Oszustwa phishingowe: jak je wykryć i uniknąć

Opublikowany: 2022-09-20
UZYSKAJ DOSTĘPNY DLA CIEBIE ODPOWIEDNI PLAN OCHRONY POD SZKOLENIEM

Phishing to jedno z najstarszych zagrożeń cyberprzestępczości, które istnieje od najwcześniejszych dni Internetu.

Jednak oszustwo phishingowe jest również jednym z największych zagrożeń cyberbezpieczeństwa, z jakimi boryka się każda organizacja, i jest wyjątkowe ze względu na to, że jego celem są ludzie , a nie oprogramowanie lub sprzęt.

Oznacza to, że nawet jeśli zainwestowałeś w najdroższą infrastrukturę cyberbezpieczeństwa, Twoja organizacja może być zagrożona, jeśli jeden podatny na zagrożenia pracownik zostanie naruszony przez program phishingowy. To jeden z głównych powodów, dla których phishing jest tak niebezpieczny.

Niestety w ostatnich latach niebezpieczeństwo phishingu wzrosło zarówno pod względem jakości, jak i ilości. Zgodnie z raportem dotyczącym trendów aktywności phishingowej opracowanym przez Anti-Phishing Working Group (APWG), do marca 2022 r. nastąpi 1 025 968 ataków phishingowych, co stanowi 15% wzrost w porównaniu z czwartym kwartałem 2021 r. Zaawansowanie i różnorodność technik stosowanych w każdym ataku również wzrosła w ostatnie lata.

W tym artykule dowiemy się wspólnie, czym jest phishing, jak je identyfikować oraz jak organizacje mogą skuteczniej chronić swoich pracowników i klientów przed atakami phishingowymi.

Pod koniec tego przewodnika dowiedziałeś się o:

  • Co to jest oszustwo phishingowe?
  • Różne rodzaje phishingu w 2022 r.
  • Jak rozpoznać próby phishingu
  • Jak chronić firmę przed phishingiem
  • Jak zgłaszać zarówno udane, jak i nieudane próby phishingu i zminimalizować szkody?

Zacznijmy od razu ten przewodnik.

Co to jest oszustwo phishingowe?

Phishing to rodzaj cyberprzestępczości, w którym sprawca kontaktuje się z docelową ofiarą (lub ofiarami), podszywając się pod sławną osobę lub legalną instytucję, aby zwabić tę ofiarę do podania poufnych, wrażliwych i/lub cennych informacji, takich jak informacje umożliwiające identyfikację osoby (PII). , dane bankowe, informacje o karcie kredytowej, poświadczenia konta i inne.

Nazwa „phishing” jest analogiczna do łowienia ryb i odnosi się do tego, jak cyberprzestępczość „wyławia” dane uwierzytelniające, hasła i inne poufne informacje od swoich ofiar.

Słowo phishing zostało po raz pierwszy użyte około 1996 roku przez hakerów kradnących popularne wówczas konta AOL (America Online). Hakerzy pod koniec lat 90. używali litery „ph” zamiast „f” (tj. „phreaks”), stąd nazwa „phishing”.

Tradycyjnie phishing był przeprowadzany za pośrednictwem wiadomości e-mail, ale teraz phishing może mieć miejsce za pomocą różnych środków komunikacji, od połączeń telefonicznych, wiadomości tekstowych, komentarzy w mediach społecznościowych, wiadomości DM w mediach społecznościowych, komentarzy na blogach i innych.

Dlaczego cyberprzestępcy przeprowadzają phishing?

Krótka odpowiedź brzmi: zarabiać na skradzionych informacjach.

Podobnie jak w przypadku większości innych działań przestępczych (w tym cyberprzestępczości), większość ataków phishingowych ma za sobą motywację finansową.

Zdarzają się jednak przypadki, w których motywacja nie jest finansowa, jak osobista zemsta lub względy polityczne (np. czarne kampanie), ale są one stosunkowo rzadkie.

Jak więc cyberprzestępcy mogą zarabiać na phishingu? Zrozumienie ich technik zarabiania może pomóc w rozpoznawaniu prób phishingu, a oto kilka przykładów:

  • Kradzież informacji o Twojej karcie kredytowej, a następnie używanie danych karty kredytowej do zakupu towarów w Internecie.
  • Wymuszenie, na przykład, gdy cyberprzestępcom uda się wydobyć poufne informacje, wymuszają na ofierze zapłatę pieniędzy, w przeciwnym razie ujawnią informacje opinii publicznej.
  • Sprzedawanie poufnych/osobistych danych innym stronom (tj. konkurentom, innym hakerom). Powszechna praktyka w ciemnej sieci.
  • Wykorzystywanie Twoich informacji w celu rozpoczęcia innego oszustwa/cyberprzestępczości, na przykład kontaktowanie się ze znajomymi przy użyciu Twojego konta w celu ich oszustwa.

Anatomia ataku phishingowego

Phishing to forma socjotechniki, która jest ogólnym terminem używanym w odniesieniu do szerokiego zakresu działań przestępczych realizowanych poprzez interakcje międzyludzkie.

Phishing polega na manipulacji psychologicznej, która ma na celu nakłonienie ofiar do ujawnienia swoich poufnych informacji lub popełnienia błędów bezpieczeństwa.

Chociaż cyberprzestępcy mogą wykorzystywać różne techniki i schematy w swoich atakach phishingowych, zazwyczaj stosują następujące wzorce:

  1. Sprawca najpierw bada docelową ofiarę i/lub środowisko, w którym się znajduje, aby zebrać niezbędne informacje, takie jak potencjalne luki w zabezpieczeniach i inne słabości.
  2. Sprawca inicjuje kontakt, próbując zdobyć zaufanie ofiary.
  3. Sprawca albo:
    1. Oferuje coś cennego, aby wywołać u ofiary poczucie pilności.
    2. Zaszczepić strach w docelowej ofierze, zazwyczaj fikcyjnymi groźbami (np. „Twoje konto zostanie wkrótce usunięte i będziemy musieli zweryfikować Twoją tożsamość”).
  4. Ofiara jest nakłaniana do ujawnienia swoich danych osobowych lub poświadczeń.

Na przykład:

  1. Sprawca atakuje użytkowników Gmaila jako swoje docelowe ofiary i bada platformę Gmaila i jej zasady.
  2. Sprawca wysłał wiadomość e-mail do użytkowników Gmaila z adresem e-mail podobnym do oficjalnego adresu Google (na przykład z nazwą domeny „Google.biz”).
  3. Wiadomość e-mail ostrzega użytkowników o naruszeniu zasad, które wymaga natychmiastowego działania (np. zmiana hasła, zmiana pytania zabezpieczającego itp.), a wiadomość e-mail będzie zawierać łącze do fałszywej witryny, która jest prawie identyczna ze stroną logowania Gmaila.
  4. Ofiara wprowadza swoje aktualne dane uwierzytelniające na fałszywej stronie logowania, a jej dane uwierzytelniające są skutecznie wysyłane do atakującego.

To tylko jeden przykład wielu różnych technik i schematów phishingowych wykonywanych codziennie przez cyberprzestępców. Możemy jednak podzielić ataki phishingowe na kilka głównych typów, które omówimy poniżej.

Zautomatyzuj ochronę podszywania się za pomocą technologii AI-Powered

Różne rodzaje ataków phishingowych

1. Wyłudzanie wiadomości e-mail

Najbardziej podstawowy rodzaj schematu phishingu, jak sama nazwa wskazuje, polega na wysyłaniu przez sprawcę wiadomości e-mail podszywając się pod znaną markę lub osobę.

Wiadomość e-mail będzie zawierać łącze do złośliwej witryny lub załącznik zawierający złośliwe oprogramowanie, które zainfekuje urządzenie odbiorcy.

Jak zidentyfikować:

Chociaż cyberprzestępcy stają się coraz bardziej wyrafinowani w przeprowadzaniu phishingu e-mailowego, ogólnie można szukać następujących oznak:

  • Sprawdź nazwę domeny adresu e-mail nadawcy i upewnij się, że jest wiarygodna.
  • Jeśli wiadomość e-mail zawiera jakiekolwiek informacje kontaktowe, sprawdź krzyżowo te informacje kontaktowe z informacjami na stronie internetowej firmy, z której rzekomo pochodzi wiadomość e-mail.
  • Unikaj klikania skróconych linków. Jest to powszechna technika wykorzystywana do oszukiwania bezpiecznych bram e-mail.
  • Dokładnie sprawdź wszystkie logo, które wyglądają na wiarygodne, i zobacz kod źródłowy. Zwykle zawierają złośliwe atrybuty HTML.
  • Zachowaj rozsądną podejrzliwość, gdy wiadomość e-mail zawiera bardzo mało tekstu, a w treści znajduje się tylko obraz/zdjęcie. Obraz może ukrywać złośliwe kody.

2. Spear phishing

Spear phishing zazwyczaj wykorzystuje również pocztę elektroniczną jako podstawowy środek komunikacji, więc można go uznać za odmianę phishingu e-mailowego.

Główna różnica polega na bardziej ukierunkowanym podejściu do spear phishingu, zwykle wymierzonego w pojedynczą ofiarę (lub niewielką grupę ofiar).

Sprawca najpierw przeprowadza dokładne badanie docelowej ofiary, aby zebrać informacje o ofierze, na przykład z mediów społecznościowych, strony internetowej firmy itd., a następnie zaatakuje tę ofiarę za pomocą spersonalizowanego schematu, wykorzystując zebrane informacje, takie jak prawdziwe nazwiska ( szefa ofiary lub kierownika HRD), numery telefonów służbowych itd., aby zdobyć zaufanie ofiary.

Ostatecznie, ponieważ ofiara wierzy w tożsamość oszusta ze względu na ważne informacje, których użyła, wpada w pułapkę sprawcy.

Jak zidentyfikować:

Zidentyfikowanie ataku typu spear phishing może być trudniejsze ze względu na ilość badań przeprowadzonych przez sprawcę i pozornie ważne informacje, których użył. Poszukaj jednak następujących rzeczy:

  • E-mail udający, że pochodzi od Twojego szefa lub kogoś ważnego w Twojej firmie, zawierający pliki lub dokumenty chronione hasłem, które wymagają podania nazwy użytkownika i hasła. Jest to powszechny schemat kradzieży danych uwierzytelniających.
  • Ogólnie rzecz biorąc, pamiętaj o wszelkich żądaniach, które wydają się nietypowe, biorąc pod uwagę funkcję domniemanego nadawcy.
  • Innym powszechnym schematem jest posiadanie linków do dokumentów przechowywanych na Dysku Google, Dropbox lub innych usługach przechowywania w chmurze. Te linki często przekierowują Cię do złośliwej witryny.

3. Wielorybnictwo

Inna odmiana taktyki spear phishing, wielorybnictwa lub często nazywanej „oszustwem dyrektora generalnego”, polega na wykorzystaniu przez sprawcę technik wywiadu open source (OSINT) w celu znalezienia nazwiska dyrektora generalnego organizacji lub członka kierownictwa najwyższego szczebla, a następnie podszycia się pod tę osobę za pomocą fałszywego adres e-mail.

Sprawca będzie następnie atakował pracowników firmy, prosząc odbiorcę o dane uwierzytelniające konto, informacje bankowe, a nawet prosząc odbiorcę o przelew pieniężny.

Jak zidentyfikować:

  • Dokładnie sprawdź adres e-mail nadawcy, upewnij się, że pochodzi z oficjalnego adresu e-mail firmy. Powszechną sztuczką jest twierdzenie, że e-mail pochodzi z ich osobistego adresu (tj. że nie mają w tej chwili dostępu do swojej służbowej poczty e-mail).
  • Nie wahaj się potwierdzić z innymi osobami w Twojej firmie, a nawet przekazać osobie, której adres e-mail rzekomo pochodzi z rozmowy.
  • Zachowaj szczególną ostrożność, jeśli e-mail twierdzi, że pochodzi od osoby z Twojej firmy, która nigdy wcześniej nie nawiązała żadnego kontaktu.

4. Phishing HTTPS

Wielu z nas jest przeszkolonych, że witryny HTTPS są szyfrowane metodą end-to-end i dlatego są bezpieczne, jeśli chodzi o przesyłanie danych osobowych i poświadczeń.

Jednak wielu oszustów wykorzystuje tę wiedzę w swoich próbach phishingu, wykorzystując protokół HTTPS w fałszywej witrynie, do której link znajduje się w wiadomości phishingowej.

Jak zidentyfikować:

  • Sprawdź, czy link nie używa hipertekstu do ukrycia prawdziwego adresu URL
  • Sprawdź ponownie, czy link nie jest skrócony, a wszystkie części adresu URL są widoczne

5. Vishing

Skrót od „Voice Phishing” i jak sama nazwa wskazuje, jest to próba phishingu, która ma miejsce podczas rozmowy telefonicznej.

Zazwyczaj sprawca dzwoni w napiętym czasie, zbiegającym się ze stresującym sezonem, okresem lub wydarzeniem, twierdząc, że pochodzi z ugruntowanej firmy i stwarzając zwiększone poczucie pilności.

Chodzi o to, aby wezwanie wywołało poczucie paniki, nakłaniając odbiorcę do popełniania błędów w zabezpieczeniach i ujawniania poufnych informacji.

Jak zidentyfikować:

  • Zachowaj rozsądną podejrzliwość, jeśli połączenie wymaga nietypowych działań dla tego typu rozmówcy, zwłaszcza gdy żąda podania danych wrażliwych lub osobistych.
  • Sprawdź dokładnie numer dzwoniącego, jeśli pochodzi z nietypowej lokalizacji lub jest zablokowany.
  • Korzystaj z aplikacji mobilnych, które pozwalają sprawdzić tożsamość połączenia przychodzącego z nieznanych numerów. Istnieje wiele takich aplikacji zarówno na urządzenia z systemem iOS, jak i Android.
  • Najlepiej unikać odbierania połączeń z nieznanych numerów w stresujących momentach lub sytuacjach.

6. Rozbijanie

Skrót od „SMS Phishing”, to próba wyłudzenia informacji za pośrednictwem wiadomości tekstowych (SMS).

Zazwyczaj sprawca wysyła wiadomość tekstową podającą, że pochodzi z organizacji lub firm o ustalonej pozycji, a wiadomość tekstowa zawierała łącze zawierające złośliwe oprogramowanie i/lub przekierowujące do złośliwej witryny internetowej.

Ponieważ wiele osób ma tendencję do postrzegania wiadomości tekstowych jako bardziej osobistych i „nieszkodliwych”, smishing może zaskoczyć swoje ofiary.

Jak zidentyfikować:

  • Przed kliknięciem dowolnego linku sprawdź bezpośrednio na stronie internetowej firmy, z której rzekomo pochodzi wiadomość tekstowa, czy są jakieś powiadomienia związane z działaniami żądanymi przez wiadomość tekstową.
  • Nie wahaj się skontaktować się z numerem podanym na legalnej stronie internetowej firmy i potwierdzić wiarygodność wiadomości tekstowej.
  • Sprawdź numer kierunkowy i numer nadawcy i porównaj go z listą kontaktów przed kliknięciem dowolnego łącza lub wykonaniem sugerowanych działań.

7. Phishing wędkarzy

Wyłudzanie informacji typu Angler to szczególny rodzaj phishingu wymierzonego w użytkowników mediów społecznościowych, polegający głównie na wykorzystaniu przez sprawcę fałszywych kont w mediach społecznościowych podszywających się pod znane firmy lub osoby.

Wyłudzanie informacji przez wędkarzy w szczególności wykorzystuje fakt, że interakcje między firmami a klientami w mediach społecznościowych są coraz częstsze i bardziej oczekiwane. Sprawca kontaktuje się z docelowymi ofiarami za pośrednictwem powiadomień i wiadomości DM, aby nakłonić je do popełnienia błędów bezpieczeństwa.

Jak zidentyfikować:

  • Dokładnie sprawdź konto pod kątem niebieskiego haczyka (konto zweryfikowane).
  • Uważaj na powiadomienia zawierające linki, które mogą przekierować Cię do złośliwych witryn.
  • Unikaj klikania jakichkolwiek linków w DM pochodzących od osób, które rzadko udostępniają linki (lub osób/kont, które nigdy nie wysyłały Ci wiadomości), nawet jeśli link wygląda na autentyczny.
  • Jeśli jakieś DM pochodzą od osób, które znasz, którzy rzadko do Ciebie wysyłali, sprawdź dokładnie konto, ponieważ może być sfałszowane lub nowo utworzone

8. Farmacja

Pharming to dość zaawansowana forma phishingu, a nazwa ta jest połączeniem „phishingu” i „farmingu”.

Powszechna technika pharmingu polega na tym, że sprawca przechwytuje DNS w celu przekierowania użytkowników próbujących dotrzeć do określonej witryny na fałszywą witrynę.

Wyrafinowana próba pharmingu może być bardzo trudna do wykrycia.

Jak zidentyfikować:

  • Dokładnie sprawdź adres URL witryny, jeśli używa protokołu HTTP zamiast HTTPS
  • Szukaj niespójności, takich jak literówki, niedopasowane kolory, nieodpowiednie projekty, cienka treść itp., które mogą wskazywać na fałszywą witrynę.

Jak chronić firmę przed phishingiem

Powyżej nauczyliśmy się rozpoznawać główne rodzaje technik phishingowych oraz podstawowe kroki, aby się przed nimi chronić.

W tej sekcji omówimy również kilka ważnych najlepszych praktyk, których należy przestrzegać, aby chronić siebie i swoją firmę przed różnymi atakami typu phishing:

1. Edukuj swoich pracowników

Ponieważ phishing jest zasadniczo socjotechniką , pierwszą linią obrony, którą powinieneś mieć, jest zapewnienie pracownikom wykształcenia i szkolenia niezbędnego do rozpoznawania prób phishingu i ochrony ich danych uwierzytelniających/poufnych informacji.

Włącz szkolenie w zakresie świadomości phishingu jako część programu onboardingowego pracowników i regularnie odświeżaj szkolenia, aby uwzględnić nowsze metodologie i trendy.

2. Wymagaj uwierzytelniania wieloskładnikowego

Wymaganie uwierzytelniania wieloskładnikowego może zmniejszyć ryzyko udanego phishingu w sytuacjach, gdy pracownicy są oszukiwani do ujawnienia swoich poświadczeń.

W przypadku uwierzytelniania wieloskładnikowego będziesz wymagać od pracowników podania innej informacji oprócz hasła, zanim będą mogli zalogować się do sieci i aplikacji.

Drugorzędną (lub większą) informacją może być:

  • Coś, czym są: dane biometryczne, takie jak identyfikator twarzy lub odcisk palca
  • Coś, co wiedzą: inne hasło, PIN, odpowiedź na pytania bezpieczeństwa itp.
  • Coś, co mają: urządzenie do sparowania, kartę dostępu, klucz USB itp.

3. Regularna kopia zapasowa

Udane ataki phishingowe mogą spowodować infekcję złośliwym oprogramowaniem, w tym oprogramowaniem ransomware, które może spowodować utratę dostępu do niektórych plików/aplikacji, a nawet całkowitą awarię systemu.

Aby zminimalizować to ryzyko, regularnie twórz kopię zapasową swoich danych.

Zalecamy przestrzeganie zasad tworzenia kopii zapasowych 3-2-1: 3 kopie danych na 2 różnych nośnikach, z których 1 przechowywana jest poza siedzibą firmy.

Powstrzymanie podszywania się pod Twoją markę w atakach phishingowych

Innym problemem związanym z phishingiem jest wykorzystywanie Twojej domeny lub nazwy marki przez cyberprzestępców w ramach ich programu phishingowego.

Chociaż technicznie rzecz biorąc, nie jest to twoja wina, ofiary ataków phishingowych mogą obwiniać markę, pod którą oszust się podszywa, co ma negatywny wpływ na reputację marki.

Chociaż 100% ochrona cyberprzestępców przed podszywaniem się pod Twoją markę może być bardzo trudna, jeśli nie niemożliwa, istnieją kroki, które Twoja firma może podjąć, aby zmniejszyć ryzyko:

  • Używaj certyfikatów SSL (HTTPS) w swojej witrynie. W ten sposób, gdy oszust chce podszywać się pod Twoją witrynę, oprócz fałszywego, będzie musiał uzyskać legalny certyfikat SSL. To może ich zniechęcić.
  • Użyj protokołów, takich jak DKIM lub DMARC, aby dodać weryfikację do e-maili wysyłanych lub otrzymywanych przez Twoją firmę. Może to uniemożliwić stronom zewnętrznym wysyłanie fałszywych wiadomości e-mail przy użyciu nazwy domeny, skutecznie zapobiegając phishingowi.
  • Zarejestruj odmiany swoich nazw domen (różne domeny TLD, potencjalne błędy ortograficzne itp.), aby zapobiec wykorzystywaniu tych odmian w próbach phishingu.
  • Korzystaj z zarządzania domenami Red Points, aby chronić nazwy domen swojej firmy w czasie rzeczywistym. Red Points mogą skutecznie wykrywać próby phishingu przy użyciu nazwy domeny na wielu różnych platformach w trybie autopilota, nie wymagając żadnej ręcznej interwencji. Red Points mogą również pomóc w usunięciu fałszywych witryn podszywających się pod inne, zanim będą miały jakikolwiek negatywny wpływ na Twoją reputację.

Co dalej

Chociaż istnieje wiele różnych rodzajów ataków phishingowych przeprowadzanych przez oszustów i cyberprzestępców, wszystkie ataki phishingowe mają następujące wspólne cechy:

  • Tworzenie poczucia pilności: sprawca często nakłania Cię do szybkiego działania, strasząc Cię fikcyjną, pilną groźbą lub przyciągając Cię ofertą o ograniczonym czasie trwania. Niektóre schematy phishingu mówią nawet, że masz tylko kilka minut na odpowiedź.
  • Zbyt piękne, aby mogło być prawdziwe: phishing często wiąże się z przyciągającymi uwagę i atrakcyjnymi ofertami oraz roszczeniami. Na przykład twierdząc, że wygrałeś iPhone'a i prosząc o kliknięcie linku.
  • Nietypowy nadawca: zwróć szczególną uwagę na adres URL witryny i adres e-mail nadawcy. Jeśli e-mail pochodzi od kogoś, kogo nie rozpoznajesz lub jeśli widzisz coś niezwykłego, unikaj klikania czegokolwiek.
  • Podejrzane linki: nie klikaj żadnych linków, chyba że masz 100% pewności. Możesz najechać kursorem na link, aby sprawdzić rzeczywisty adres URL i dokładnie sprawdzić, czy adres URL jest prawidłowy.
  • Niebezpieczne załączniki: nigdy nie klikaj żadnego załącznika w e-mailu, którego nie jesteś w 100% pewien. Załącznik może zawierać złośliwe oprogramowanie, oprogramowanie ransomware lub inne wirusy.

Chociaż nie ma jednego sposobu na uniknięcie ataków phishingowych, możesz skorzystać z kombinacji powyższych wskazówek, aby im zapobiec i złagodzić szkody.

Należy również pamiętać, że oprócz stworzenia silnej infrastruktury cyberbezpieczeństwa i najlepszych praktyk, kolejnym ważnym elementem zapobiegania phishingowi jest edukacja . Jeśli chodzi o phishing i inne metody socjotechniki, Twoja organizacja jest tak bezpieczna, jak najmniej orientująca się w niej osoba.