Konscio pri Phishing: Kiel Ĝi Okazas Kaj Kiel Malhelpi ĝin
Kial Krimuloj Uzas Fiŝan Atakon?
Kio estas la plej granda sekureca vundebleco en organizo?
La homoj!
Kiam ajn ili volas infekti komputilon aŭ akiri aliron al grava informo kiel kontnumeroj, pasvortoj aŭ PIN-numeroj, ili nur devas demandi.
phishing atakoj estas kutimaj ĉar ili estas:
- Facila fari - 6-jara infano povus fari phishing-atakon.
- Skaleblaj - Ili intervalas de lanco-phishing atakoj kiuj trafas unu personon ĝis atakoj sur tuta organizo.
- Tre efika - 74% de organizoj spertis sukcesan phishing-atakon.
Phishing-atakoj ne estas nur popularaj ĉar ili estas facile realigeblaj sukcese. Ili estas popularaj ĉar ili estas tre profitaj. Do, kiel krimuloj profitas el phishing-fraŭdoj? Ili kutime vendas viajn akreditaĵojn en la malluma retejo por ke aliaj krimuloj povu ekspluati. Jen kelkaj statistikoj pri kiaj akreditaĵoj servas en la malluma retejo:
- Akreditaĵoj de Gmail-konto - $80
- Kreditkarta pinglo - $20
- Interretaj bankaj akreditaĵoj por kontoj kun almenaŭ $100 en ili - $40
- Bankkontoj kun almenaŭ $ 2,000 - $120
Vi verŝajne pensas, "Ve, miaj kontoj iras por la malsupra dolaro!"
Kaj ĉi tio estas vera.
Estas aliaj specoj de kontoj, kiuj iras por multe pli alta prezetikedo ĉar ili estas pli facile konservi monotranslokigojn anonimaj.
Kontoj kiuj tenas kripton estas la jackpot por phishing skamantoj.
La aktualaj tarifoj por kriptaj kontoj estas:
- Coinbase - $610
- Blockchain.com - $310
- Binance - $410
Estas ankaŭ aliaj ne-financaj kialoj por phishing atakoj.
Phishing-atakoj povas esti uzataj de naciŝtatoj por haki aliajn landojn kaj minigi iliajn datumojn.
Atakoj povas esti por personaj vendettoj aŭ eĉ por detrui la reputacion de korporacioj aŭ politikaj malamikoj.
La kialoj de phishing-atakoj estas senfinaj...
Kiel Komencas Phishing-Atako?
Fiŝa atako kutime komenciĝas kun la krimulo tuj eliranta kaj mesaĝi vin.
Ili povas doni al vi telefonvokon, retpoŝton, tujmesaĝon aŭ SMS.
Ili povus aserti esti iu, kiu laboras por banko, alia kompanio, kun kiu vi komercas, registara agentejo, aŭ eĉ ŝajniganta esti iu en via propra organizo.
Fiŝa retpoŝto povus peti vin klaki sur ligilo aŭ elŝuti kaj ekzekuti dosieron.
Vi eble pensas, ke ĝi estas laŭleĝa mesaĝo, alklaku la ligilon ene de ilia mesaĝo, kaj ensalutu al kio ŝajnas esti la retejo de la organizo, kiun vi fidas.
Je ĉi tiu punkto la phishing-fraŭdo estas kompleta.
Vi transdonis viajn privatajn informojn al la atakanto.
Por pliaj informoj pri la nuna stato de phishing vi povas kontroli nian Finfinan Gvidilon por Kompreni Phishing en 2023 tie:
La Finfina Gvidilo por Kompreni Phishing en 2023
Kiel Malhelpi Fiŝan Atakon
La ĉefa strategio por eviti phishing-atakojn estas trejni dungitojn kaj konstrui organizan konscion.
Multaj phishing-atakoj aspektas kiel legitimaj retpoŝtoj kaj povas trapasi spamfiltrilon aŭ similajn sekurecfiltrilojn.
Unuavide, la mesaĝo aŭ la retejo povus aspekti reala uzante konatan emblemaranĝon ktp.
Feliĉe, detekti phishing atakojn ne estas tiel malfacila.
La unua afero atentinda estas la adreso de la sendinto.
Se la sendinto-adreso estas variaĵo de retejo-domajno, al kiu vi eble kutimis, vi eble volas daŭrigi singarde kaj ne klaki ion ajn en la retpoŝta korpo.
Vi ankaŭ povas rigardi la retejon, kie vi estas alidirektita, se estas iuj ligiloj.
Por esti sekura, vi devus tajpi la adreson de la organizo, kiun vi volas viziti en la retumilo aŭ uzi retumilon ŝatatajn.
Atentu ligilojn, kiuj kiam ŝvebas super montras domajnon kiu ne estas la sama kiel la kompanio sendanta la retpoŝton.
Legu la enhavon de la mesaĝo zorge, kaj estu skeptika pri ĉiuj mesaĝoj petante vin sendi viajn privatajn datumojn aŭ kontroli informojn, plenigi formularojn aŭ elŝuti kaj ruli dosierojn.
Ankaŭ, ne lasu la enhavon de la mesaĝo trompi vin.
Atakantoj ofte provas timigi vin por ke vi alklaku ligilon aŭ rekompencu vin por ricevi viajn personajn datumojn.
Dum pandemio aŭ nacia kriz-okazo, phishing-skamistoj profitos la timojn de homoj kaj uzos la enhavon de la temo aŭ mesaĝkorpo por timigi vin agi kaj klaki ligilon.
Ankaŭ kontrolu malbonajn ortografiajn aŭ gramatikajn erarojn en la retpoŝta mesaĝo aŭ retejo.
Alia afero memorinda estas, ke la plej multaj fidindaj kompanioj kutime ne petos vin sendi sentemajn datumojn per retejo aŭ poŝto.
Tial vi neniam devus klaki sur suspektindaj ligiloj aŭ provizi ajnan specon de sentemaj datumoj.
Kion Mi Faru Se Mi Ricevas Retpoŝton pri Fiŝida?
Se vi ricevas mesaĝon, kiu aperas kiel phishing-atako, vi havas tri eblojn.
- Forigu ĝin.
- Kontrolu la enhavon de la mesaĝo kontaktante la organizon per ĝia tradicia kanalo de komunikado.
- Vi povas plusendi la mesaĝon al via IT-sekureca fako por plia analizo.
Via firmao jam devus ekzameni kaj filtri la plimulton de suspektindaj retpoŝtoj, sed iu ajn povas fariĝi viktimo.
Bedaŭrinde, phishing-fraŭdoj estas kreskanta minaco en la interreto kaj la malbonuloj ĉiam disvolvas novajn taktikojn por atingi vian enirkeston.
Memoru, ke finfine vi estas la lasta kaj plej grava defenda tavolo kontraŭ phishing provoj.
Kiel Ĉesigi Fiŝan Atakon Antaŭ ol Ĝi Okazos
Ĉar phishing-atakoj dependas de homa eraro por esti efikaj, la plej bona elekto estas trejni homojn en via komerco pri kiel eviti preni la logilon.
Ĉi tio ne signifas, ke vi devas havi grandan kunvenon aŭ seminarion pri kiel eviti phishing-atakon.
Estas pli bonaj manieroj trovi mankojn en via sekureco kaj plibonigi vian homan respondon al phishing.
2 Paŝoj Vi Povas Fari Por Malhelpi Fiŝan Fraŭdon
Paŝo 1. Uzu Fiŝan Simulilon
https://www.youtube.com/watch?v=gJ5WNdpKCB8&t=16sA phishing simulilo estas programaro, kiu ebligas al vi simuli phishing-atakon kontraŭ ĉiuj membroj de via organizo.
Phishing-simuliloj kutime venas kun ŝablonoj por helpi kaŝvesti la retpoŝton kiel fidinda vendisto aŭ imiti internajn retpoŝtajn formatojn.
Phishing-simuliloj ne nur kreas la retpoŝton, sed ili helpas starigi la falsan retejon, ke la ricevantoj finos enmetante siajn akreditaĵojn se ili ne trapasas la teston.
Prefere ol riproĉi ilin por fali en kaptilon, la plej bona maniero trakti la situacion estas doni informojn pri kiel taksi phishing-retpoŝtojn estonte.
Se iu malsukcesas pri phishing-testo, estas plej bone sendi al ili liston de konsiloj pri ekvidi phishing-retpoŝtojn.
Vi eĉ povas uzi ĉi tiun artikolon kiel referencon por viaj dungitoj.
Alia grava avantaĝo de uzado de bona phishing simulilo estas ke vi povas mezuri la homan minacon en via organizo, kiu estas ofte malfacile antaŭdiri.
Povas daŭri ĝis jaro kaj duono por trejni dungitojn al sekura nivelo de mildigo.
Gravas elekti la ĝustan phishing simulan infrastrukturon por viaj bezonoj.
Se vi faras phishing simuladojn en unu komerco, tiam via tasko estos pli facila
Se vi estas MSP aŭ MSSP, vi eble bezonos fari phishing-testojn tra pluraj entreprenoj kaj lokoj.
Elekti nub-bazitan solvon estus la plej bona elekto por uzantoj farantaj plurajn kampanjojn.
Ĉe Hailbytes, ni agordis GoPhish, unu el la plej popularaj malfermfontaj phishing Frameworks kiel an facile uzebla ekzemplo en AWS.
Multaj phishing-simuliloj venas en la tradicia Saas-modelo kaj havas striktajn kontraktojn asociitajn kun ili, sed GoPhish sur AWS estas nubo-bazita servo, kie vi pagas kun mezurita imposto prefere ol 1 aŭ 2-jara kontrakto.
Paŝo 2. Trejnado pri Sekureca Konscio
Ĉefa avantaĝo doni dungitojn sekureca konscio trejnado protektas ilin kontraŭ identecŝtelo, bankŝtelo kaj ŝtelitaj komercaj akreditaĵoj.
Trejnado pri sekureca konscio estas esenca por plibonigi la kapablon de dungitoj ekvidi provojn de phishing.
Kursoj povas helpi trejni personaron por detekti phishing-provojn, sed nur kelkaj fokusiĝas al malgrandaj entreprenoj.
Povas esti tenti por vi, kiel posedanto de malgranda komercisto, redukti la kostojn de kurso sendante kelkajn videojn de Youtube pri sekureca konscio...
sed dungitaro malofte memoras tian trejnadon dum pli ol kelkaj tagoj.
Hailbytes havas kurson, kiu havas kombinaĵon de rapidaj videoj kaj kvizoj, por ke vi povu spuri la progreson de viaj dungitoj, pruvi, ke sekurecaj mezuroj estas en la loko, kaj amase redukti viajn ŝancojn suferi phishing-fraŭdon.
Vi povas kontroli nian kurson pri Udemy ĉi tie aŭ alklaki la kurson sube:
Se vi interesiĝas pri ekzekuti senpagan phishing simuladon por trejni viajn dungitojn, iru al AWS kaj kontrolu GoPhish!
Estas facile komenci kaj vi ĉiam povas kontakti nin se vi bezonas helpon por agordi.