Όλοι έχουμε λάβει αυτά τα πρόχειρα email μέχρι τώρα – αυτά που προσποιούνται ότι είναι από την τράπεζά σας που σας ζητούν να “επικυρώσετε αμέσως τα στοιχεία του λογαριασμού σας!” ή να ισχυριστείς ότι κέρδισες ένα iPhone σε κάποιες τυχαίες κληρώσεις που δεν συμμετείχες ποτέ. Όλα σε μια προσπάθεια να σας κάνουν να κάνετε κλικ σε κάποιον κακόβουλο σύνδεσμο. Διαγραφή, διαγραφή, διαγραφή. Το προφανές phishing είναι… προφανές, σωστά;
Λοιπόν, δυστυχώς, οι επιθέσεις phishing έχουν εξελιχθεί πολύ πέρα από αυτές τις κατάφωρες παλιές απάτες. Το σημερινό phishing αποτελεί σοβαρή απειλή –
84% των επιχειρήσεων
Οι ερωτηθέντες αναφέρουν το phishing ως τον πιο συνηθισμένο φορέα επίθεσης που αντιμετωπίζουν. Πρόκειται για εξελιγμένες, εξαιρετικά στοχευμένες επιθέσεις που έχουν σχεδιαστεί για να ξεγελάσουν ακόμη και έμπειρους επαγγελματίες μέσω εξατομικευμένων τεχνικών κοινωνικής μηχανικής.
Η αλήθεια είναι ότι το σύγχρονο phishing χρησιμοποιεί απίστευτα έξυπνες τακτικές για να μας ξεγελάσει ώστε να παραδώσουμε διαπιστευτήρια ή ευαίσθητα δεδομένα χωρίς δεύτερη σκέψη – και οι συνέπειες μπορεί να είναι καταστροφικές. Σε αυτήν την ανάρτηση, θα κάνουμε μια βαθιά βουτιά στον συνεχώς εξελισσόμενο κόσμο του phishing, εξερευνώντας τα πιο πρόσφατα τεχνάσματα που χρησιμοποιούν αυτοί οι ψηφιακοί πορτοφολάδες, γιατί οι απάτες τους έχουν γίνει τόσο επιτυχημένες και το πιο σημαντικό – πώς μπορείτε να αναγνωρίσετε καλύτερα και να προστατεύσετε τον εαυτό σας ( ή την επιχείρησή σας από αυτούς).
Η ανατομία μιας σύγχρονης επίθεσης phishing
Phishing
κάποτε ήταν αρκετά χοντροκομμένα – εκρήξεις πρόχειρων μηνυμάτων ηλεκτρονικού ταχυδρομείου γεμάτα με τυπογραφικά λάθη, γραμματικά λάθη και γενικά κακές δεξιότητες γραφής. Αλλά σύγχρονες επιθέσεις phishing; Έχει γίνει πολύ δύσκολο να διακριθούν από την πραγματική συμφωνία, και τώρα άνθρωποι όλων των δημογραφικών ομάδων (όχι μόνο εκείνοι που δεν είναι ψηφιακά εγγενείς) πέφτουν θύματα. Ας αναλύσουμε τι τους κάνει τόσο επικίνδυνα πειστικούς:
Πίστωση εικόνας
)
Πέρα από το email σε κάθε γωνιά της ψηφιακής σας ζωής
Ξεχάστε μόνο τα μηνύματα ηλεκτρονικού ταχυδρομείου – με τους ανθρώπους να ξοδεύουν τόσο πολύ χρόνο σε μέσα κοινωνικής δικτύωσης, εφαρμογές ανταλλαγής μηνυμάτων, ακόμη και ιστότοπους τυχερών παιχνιδιών, το σύγχρονο ηλεκτρονικό ψάρεμα εκτοξεύει το δίχτυ του παντού στο ψηφιακό τοπίο. Οι απάτες έρχονται τώρα σε εσάς μέσω:
- Μηνύματα κειμένου (smishing)
- Τηλεφωνικές κλήσεις (vising)
-
Κοινωνικές πλατφόρμες όπως το
Facebook
και το LinkedIn - Κοινότητες τυχερών παιχνιδιών
Ουσιαστικά κανένα ψηφιακό κανάλι επικοινωνίας δεν είναι πλέον ασφαλές μόνο και μόνο λόγω της πλατφόρμας του.
Υπερ-εξατομικευμένα μηνύματα
Μία από τις κύριες παρενέργειες των ανεξέλεγκτες παραβιάσεις δεδομένων που βλέπουμε να επικρατούν στις ειδήσεις (καθώς και στην τάση για υπερβολική κοινή χρήση στα μέσα κοινωνικής δικτύωσης), οι χάκερ μπορούν εύκολα να αποκτήσουν τα προσωπικά μας στοιχεία για να κάνουν τις απάτες τους πιο συναρπαστικές. Από εκεί, οι εγκληματίες του κυβερνοχώρου δεν θα δείξουν κανένα έλεος χρησιμοποιώντας αυτά τα προσωπικά ψήγματα πληροφοριών για να δημιουργήσουν στοχευμένα μηνύματα που έχουν βαθιά απήχηση σε εμάς ως πραγματικά άτομα.
Φανταστείτε προσεκτικά δημιουργημένα email από την τράπεζά σας που αναφέρουν την πόλη σας, τις πρόσφατες οικογενειακές διακοπές, τους συναδέλφους, τα ονόματα των παιδιών, την αγαπημένη αθλητική ομάδα ή τον μη κερδοσκοπικό οργανισμό που υποστηρίζετε. Ή μηνύματα κειμένου από την εταιρεία κινητής τηλεφωνίας σας που σημειώνουν ύποπτη δραστηριότητα στον λογαριασμό σας κατά τη διάρκεια αυτού του ταξιδιού στο εξωτερικό τον περασμένο μήνα. Αυτά τα ακριβή προσωπικά στοιχεία δημιουργούν εγγενώς εμπιστοσύνη και τραβούν την προσοχή σας γρήγορα. Και αυτός ακριβώς είναι ο λόγος που το υπερ-εξατομικευμένο phishing λειτουργεί τόσο ανησυχητικά καλά, ξεγελώντας ακόμη και τους επαγγελματίες της κυβερνοασφάλειας.
Τακτικές κοινωνικής μηχανικής επόμενου επιπέδου
Οι σύγχρονοι απατεώνες είναι πολύ έμπειροι στην ψυχολογία και την πειθώ, στοχεύοντας έμφυτα ανθρώπινα συναισθήματα όπως η περιέργεια, ο φόβος, η επείγουσα ανάγκη και η απληστία. Δοκιμάζουν προσεκτικά τις αφηγήσεις για να βρουν τα σωστά συναισθηματικά ερεθίσματα που παρακάμπτουν τη λογική για να κάνουν τους ανθρώπους να κάνουν κλικ σε κακόβουλους συνδέσμους χωρίς να τους σκεφτούν καλά. Και αυτές οι τακτικές εξελίσσονται συνεχώς χάρη στις δοκιμές A/B και τα αναλυτικά στοιχεία σχετικά με την
απόδοση
της καμπάνιας ηλεκτρονικού ψαρέματος – επιτρέποντας στα δεδομένα να υπαγορεύουν πώς να βελτιώσουν τον χειρισμό τους.
Ύπουλα τεχνικά κόλπα
Συντομευμένες διευθύνσεις URL, πλαστογράφηση email, όμοιοι χαρακτήρες – οι phishers έχουν κάθε είδους κόλπα στο μανίκι τους για να αποφύγουν την ασφάλεια και να σας πείσουν να κάνετε κλικ εκεί που δεν πρέπει. Γίνεται πιο δύσκολο από ποτέ να βασιστείς μόνο στα μάτια και στην τεχνολογία σου για να εντοπίσεις τα ψεύτικα.
Η άνοδος των στοχευμένων επιθέσεων – Ανατριχίλα στα μεγάλα ψάρια
Σαν να μην ήταν αρκετά κακές οι υπερφορτισμένες τακτικές phishing, τώρα οι επιτιθέμενοι γίνονται πιο έξυπνοι σχετικά με το ποιον στοχεύουν με εξειδικευμένες επιθέσεις. Πρωταρχικοί στόχοι; Στελέχη και βασικά στελέχη σε εταιρείες. Γιατί να προτιμάτε τους καθημερινούς χρήστες όταν μπορείτε να θέσετε σε κίνδυνο τα μεγάλα όπλα που προστατεύουν πολύτιμα δεδομένα; Οι κοινές στοχευμένες επιθέσεις phishing περιλαμβάνουν:
Φαλαινοθηρία
Μπορεί να έχετε ακούσει για το spearphishing – επιθέσεις phishing που στοχεύουν μια συγκεκριμένη εταιρεία ή άτομο. Η φαλαινοθηρία καταλαμβάνει μια βαθμίδα στοχεύοντας αποκλειστικά ανώτερα στελέχη, πολιτικούς, διασημότητες και άλλους VIP υψηλού προφίλ. Με πρόσβαση σε ευαίσθητα εταιρικά δεδομένα ή μεγάλους τραπεζικούς λογαριασμούς, ένα μόνο παραβιασμένο στέλεχος μπορεί να προκαλέσει ένα καταστροφικό πλήγμα σε μια επιχείρηση, ένα ηγετικό γραφείο ή έναν μη κερδοσκοπικό οργανισμό.
Πίστωση εικόνας
)
Συμβιβασμός ηλεκτρονικού ταχυδρομείου για επιχειρήσεις (BEC)
Χρησιμοποιώντας έξυπνη πλαστοπροσωπία και κοινωνική μηχανική, οι εισβολείς της BEC πείθουν τους υπαλλήλους να μεταφέρουν πρόθυμα κεφάλαια ή ευαίσθητα δεδομένα σε εξωτερικά μέρη που πιστεύουν ότι είναι νόμιμοι αποδέκτες. Ένα ψεύτικο email του Διευθύνοντος Συμβούλου που ζητά από την ομάδα Οικονομικών να δεσμεύσει χρήματα για μια μυστική εξαγορά. Ένα επείγον αίτημα πληρωμής προμηθευτή τρόμαξε το μεσαίο διοικητικό προσωπικό σε άμεση δράση. Η BEC αξιοποιεί την εμπιστοσύνη με καταστροφικό αποτέλεσμα.
Επιθέσεις εφοδιαστικής αλυσίδας
Περισσότεροι phishers στοχεύουν τους αδύναμους κρίκους – τρίτους προμηθευτές, πωλητές, συνεργάτες – που πιθανότατα έχουν προνομιακή πρόσβαση ή ενσωματώσεις με τα δίκτυα και τα συστήματα ενός οργανισμού. Μόλις ένα κομμάτι της αλυσίδας τεθεί σε κίνδυνο, οι εισβολείς κινούνται προς τα μέσα, κερδίζοντας έδαφος για να κλέψουν δεδομένα ή να φυτέψουν κακόβουλο λογισμικό σε συστήματα πελατών.
Αναλύοντας την ψυχολογία πίσω από το αποτελεσματικό phishing
Σε όλους μας αρέσει να πιστεύουμε ότι δεν θα πέφτουμε ποτέ σε μια ψεύτικη κλήση από την «IRS» που μας απειλεί με σύλληψη ή ένα email από έναν έκπτωτο πρίγκιπα που επιδιώκει να μεταφέρει 10 εκατομμύρια δολάρια στον τραπεζικό μας λογαριασμό. Αλλά η κατανόηση των πραγματικών ψυχολογικών κινήτρων πίσω από το γιατί οι άνθρωποι πέφτουν στο phishing –ακόμη και δύσπιστοι ειδικοί σε θέματα ασφάλειας– αποκαλύπτει ότι είμαστε ΟΛΟΙ ευάλωτοι στο σωστό σενάριο. Ακολουθούν 3 βασικοί ψυχολογικοί παράγοντες στους οποίους βασίζονται οι ειδικοί phishers.
Οπλοποιώντας την εμπιστοσύνη
Είμαστε έτοιμοι να βρούμε συντομεύσεις για να καθορίσουμε ποιον και τι να εμπιστευόμαστε – τίτλους, λογότυπα, διευθύνσεις email. Οι phishers εκμεταλλεύονται αυτήν την τάση, υποδυόμενοι αξιόπιστες επωνυμίες ή συναδέλφους, γνωρίζοντας ότι η προστασία μας θα πέσει μόλις θεωρήσουμε ότι μια οντότητα είναι νόμιμη. Το μήνυμα ηλεκτρονικού ταχυδρομείου φαίνεται σωστό..αλλά η αίσθηση του εντέρου μας εξακολουθεί να φαίνεται αδύνατη. Τις περισσότερες φορές, είναι σοφό να ακούς αυτό το έντερο!
Η υποκίνηση της περιέργειας σκοτώνει περισσότερα από τις γάτες
Η περιέργεια είναι ένα θεμελιώδες ανθρώπινο χαρακτηριστικό – αλλά μπορεί επίσης να μας οδηγήσει άθελά μας σε κίνδυνο. Οι ψαράδες μας δολώνουν με δελεαστικούς τίτλους, χρονικά περιορισμένες προσφορές και δελεαστικές παροτρύνσεις για δράση που βραχυκυκλώνουν τις ορθολογικές άμυνές μας. Εάν κάτι δεν φαίνεται, κάντε παύση και αξιολογήστε πριν κάνετε κλικ ή απαντήσετε.
Η εξοικείωση γεννά την εξαπάτηση
Θυμάστε αυτά τα τρομακτικά υπερ-προσωποποιημένα μηνύματα ηλεκτρονικού ψαρέματος από παλαιότερα; Ερευνώντας επιμελώς προσωπικές λεπτομέρειες σχετικά με την πόλη καταγωγής, τα ενδιαφέροντα, τον εργοδότη, την οικογένεια, τα πρόσφατα γεγονότα ή τα ταξίδια ενός θύματος, οι phishers τα χρησιμοποιούν σε διαδικτυακές απάτες. Αυτή η κατασκευασμένη εξοικείωση αναγκάζει τους στόχους να αφήσουν υποσυνείδητα την επιφυλακή τους.
Πίστωση εικόνας
)
Αντί να κάνουμε τις εξονυχιστικές ερωτήσεις που συνήθως θέτουμε όταν τα αιτήματα από «έμπιστες επαφές» φαίνονται κάπως περίεργα, αυτή η εξοικείωση μας τυφλώνει. Αδυνατούμε να εξετάσουμε γιατί ένα στέλεχος εταιρείας χρειάζεται να μοιραζόμαστε αρχεία σε μια μη αναγνωρισμένη εφαρμογή cloud ή γιατί ο επί χρόνια πελάτης μας θέλει να αλλάξει πλατφόρμες πληρωμών χωρίς προειδοποίηση.
Προστατεύστε τον εαυτό σας από το σύγχρονο phishing υψηλού κινδύνου
Τώρα που καταλαβαίνετε το τεράστιο εύρος πίσω από το σύγχρονο ηλεκτρονικό ψάρεμα και τις πολυεπίπεδες στρατηγικές του, το να βασίζεστε απλώς στον εντοπισμό κακής ορθογραφίας για τον εντοπισμό απατών είναι ανόητο και εντελώς ανεπαρκές, δεδομένων των απειλών που αντιμετωπίζουν τώρα άτομα, επιχειρήσεις και κυβερνητικές οντότητες. Ακολουθούν ορισμένες συμβουλές που θα σας βοηθήσουν να προστατεύσετε καλύτερα τον εαυτό σας:
Εκπαιδεύστε τον εαυτό σας (ή τους υπαλλήλους σας)
Η Νο 1
άμυνα
είναι η κατανόηση του αγωνιστικού χώρου – οι πιο πρόσφατες τακτικές και στρατηγικές phishing. Διαβάστε τα τελευταία νέα, προγραμματίστε τακτική εκπαίδευση προσομοίωσης phishing για να κρατάτε την ασφάλεια στο μυαλό σας. Ένα μορφωμένο εργατικό δυναμικό είναι ένα ασφαλές εργατικό δυναμικό.
Προσαρμόστε τις τεχνικές διασφαλίσεις σας
Επίπεδο σε ισχυρό φιλτράρισμα email, anti-malware, ασφάλεια τελικού σημείου και προστασίες ιστού για να συλλάβετε κακόβουλες προσπάθειες προτού θέσουν σε κίνδυνο τα συστήματα. Ενημερώστε το λογισμικό τακτικά και εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων για πρόσθετη ασπίδα έναντι μη εξουσιοδοτημένης πρόσβασης.
Πίστωση εικόνας
)
Επαληθεύστε πριν εμπιστευτείτε
Εκπαιδεύστε τους πάντες να ελέγχουν διπλά τα αιτήματα πριν ενεργήσετε – επαληθεύστε ταυτότητες σε διαφορετικό κανάλι, ελέγξτε σχολαστικά τις διευθύνσεις URL σε συνδέσμους, αμφισβητήστε ασυνήθιστες συμπεριφορές. Επιβεβαιώστε τα αιτήματα πληρωμής ή δεδομένων μέσω μιας αξιόπιστης διαδικασίας, όχι μόνο μέσω email.
Κάντε ένα
σχέδιο
αντιμετώπισης περιστατικών
Ετοιμάστε ένα σχέδιο δράσης σε περίπτωση που τα πράγματα πάνε πλάγια. Καθορίστε ρόλους, απαντήσεις και σχέδια επικοινωνίας για να περιορίσετε, να διερευνήσετε και να ανακτήσετε από επιτυχημένες επιθέσεις phishing αμέσως. Η προετοιμασία θα ελαχιστοποιήσει τη ζημιά.
Τελευταία λέξη
Με τις υπερπροσωποποιημένες επιθέσεις κοινωνικής μηχανικής και τα τεχνητά τεχνικά κόλπα, οι phishers γίνονται καλύτεροι από ποτέ στο να μας εξαπατούν. Οι άνθρωποι πιθανότατα θα φέρουν πάντα κάποια
ευπάθεια
σε σχήματα που πυροδοτούν την περιέργεια, αξιοποιούν την εξοικείωση και εκμεταλλεύονται την εμπιστοσύνη. Ωστόσο, με την επαγρύπνηση, μπορούμε να προστατεύσουμε σημαντικά τόσο τα περιουσιακά στοιχεία της επιχείρησης όσο και την προσωπική ασφάλεια από ακόμη και τρομακτικά εξελιγμένες σύγχρονες τακτικές phishing.
Πίστωση επιλεγμένης εικόνας:
Freepik
VIA:
DataConomy.com
0