valikko
Lopullinen opas tietojenkalastelun ymmärtämiseen vuonna 2023
Joten, mikä on Phishing?
Tietojenkalastelu on sosiaalisen manipuloinnin muoto, joka huijaa ihmisiä paljastamaan salasanansa tai arvokasta tiedot. Tietojenkalasteluhyökkäykset voivat olla sähköpostien, tekstiviestien ja puheluiden muodossa.
Yleensä nämä hyökkäykset ovat suosittuja palveluita ja yrityksiä, jotka ihmiset tunnistavat helposti.
Kun käyttäjät napsauttavat tietojenkalastelulinkkiä sähköpostin tekstiosassa, heidät lähetetään samankaltaiseen versioon sivustosta, johon he luottavat. Heiltä pyydetään heidän kirjautumistietojaan tässä vaiheessa tietojenkalasteluhuijauksessa. Kun he syöttävät tietonsa väärennetylle verkkosivustolle, hyökkääjällä on mitä he tarvitsevat päästäkseen oikealle tililleen.
Tietojenkalasteluhyökkäykset voivat johtaa henkilötietojen, taloudellisten tietojen tai terveystietojen varastettuihin tietoihin. Kun hyökkääjä pääsee yhdelle tilille, hän joko myy tilin käyttöoikeuden tai käyttää näitä tietoja hakkeroidakseen uhrin muita tilejä.
Kun tili on myyty, joku, joka tietää kuinka hyötyä tilistä, ostaa tilin tunnistetiedot pimeästä verkosta ja hyödyntää varastettuja tietoja.
Tässä on visualisointi, joka auttaa sinua ymmärtämään tietojenkalasteluhyökkäyksen vaiheet:
Tietojenkalasteluhyökkäyksiä on eri muodoissa. Tietojenkalastelu voi toimia puhelun, tekstiviestin, sähköpostin tai sosiaalisen median viestien kautta.
Yleiset tietojenkalasteluviestit ovat yleisin tietojenkalasteluhyökkäystyyppi. Tällaiset hyökkäykset ovat yleisiä, koska ne vaativat vähiten vaivaa.
Hakkerit ottavat luettelon Paypal- tai sosiaalisen median tileihin liittyvistä sähköpostiosoitteista ja lähettävät a massapostitus mahdollisille uhreille.
Kun uhri napsauttaa sähköpostissa olevaa linkkiä, se vie hänet usein suositun verkkosivuston väärennettyyn versioon ja pyytää häntä kirjautumaan sisään tilitiedoillaan. Heti kun he lähettävät tilitietonsa, hakkeri saa tarvitsemansa tiedot tililleen.
Tietyssä mielessä tämäntyyppinen tietojenkalastelu on kuin verkon heittämistä kalaparviin. kun taas muut tietojenkalastelun muodot ovat kohdistetumpia toimia.
Spear phishing on milloin hyökkääjä kohdistaa kohteen tiettyyn henkilöön sen sijaan, että lähettäisit yleisen sähköpostin ihmisryhmälle.
Spear-phishing-hyökkäykset yrittävät kohdentaa kohdetta ja naamioitua henkilöksi, jonka uhri saattaa tuntea.
Nämä hyökkäykset ovat huijarille helpompia, jos sinulla on Internetissä henkilökohtaisia tunnistetietoja. Hyökkääjä voi tutkia sinua ja verkkoasi luodakseen viestin, joka on osuva ja vakuuttava.
Suuren personoinnin vuoksi keihäsphishing-hyökkäyksiä on paljon vaikeampi tunnistaa kuin tavallisia tietojenkalasteluhyökkäyksiä.
Ne ovat myös harvinaisempia, koska rikollisilta kuluu enemmän aikaa saada ne onnistuneesti.
Kysymys: Mikä on huijaussähköpostin onnistumisprosentti?
Vastaus: Tietojenkalasteluviestien keskimääräinen avautumisaste on 70% ja 50% vastaanottajista napsauta sähköpostissa olevaa linkkiä.
Verrattuna keihään phishing-hyökkäuksiin valaanpyyntihyökkäykset ovat huomattavasti kohdennetumpia.
Valaanpyyntihyökkäykset kohdistuvat organisaation yksittäisiin henkilöihin, kuten yrityksen toimitusjohtajaan tai talousjohtajaan.
Yksi yleisimmistä valaanpyyntihyökkäysten tavoitteista on manipuloida uhria ohjaamaan hyökkääjälle suuria summia rahaa.
Kuten tavallinen tietojenkalastelu siinä mielessä, että hyökkäys tapahtuu sähköpostin muodossa, valaanpyynti voi käyttää yritysten logoja ja vastaavia osoitteita naamioituakseen.
Joissakin tapauksissa hyökkääjä esiintyy toimitusjohtajana ja käyttää tätä persoonaa saadakseen toisen työntekijän paljastamaan taloudellisia tietoja tai siirtämään rahaa hyökkääjän tilille.
Koska työntekijät epätodennäköisemmin kieltäytyvät jonkun ylemmän henkilön pyynnöstä, nämä hyökkäykset ovat paljon vilpittömämpiä.
Hyökkääjät käyttävät usein enemmän aikaa valaanpyyntihyökkäyksen tekemiseen, koska niillä on taipumus maksaa paremmin.
Nimi "valanpyynti" viittaa siihen, että kohteilla on enemmän taloudellista valtaa (toimitusjohtajat).
Kalastajien tietojenkalastelu on suhteellisen uudenlainen phishing-hyökkäys, ja se on olemassa sosiaalisessa mediassa.
Ne eivät noudata tietojenkalasteluhyökkäysten perinteistä sähköpostimuotoa.
Sen sijaan he naamioituvat yritysten asiakaspalveluedustajiksi ja huijaavat ihmisiä lähettämään heille tietoa suorilla viesteillä.
Yleinen huijaus on ihmisten lähettäminen väärennetylle asiakastukisivustolle, joka lataa haittaohjelmia tai toisin sanoen ransomware uhrin laitteeseen.
Vishing hyökkäys on, kun huijari soittaa sinulle yrittää kerätä sinulta henkilökohtaisia tietoja.
Huijarit teeskentelevät yleensä olevansa hyvämaineinen yritys tai organisaatio, kuten Microsoft, IRS tai jopa pankkisi.
He käyttävät pelkotaktiikkaa saadakseen sinut paljastamaan tärkeitä tilitietoja.
Näin he voivat suoraan tai epäsuorasti käyttää tärkeitä tilejäsi.
Vishing-hyökkäykset ovat hankalia.
Hyökkääjät voivat helposti esiintyä ihmisinä, joihin luotat.
Katso Hailbytesin perustajan David McHalen puhuvan siitä, kuinka robottipuhelut katoavat tulevaisuuden teknologian myötä.
Useimmat tietojenkalasteluhyökkäykset tapahtuvat sähköpostien kautta, mutta on olemassa tapoja tunnistaa niiden laillisuus.
Kun avaat sähköpostin Tarkista, onko se julkiselta sähköpostialueelta (eli @gmail.com).
Jos se on peräisin julkisesta sähköpostin verkkotunnuksesta, se on todennäköisesti tietojenkalasteluhyökkäys, koska organisaatiot eivät käytä julkisia verkkotunnuksia.
Sen sijaan heidän verkkotunnuksensa olisivat yksilöllisiä heidän yritykselleen (eli Googlen sähköpostiverkkotunnus on @google.com).
On kuitenkin hankalampia tietojenkalasteluhyökkäyksiä, jotka käyttävät ainutlaatuista verkkotunnusta.
On hyödyllistä tehdä nopea yrityshaku ja tarkistaa sen laillisuus.
Phishing-hyökkäykset yrittävät aina ystävystyä mukavalla tervehdyksellä tai empatialla.
Esimerkiksi roskapostistani löysin vähän aikaa sitten phishing-sähköpostin, jossa oli tervehdys "Rakas ystävä".
Tiesin jo, että tämä oli tietojenkalasteluviesti, sillä otsikkorivillä luki "HYVÄT UUTISET VARAISISTASI 21".
Tällaisten tervehdysten näkemisen pitäisi olla välitöntä punaista lippua, jos et ole koskaan ollut vuorovaikutuksessa kyseisen kontaktin kanssa.
Tietojenkalasteluviestin sisältö on erittäin tärkeä, ja näet joitakin erottuvia ominaisuuksia, jotka muodostavat suurimman osan.
Jos sisältö kuulostaa absurdilta, kyseessä on todennäköisesti huijaus.
Jos aiherivillä lukee esimerkiksi: "Voitit lotossa 1000000 dollaria" etkä muista osallistumisestasi, se on punainen lippu.
Kun sisältö luo kiireellisyyden tunteen, kuten "se riippuu sinusta" ja se johtaa epäilyttävän linkin napsautukseen, kyseessä on todennäköisesti huijaus.
Tietojenkalasteluviesteihin on aina liitetty epäilyttävä linkki tai tiedosto.
Hyvä tapa tarkistaa, onko linkissä virus, on käyttää VirusTotal-sivustoa, joka tarkistaa tiedostot tai linkit haittaohjelmien varalta.
Esimerkki phishing-sähköpostista:
Esimerkissä Google huomauttaa, että sähköposti voi olla mahdollisesti vaarallinen.
Se tunnistaa, että sen sisältö vastaa muita vastaavia phishing-sähköpostiviestejä.
Jos sähköposti täyttää useimmat yllä olevista kriteereistä, on suositeltavaa ilmoittaa siitä osoitteeseen reportphishing@apwg.org tai phishing-report@us-cert.gov, jotta se estetään.
Jos käytät Gmailia, voit ilmoittaa sähköpostista tietojenkalastelusta.
Vaikka tietojenkalasteluhyökkäykset on suunnattu satunnaisille käyttäjille, ne kohdistuvat usein yrityksen työntekijöihin.
Hyökkääjät eivät kuitenkaan aina etsi yrityksen rahoja, vaan sen tietoja.
Liiketoiminnan kannalta data on paljon arvokkaampaa kuin raha ja sillä voi olla vakava vaikutus yritykseen.
Hyökkääjät voivat käyttää vuotaneita tietoja vaikuttaakseen yleisöön vaikuttamalla kuluttajien luottamukseen ja tahraten yrityksen nimeä.
Mutta se ei ole ainoita seurauksia, jotka voivat johtua siitä.
Muita seurauksia ovat kielteiset vaikutukset sijoittajien luottamukseen, liiketoiminnan häiriintyminen ja yleisen tietosuoja-asetuksen (GDPR) mukaisten sakkojen yllyttäminen.
On suositeltavaa kouluttaa työntekijöitäsi käsittelemään tätä ongelmaa onnistuneiden tietojenkalasteluhyökkäysten vähentämiseksi.
Yleisesti tapoja kouluttaa työntekijöitä on näyttää heille esimerkkejä tietojenkalasteluviesteistä ja tapoja havaita ne.
Toinen hyvä tapa näyttää työntekijöiden tietojenkalastelua on simulointi.
Tietojenkalastelu-simulaatiot ovat pohjimmiltaan väärennettyjä hyökkäyksiä, jotka on suunniteltu auttamaan työntekijöitä tunnistamaan tietojenkalastelu suoraan ilman kielteisiä vaikutuksia.
Jaamme nyt vaiheet, jotka sinun on suoritettava onnistuneen tietojenkalastelukampanjan suorittamiseksi.
Tietojenkalastelu on edelleen suurin turvallisuusuhka WIPRO:n vuoden 2020 kyberturvallisuusraportin mukaan.
Yksi parhaista tavoista kerätä tietoja ja kouluttaa työntekijöitä on suorittaa sisäinen tietojenkalastelukampanja.
Tietojenkalastelusähköpostin luominen tietojenkalastelualustalla voi olla riittävän helppoa, mutta siinä on paljon muutakin kuin lähetä-painikkeen painaminen.
Keskustelemme tietojenkalastelutestien käsittelemisestä sisäisen viestinnän avulla.
Sen jälkeen käymme läpi, kuinka analysoit ja käytät keräämiäsi tietoja.
Tietojenkalastelukampanjassa ei ole kyse ihmisten rankaisemisesta, jos he joutuvat huijaukseen. Tietojenkalastelu-simulaatiossa opetetaan työntekijöitä vastaamaan tietojenkalasteluviesteihin. Haluat varmistaa, että olet avoin tietojenkalastelukoulutuksen järjestämisessä yrityksessäsi. Priorisoi tietojenkalastelukampanjastasi tiedottaminen yritysjohtajille ja kuvaile kampanjan tavoitteita.
Kun olet lähettänyt ensimmäisen perustason tietojenkalastelusähköpostitestin, voit tehdä yrityksen laajuisen ilmoituksen kaikille työntekijöille.
Tärkeä osa sisäisessä viestinnässä on viestin johdonmukaisuus. Jos teet omia phishing-testejäsi, on hyvä idea keksiä koulutusmateriaalillesi keksitty tuotemerkki.
Ohjelmallesi nimen keksiminen auttaa työntekijöitä tunnistamaan koulutussisältösi postilaatikossaan.
Jos käytät hallittua phishing-testipalvelua, he todennäköisesti kattavat tämän. Opetussisältö tulee tuottaa etukäteen, jotta sinulla on välitön seuranta kampanjasi jälkeen.
Anna työntekijöillesi ohjeita ja tietoja sisäisestä phishing-sähköpostiprotokollastasi perustestin jälkeen.
Haluat antaa työtovereillesi mahdollisuuden vastata koulutukseen oikein.
Tietojenkalastelutestissä on tärkeää nähdä, kuinka monta ihmistä havaitsee sähköpostin ja ilmoittaa siitä oikein.
Minkä pitäisi olla kampanjasi tärkein prioriteetti?
Sitoumus.
Voit yrittää perustaa tulokset onnistumisten ja epäonnistumisten määrään, mutta nuo luvut eivät välttämättä auta sinua tavoitteesi saavuttamisessa.
Jos suoritat tietojenkalastelutestin simulaation eikä kukaan napsauta linkkiä, tarkoittaako se, että testisi onnistui?
Lyhyt vastaus on "ei".
100 % onnistumisprosentti ei tarkoita menestystä.
Se voi tarkoittaa, että tietojenkalastelutestisi oli yksinkertaisesti liian helppo havaita.
Toisaalta, jos saat valtavan epäonnistumisprosentin tietojenkalastelutestilläsi, se voi tarkoittaa jotain aivan muuta.
Se voi tarkoittaa, että työntekijäsi eivät vielä pysty havaitsemaan tietojenkalasteluhyökkäyksiä.
Kun saat paljon napsautuksia kampanjallesi, sinun on todennäköisesti vähennettävä tietojenkalasteluviestiesi vaikeutta.
Käytä enemmän aikaa kouluttaaksesi ihmisiä heidän nykyisellä tasollaan.
Haluat viime kädessä vähentää tietojenkalastelulinkkien napsautusten määrää.
Saatat ihmetellä, mikä on hyvä tai huono napsautussuhde tietojenkalastelu-simulaatiossa.
Sans.org:n mukaan sinun ensimmäinen phishing simulointi voi tuottaa keskimääräisen napsautussuhteen 25-30 %.
Se näyttää todella korkealta luvulta.
Onneksi he ilmoittivat siitä 9–18 kuukauden tietojenkalastelukoulutuksen jälkeen tietojenkalastelutestin napsautussuhde oli alle 5%.
Nämä luvut voivat auttaa antamaan karkean arvion tietojenkalastelukoulutuksesta haluamistasi tuloksista.
Aloita ensimmäinen phishing-sähköpostisimulaatiosi lisäämällä testaustyökalun IP-osoite sallittujen luetteloon.
Tämä varmistaa, että työntekijät saavat sähköpostin.
Kun luot ensimmäistä simuloitua tietojenkalasteluviestiäsi, älä tee siitä liian helppoa tai vaikeaa.
Sinun tulee myös muistaa yleisösi.
Jos työtoverisi eivät ole ahkerasti sosiaalisen median käyttäjiä, ei luultavasti olisi hyvä idea käyttää väärennettyä LinkedIn-salasanan nollaussähköpostia. Testaajan sähköpostin tulee olla tarpeeksi laaja vetovoimainen, jotta jokaisella yrityksessäsi olisi syytä klikata.
Joitakin esimerkkejä tietojenkalasteluviesteistä, joissa on laaja vetovoima, voivat olla:
Muista vain psykologia siitä, kuinka yleisösi ottavat viestin, ennen kuin painat Lähetä.
Jatka tietojenkalastelukoulutussähköpostien lähettämistä työntekijöillesi. Varmista, että lisäät vaikeuksia hitaasti ajan myötä ihmisten taitotason nostamiseksi.
On suositeltavaa lähettää sähköpostit kuukausittain. Jos "kalastelet" organisaatiotasi liian usein, se todennäköisesti tarttuu liian nopeasti.
Työntekijöiden saaminen kiinni, hieman varovainen on paras tapa saada realistisempia tuloksia.
Jos lähetät samantyyppisiä "phishing" -sähköposteja joka kerta, et opeta työntekijöillesi reagoimaan erilaisiin huijauksiin.
Voit kokeilla useita eri kuvakulmia, mukaan lukien:
Kun lähetät uusia kampanjoita, varmista aina, että hienosäädät viestin osuvuutta yleisöllesi.
Jos lähetät phishing-sähköpostin, joka ei liity johonkin kiinnostavaan asiaan, et välttämättä saa juurikaan vastausta kampanjastasi.
Kun olet lähettänyt erilaisia kampanjoita työntekijöillesi, päivitä joitakin vanhoja kampanjoita, jotka huijasivat ihmisiä ensimmäistä kertaa, ja tee kampanjalle uusi kierros.
Voit kertoa koulutuksesi tehokkuudesta, jos huomaat ihmisten joko oppivan ja kehittyvän.
Sieltä voit kertoa, tarvitsevatko he lisäkoulutusta tietyntyyppisten tietojenkalasteluviestien havaitsemiseen.
On kolme tekijää määritettäessä, aiotko luoda oman phishing-koulutusohjelman vai ulkoistaa ohjelman.
Jos olet tietoturvainsinööri tai sinulla on sellainen yrityksessäsi, voit helposti luoda phishing-palvelimen käyttämällä olemassa olevaa phishing-alustaa kampanjoidesi luomiseen.
Jos sinulla ei ole tietoturvainsinöörejä, oman phishing-ohjelman luominen ei ehkä tule kysymykseen.
Organisaatiossasi saattaa olla tietoturvainsinööri, mutta heillä ei välttämättä ole kokemusta manipulointi- tai tietojenkalastelutesteistä.
Jos sinulla on joku, joka on kokenut, hän olisi tarpeeksi luotettava luomaan oman tietojenkalasteluohjelmansa.
Tämä on todella suuri tekijä pienille ja keskisuurille yrityksille.
Jos tiimisi on pieni, ei ehkä ole kätevää lisätä turvatiimiin uutta tehtävää.
On paljon mukavampaa, jos toinen kokenut tiimi tekee työn puolestasi.
Olet käynyt läpi tämän oppaan selvittääksesi, kuinka voit kouluttaa työntekijöitäsi, ja olet valmis aloittamaan organisaatiosi suojaamisen tietojenkalastelukoulutuksella.
Mitä nyt?
Jos olet tietoturvainsinööri ja haluat aloittaa ensimmäisten tietojenkalastelukampanjasi nyt, Siirry tänne saadaksesi lisätietoja tietojenkalastelu-simulaatiotyökalusta, jonka avulla voit aloittaa tänään.
Tai…
Jos olet kiinnostunut oppimaan hallinnoiduista palveluista tietojenkalastelukampanjoiden suorittamiseksi puolestasi, Lue täältä lisää siitä, kuinka voit aloittaa ilmaisen tietojenkalastelukoulutuksen kokeilujakson.
Käytä tarkistuslistaa tunnistaaksesi epätavalliset sähköpostit ja jos ne ovat tietojenkalasteluja, ilmoita niistä.
Vaikka on olemassa phishing-suodattimia, jotka voivat suojata sinua, se ei ole 100%.
Tietojenkalasteluviestit kehittyvät jatkuvasti, eivätkä ne ole koskaan samanlaisia.
jotta suojella yritystäsi tietojenkalasteluhyökkäyksistä, joihin voit osallistua phishing-simulaatiot vähentää onnistuneiden tietojenkalasteluhyökkäysten mahdollisuuksia.
Toivomme, että opit tästä oppaasta tarpeeksi selvittääksesi, mitä sinun on tehtävä seuraavaksi vähentääksesi mahdollisuuksiasi joutua tietojenkalasteluhyökkäykseen yritykseesi.
Jätä kommentti, jos sinulla on meille kysyttävää tai haluat jakaa tietojasi tai kokemuksiasi tietojenkalastelukampanjoista.
Älä unohda jakaa tätä opasta ja levittää sanaa!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Puhelin: (732) 771-9995
Sähköposti: info@hailbytes.com
