Phishing og spearphishing: Et snyderi til forretningsfolk

Phishing og spearphishing: Et snyderi for erhvervsfolk, når kriminelle bruger teknologi til at udbrede angreb fra socialteknologi, kan det at blive kompliceret at sikre din organisation. Her er hvad du har brug for at vide om phishing og spearphishing.

Mens sikkerhedsfagfolk stort set fokuserer på at identificere og lappe sårbarheder i software, er det svageste sikkerhedslink typisk slutbrugere. Phishing er en socialteknologisk metode til svigagtig at få information ved at forklæde kommunikation som fra en betroet kilde; informationen kan derefter bruges til at få adgang til enheder eller netværk. Spearphishing er et målrettet phishing-angreb, der er afhængig af brugen af ​​personlige oplysninger for at gøre angrebet mere pålideligt.

TechRepublic's snyderi om phishing og spearphishing er en introduktion til social engineering angrebet. Denne vejledning opdateres med jævne mellemrum, efterhånden som angrebsstrategier og forsvar udvikler sig.

Hvad er forskellen mellem phishing og spearphishing?

Phishing er en socialteknologisk metode til svigagtig at få information, som derefter kan bruges til at få adgang til enheder eller netværk. Denne type angreb bruger teknologi til at skjule kommunikation eller websider som fra en betroet kilde. Grundlæggende er phishing-angreb afhængige af tillids-tricks så meget som teknologisk trickery for at nå sine mål.

I modsætning hertil er spearphishing et phishing-angreb, der er målrettet mod en bestemt person eller virksomhed. Disse angreb er normalt afhængige af skræddersyede metoder og ressourcer, såsom forsøg på at klone login-grænsefladen for virksomhedens intranet, samt at bruge personlige oplysninger indsamlet på forhånd (måske fra et forudgående brud) om mål for at øge sandsynligheden for succes. Spearphishing-angreb udført mod ledende medarbejdere kaldes hvalfangst.

Hvalfangstformlen vendes også som "CEO Fraud", hvor phishing-e-mails er forklædt som stammer fra CEO. Ifølge Colin Bastable, administrerende direktør for sikkerhedsuddannelsesfirmaet Lucy Security, "Disse socialt konstruerede angreb er ødelæggende, fordi falske e-mails ser ud til at være virkelige, og ofrene frivilligt overleverer pengene. Hvorfor skulle forsikringsselskabet dække tabet ? Mål identificeres, plejes og derefter narres af ganske sofistikerede e-mail-teknikker til ledningsførende midler til 'brænder' bankkonti, ofte i Asien, som derefter tømmes. I tankerne om, at e-mail-anmodningen kommer fra administrerende direktør, sender offeret villigt pengene . SMB'er er især sårbare, da de har korte kommunikationslinjer, med færre kontrol og balance mellem finanspersonale og administrerende direktør. "

Yderligere ressourcer

  • Udfordringerne med at forhindre phishing-angreb: Et insiders perspektiv (TechRepublic)
  • Hvad er phishing? Alt hvad du behøver at vide for at beskytte dig selv mod svindel-e-mails og mere (ZDNet)
  • Denne phishing-scam-gruppe opbyggede en liste med 50.000 execs, der skal målrettes (ZDNet)
  • Video: Hvordan man løser de menneskelige udfordringer inden for cybersikkerhed (TechRepublic)
  • Hvorfor vi måske ser mere spam og phishing post-GDPR (TechRepublic)

Hvilke typer phishing-angreb findes?

Ondsindede skuespillere anvender typisk en række phishing-teknikker i deres angreb.

Vildledende sammenkobling

Den mest anvendte - og mest pålidelige strategi for angribere - er at skjule et ondsindet link som peger på en legitim eller betroet kilde. Disse typer phishing-angreb kan antage et vilkårligt antal former, såsom at udnytte forkert stavede URL'er, oprette et underdomæne til et ondsindet websted eller bruge forvirrende lignende domæner.

For eksempler på disse tre strategier skal du overveje følgende: Bogstavet I er meget tæt på L på standard QWERTY-tastaturer, hvilket ville gøre "googie" til en plausibel stand-in for "google". For underdomæner kan en hacker, der kontrollerer example.com, oprette underdomæner til det domæne (f.eks. "Www.paypal.example.com, "), som starten af ​​den URL vises legitim til. For forvirrende lignende domæner blev domænet "accounts-google.com" registreret som en klon af "accounts.google.com" i et phishing-angreb under det amerikanske præsidentvalg 2016.

Internationale domænenavne (IDN'er) kan også bruges til at oprette forvirrende lignende udseende domænenavne ved at tillade brug af ikke-ASCII-tegn. Visuelle ligheder mellem karakterer i forskellige scripts, kaldet homoglyfer, kan bruges til at oprette domænenavne med visuelt uundgåelige forskelle og narre brugerne til at tro, at et domæne faktisk er et andet.

Kloning af websted, forfalskning og skjult omdirigering

Websteder, der er sårbare over for XSS-angreb på tværs af websteder, kan bruges af ondsindede aktører til at injicere deres eget indhold på det aktuelle websted for den tjeneste, der angribes. XSS kan bruges til at høste data indtastet på et kompromitteret websted (inklusive brugernavn / adgangskode felter) for angribere til at bruge på et senere tidspunkt.

Nogle phishing-angreb bruger XSS til at oprette pop-ups, der stammer fra et sårbart websted, men indlæser en side kontrolleret af angriberen; ofte indlæser denne type skjult omdirigering en loginformular for at høste loginoplysninger. Som et resultat af udbredelsen af ​​denne type angreb viser de fleste browsere nu adresselinjen i pop op-vinduer.

Stemmende og tekst phishing

Ondsindede aktører er også afhængige af telefonopkald og tekstmeddelelser for at høste kontooplysninger, hvor tekster, der sendes til bankkunder, der hævder, at deres kontoadgang er deaktiveret, hvilket beder brugerne om at ringe til et telefonnummer eller bruge et websted, der er oprettet af angribere, hvorfra kontooplysninger kan være høstet.

Yderligere ressourcer

  • Phishing-advarsel: Hvis du arbejder i denne branche, er du mere sandsynligt et mål (ZDNet)
  • Hvordan en hacket bærbar computer førte til, at et helt netværk kompromitteres (ZDNet)
  • Hvorfor botnets, ransomware og phishing-angreb er de største cybertrusler for din virksomhed (TechRepublic)
  • Hackere er rettet mod japanske akademikere med phishing-kampagne for at stjæle forskningsdata (TechRepublic)
  • Cybersikkerhed og cyberwar: Mere must-read-dækning (TechRepublic på Flipboard)

Hvorfor skulle jeg være bekymret for phishing?

Mere om cybersikkerhed

  • Cybersikkerhed i 2020: Otte skræmmende forudsigelser
  • De ti vigtigste cyberangreb i årtiet
  • Sådan bliver du en cybersecurity-pro: Et snyderi
  • Den berømte con mand Frank Abagnale: Kriminalitet er 4.000 gange lettere i dag

Grundlæggende påvirker phishing alle. Ondsindede skuespillere kaster normalt et bredt net, når de bruger phishing-angreb, i håb om at fange et vilkårligt offer for at få adgang til personlige bankoplysninger eller en indgangshavn i et virksomhedsnetværk, hvor angribere potentielt kan hente følsom information. Selv med politikker, der sikrer segmenteret adgang til information, kan dette stadig sætte oplysninger om medarbejdere, klienter og kunder i fare.

Sikkerhedsovervågningsløsninger er primært designet til at advare brugere eller it-fagfolk om eksistensen af ​​en virus, der er baseret på data, såsom hash med kendte nyttelast eller programmatisk opførsel af vira. Denne model af sikkerhedssoftware tilpasser sig dårligt til phishing-angreb, der i vid udstrækning er afhængige af socialtekniske metoder for at overbevise brugerne om at gribe ind omgående uden at analysere en situation. På grund af dette er det bedste forsvar mod phishing sikkerhedstræning for slutbrugere.

Filtre er udviklet i et forsøg på at identificere phishing-angreb i e-mails, skønt nogle phishing-e-mails bruger billeder af tekst i stedet for skrevet tekst for at undgå disse mail-filtre. Ligeledes er phishing-websteder ofte afhængige af kodetørringsteknikker for at forhindre sikkerhedssoftware i at opdage ondsindet aktivitet. Ofte er phishing-angreb afhængige af AES-256 eller Base64-kodning i JavaScript eller tilpassede kodningsstrategier, hvilket gør det vanskeligt at analysere den underliggende kildekode. (Selve brugen af ​​kodetræk kan ikke markeres som ondsindet.)

I 2019 afslørede forskere ved Proofpoint et phishing-værktøjssæt, som tilslører data ved hjælp af en substitutionsciffer, der er afhængig af en brugerdefineret skrifttype til at afkode. Dette værktøjssæt bruger en tilpasset version af Arial-skrifttypen med transporterede individuelle bogstaver; når der indlæses en phishing-side, ser indholdet normalt ud. Når en bruger eller et program forsøger at læse kilden, vises teksten på siden virket.

Yderligere ressourcer

  • Hvordan en mands phishing-svindel koster to store amerikanske teknologiselskaber 100 millioner dollars (TechRepublic)
  • Phishing-angreb: Hvorfor er e-mail stadig et så let mål for hackere? (ZDNet)
  • Gå ikke på IT-sikkerhedsuddannelse: 27% af medarbejderne bliver bytte for phishing-angreb (TechRepublic)
  • Individualisme kan gøre dig bedre til at fange en phish: Research (ZDNet)
  • Google: Vores jagt på hackere afslører, at phishing er langt dødeligere end dataovertrædelser (ZDNet)

Hvor længe har phishing været en trussel?

Begrebet phishing blev først drøftet i 1987 i en artikel præsenteret på Interex med titlen "System Security: A Hacker's Perspective." Fra etymologisk synspunkt var det første registrerede udseende af ordet "phishing" i et hackingværktøj kaldet AOHell, i 1996.

De tidligste kendte phishing-forsøg på finansielle tjenester var i 2001 og var imod den "digitale guldvaluta" -tjeneste E-guld. I oktober 2003 havde angribere målrettet Bank of America, CitiBank, PayPal, Lloyd's of London og Barclays.

I henhold til Anti-Phishing Working Group udgjorde antallet af unikke phishing-rapporter, som organisationen modtog i 2005, 173.063, hvor antallet blev udvidet til et højere tid på 1.413.978 i 2015. Siden da er phishing-angreb beskedent faldet i 1.122.156 modtaget i 2017.

Yderligere ressourcer

  • De største phishing-angreb fra 2018, og hvordan virksomheder kan forhindre det i 2019 (TechRepublic)
  • Video: hvorfor hackere bruger phishing-angreb på politiske kampagner (CBS News)
  • Angribere bruger skytjenester til at maske angrebets oprindelse og skabe falsk tillid (TechRepublic)
  • Hvorfor organisationer ikke lykkes med trusseljagtstrategier (TechRepublic)

Hvordan kan jeg beskytte min organisation mod phishing-angreb?

Der er forskellige strategier til beskyttelse mod phishing-angreb, skønt flere strategier bør bruges sammen for at undgå et enkelt mislykkelsespunkt.

Fordi phishing-angreb grundlæggende er et teknologisk middel til en social engineering udnyttelse, er brugeruddannelse den vigtigste strategi for din organisation. Træning af brugere til at se identificerende egenskaber ved phishing-e-mails og køre simulerede phishing-forsøg på at målrette effektiviteten af ​​denne træning vil gøre mere for at sikre sikkerhedsintegritet end softwareløsninger kan.

Ligeledes er det lige så vigtigt at etablere politikker til beskyttelse mod medarbejdere, der uforvarende overfører penge eller yde datatilgang til ikke-legitime formål. Bastable bemærkede "Al sikkerhed starter med en politik - virksomheder bør have en aftalt politik i sådanne situationer, og de skal uddanne deres personale i overensstemmelse hermed. Direktører skal ansætte stærke mennesker, der er villige til at holde sig til politikken under pres. Selvfølgelig trodser de CEO er en fantastisk måde at få fyr på i amerikansk forretning, og cybercrooks er afhængige af dette. "

For teknologiske løsninger kan ændring af standardadfærd i e-mailklienter som Microsoft Outlook forbedre sikkerheden. Tredjeparts scanningsværktøjer kan reducere effektiviteten af ​​phishingangreb eller forhindre dem i at nå brugerens indbakke.

Moderne browsere inkluderer også Safe Browsing-filtertjenester, som som standard er aktiveret, der registrerer phishing-angreb og forhindrer brugere i at blive offer.

Yderligere ressourcer

  • 3 måder at beskytte dine medarbejders indbakke mod phishing-trusler (TechRepublic)
  • 10 tip til bekæmpelse af phishing via sociale medier platforme (TechRepublic)
  • De øverste 11 emner med phishing-e-mail-SMB'er skal se ud efter (TechRepublic)
  • Sådan konfigureres en regel i Microsoft Exchange til at sende en advarsel om et phishing-angreb (TechRepublic)
  • Her er de 'mest klikede' phishing-e-mail-skabeloner, der narrer ofrene (TechRepublic)
  • Snyderi: Sådan bliver du en cybersecurity-proff (TechRepublic)

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag Billede: Getty Images / iStockphoto

© Copyright 2021 | mobilegn.com