικού ταχυδρομείου, κλήσεων ή/και μηνυμάτων κειμένου.
Οι εγκληματίες του κυβερνοχώρου προσπαθούν συχνά να χρησιμοποιήσουν την κοινωνική μηχανική για να πείσουν το θύμα να διαρρεύσει προσωπικές πληροφορίες παρουσιάζοντας τον εαυτό τους ως αξιόπιστο άτομο προκειμένου να υποβάλει εύλογο αίτημα για ευαίσθητες πληροφορίες.
Υπάρχουν διαφορετικοί τύποι phishing;
Spears Phishing
Το Spear phishing είναι παρόμοιο με το γενικό phishing καθώς στοχεύει εμπιστευτικές πληροφορίες, αλλά το spear phishing είναι πολύ πιο προσαρμοσμένο σε ένα συγκεκριμένο θύμα. Προσπαθούν να αντλήσουν τις περισσότερες πληροφορίες από ένα άτομο. Οι επιθέσεις ψαρέματος με δόρυ προσπαθούν να αντιμετωπίσουν συγκεκριμένα τον στόχο και να μεταμφιεστούν ως άτομο ή οντότητα που μπορεί να γνωρίζει το θύμα. Ως αποτέλεσμα, χρειάζεται πολύ περισσότερη προσπάθεια για να γίνουν αυτά, καθώς απαιτεί την εύρεση πληροφοριών για τον στόχο. Αυτές οι επιθέσεις phishing συνήθως στοχεύουν άτομα που τοποθετούν προσωπικές πληροφορίες στο διαδίκτυο. Λόγω της μεγάλης προσπάθειας που χρειάστηκε για την εξατομίκευση του email, οι επιθέσεις ψαρέματος με δόρυ είναι πολύ πιο δύσκολο να εντοπιστούν σε σύγκριση με τις κανονικές επιθέσεις.
Φαλαινοθηρία
Σε σύγκριση με τις επιθέσεις ψαρέματος με δόρυ, οι επιθέσεις φαλαινοθηρίας είναι δραστικά πιο στοχευμένες. Οι επιθέσεις φαλαινοθηρίας κυνηγούν άτομα σε έναν οργανισμό ή εταιρεία και υποδύονται κάποιον με αρχαιότητα στην εταιρεία. Κοινοί στόχοι της φαλαινοθηρίας είναι η εξαπάτηση ενός στόχου ώστε να αποκαλύψει δυνητικά εμπιστευτικά δεδομένα ή να μεταφέρει χρήματα. Παρόμοια με το κανονικό phishing, καθώς η επίθεση έχει τη μορφή μηνύματος ηλεκτρονικού ταχυδρομείου, το whaling μπορεί να χρησιμοποιήσει λογότυπα εταιρείας και παρόμοιες διευθύνσεις για να μεταμφιεστεί. Καθώς οι εργαζόμενοι είναι λιγότερο πιθανό να αρνηθούν ένα αίτημα από κάποιον υψηλότερο, αυτές οι επιθέσεις είναι πολύ πιο επικίνδυνες.
Ψαρόψαρο ψαρέματος
Το ψάρεμα ψαράδων είναι ένας σχετικά νέος τύπος επίθεσης phishing και υπάρχει στα social μεσο ΜΑΖΙΚΗΣ ΕΝΗΜΕΡΩΣΗΣ. Δεν ακολουθούν την παραδοσιακή μορφή email των επιθέσεων phishing. Αντίθετα, μεταμφιέζονται ως υπηρεσίες πελατών εταιρειών και ξεγελούν τους ανθρώπους για να τους στείλουν πληροφορίες μέσω απευθείας μηνυμάτων. Ένας άλλος τρόπος είναι να οδηγεί τους ανθρώπους σε έναν ψεύτικο ιστότοπο υποστήριξης πελατών που θα κατεβάζει κακόβουλο λογισμικό στη συσκευή του θύματος.
Πώς λειτουργεί μια επίθεση phishing;
Οι επιθέσεις phishing βασίζονται αποκλειστικά στην εξαπάτηση των θυμάτων για να δώσουν προσωπικές πληροφορίες μέσω διαφορετικών μεθόδων κοινωνικής μηχανικής.
Ο κυβερνοεγκληματίας θα προσπαθήσει να κερδίσει την εμπιστοσύνη του θύματος παρουσιάζοντας τον εαυτό του ως εκπρόσωπο μιας αξιόπιστης εταιρείας.
Ως αποτέλεσμα, το θύμα θα αισθανόταν ασφαλές να παρουσιάσει στον κυβερνοεγκληματία ευαίσθητες πληροφορίες, με τον τρόπο που κλέβονται οι πληροφορίες.
Πώς μπορείτε να αναγνωρίσετε μια επίθεση phishing;
Οι περισσότερες επιθέσεις phishing πραγματοποιούνται μέσω email, αλλά υπάρχουν τρόποι να προσδιορίσετε τη νομιμότητά τους.
- Ελέγξτε τον τομέα ηλεκτρονικού ταχυδρομείου
Όταν ανοίγετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου, ελέγξτε εάν προέρχεται από δημόσιο τομέα ηλεκτρονικού ταχυδρομείου (π.χ. @gmail.com). Εάν προέρχεται από δημόσιο τομέα ηλεκτρονικού ταχυδρομείου, πιθανότατα πρόκειται για επίθεση phishing, καθώς οι οργανισμοί δεν χρησιμοποιούν δημόσιους τομείς. Αντίθετα, οι τομείς τους θα είναι μοναδικοί για την επιχείρησή τους (δηλ. ο τομέας ηλεκτρονικού ταχυδρομείου της Google είναι @google.com). Ωστόσο, υπάρχουν πιο δύσκολες επιθέσεις phishing που χρησιμοποιούν έναν μοναδικό τομέα. Ίσως είναι χρήσιμο να κάνετε μια γρήγορη αναζήτηση της εταιρείας και να ελέγξετε τη νομιμότητά της.
- Το email έχει γενικό χαιρετισμό
Οι επιθέσεις phishing προσπαθούν πάντα να σας κάνουν φιλία με έναν ωραίο χαιρετισμό ή ενσυναίσθηση. Για παράδειγμα, στο spam μου πριν από λίγο καιρό βρήκα ένα ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" με τον χαιρετισμό "Αγαπητέ φίλε". Ήξερα ήδη ότι αυτό ήταν ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος, καθώς στη γραμμή θέματος έγραφε "ΚΑΛΑ ΝΕΑ ΓΙΑ ΤΑ ΚΕΦΑΛΑΙΑ ΣΑΣ 21/06/2020". Το να βλέπετε αυτούς τους τύπους χαιρετισμών θα πρέπει να είναι άμεσες κόκκινες σημαίες εάν δεν έχετε ποτέ αλληλεπιδράσει με αυτήν την επαφή.
- Ελέγξτε το περιεχόμενο
Τα περιεχόμενα ενός ηλεκτρονικού ηλεκτρονικού "ψαρέματος" είναι πολύ σημαντικά και θα δείτε μερικά διακριτικά χαρακτηριστικά που αποτελούν τα περισσότερα. Εάν το περιεχόμενο ακούγεται παράλογο ή υπερβολικό, τότε πιθανότατα πρόκειται για απάτη. Για παράδειγμα, εάν η γραμμή θέματος έλεγε "Κερδίσατε το Λοταρία 1000000 $" και δεν θυμάστε ότι συμμετείχατε, τότε αυτό είναι μια άμεση κόκκινη σημαία. Όταν το περιεχόμενο δημιουργεί μια αίσθηση επείγοντος όπως "εξαρτάται από εσάς" και προσπαθεί να σας κάνει να κάνετε κλικ σε έναν σύνδεσμο, μην κάνετε κλικ στον σύνδεσμο και απλώς διαγράψτε το email.
- Υπερσυνδέσεις και Συνημμένα
Τα μηνύματα ηλεκτρονικού ψαρέματος έχουν πάντα έναν ύποπτο σύνδεσμο ή ένα αρχείο συνημμένο σε αυτά. Μερικές φορές αυτά τα συνημμένα μπορεί να έχουν μολυνθεί με κακόβουλο λογισμικό, επομένως μην τα κατεβάσετε εκτός εάν είστε απολύτως βέβαιοι ότι είναι ασφαλή. Ένας καλός τρόπος για να ελέγξετε εάν ένας σύνδεσμος έχει ιό είναι να χρησιμοποιήσετε VirusTotal, ένας ιστότοπος που ελέγχει αρχεία ή συνδέσμους για κακόβουλο λογισμικό.
Πώς μπορείτε να αποτρέψετε το phishing;
Ο καλύτερος τρόπος για να αποτρέψετε το phishing είναι να εκπαιδεύσετε τον εαυτό σας και τους υπαλλήλους σας ώστε να αναγνωρίζουν μια επίθεση phishing.
Μπορείτε να εκπαιδεύσετε σωστά τους υπαλλήλους σας παρουσιάζοντας πολλά παραδείγματα email, κλήσεων και μηνυμάτων ηλεκτρονικού ψαρέματος.
Υπάρχουν επίσης προσομοιώσεις phishing, όπου μπορείτε να δείξετε από πρώτο χέρι τους υπαλλήλους σας πώς είναι πραγματικά μια επίθεση phishing, περισσότερα για αυτό παρακάτω.
Μπορείτε να μου πείτε τι είναι η προσομοίωση phishing;
Οι προσομοιώσεις phishing είναι ασκήσεις που βοηθούν τους υπαλλήλους να διακρίνουν ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος από οποιοδήποτε άλλο συνηθισμένο email.
Αυτό θα επέτρεπε στους υπαλλήλους να αναγνωρίσουν πιθανές απειλές για να διατηρήσουν ασφαλείς τις πληροφορίες της εταιρείας τους.
Ποια είναι τα οφέλη των επιθέσεων phishing προσομοίωσης;
Η προσομοίωση επιθέσεων phishing μπορεί να είναι πολύ ωφέλιμη για την παρατήρηση του τρόπου με τον οποίο θα αντιδρούσαν οι υπάλληλοί σας και η εταιρεία σας εάν αποστέλλονταν πραγματικό κακόβουλο περιεχόμενο.
Θα τους δώσει επίσης μια εμπειρία από πρώτο χέρι για το πώς είναι ένα email, ένα μήνυμα ή μια κλήση ηλεκτρονικού ψαρέματος, ώστε να μπορούν να εντοπίσουν πραγματικές επιθέσεις όταν έρθουν.
