eWAY s.r.o.

eWAY s.r.o. logo

Phishing – najväčšia a najrýchlejšie rastúca kybernetická hrozba

Phishing blog

Phishing je tu už desaťročia, ale zostáva jednou z najväčších – a najrýchlejšie rastúcich – kybernetických hrozieb súčasnosti. Phishingová aktivita, ktorá bola už dávno pred pandémiou COVID-19 rastúcou výzvou, sa odvtedy len zhoršila. Podľa najnovšej výročnej správy o internetovej kriminalite od FBI Internet Crime Complaint Center (IC3) počet podaných sťažností na phishingové podvody a súvisiace sťažnosti medzi rokmi 2019 a 2021 vyskočil o 182 %.
A tieto čísla odrážajú iba nahlásené phishingové útoky; skutočný počet je pravdepodobne oveľa vyšší.

Kybernetickým útočníkom sa v každom prípade jednoznačne darí vo využívaní ľudských zraniteľností. A napriek tomu, že ide o takúto veľkú hrozbu, výskum „State of the Phish 2022“ od spoločnosti Proofpoint zistil, že iba 53 % pracujúcich dospelých vie, čo je phishing.

Phishing musí byť ústredným bodom Vášho programu na zvyšovanie povedomia o bezpečnosti. Ak je pravdepodobné, že len asi polovica Vašich používateľov vie, čo je phishing, zvážte, že by ste mali zakomponovať vzdelávanie o tejto zásadnej téme v oblasti kybernetickej bezpečnosti.

Čo je phishing?

Phishing je príkladom sociálneho inžinierstva, čo je súbor techník –  vrátane falšovania, zavádzania a klamstva, ktoré útočníci používajú na manipuláciu s ľuďmi v online priestore.

Phishingové e-maily využívajú sociálne inžinierstvo, aby ovplyvnili používateľov, aby konali rýchlo, bez toho, aby nad vecami premýšľali. A keď sa útočníkom podarí oklamať používateľov phishingovou správou, odmenou im za to môžu byť prístupy k citlivým údajom, kritickým systémom a sieťam, cloudovým účtom a peniazom.

Väčšina phishingových správ sa posiela e-mailom. Niektorí útočníci však doručujú tieto správy obetiam prostredníctvom iných metód, vrátane smishingu a vishingu (pomocou SMS textových správ alebo softvéru na zmenu hlasu v hlasových správach alebo robocaling).

Tri primárne hrozby v phishingových správach

Keď vaši používatelia lepšie pochopia, čo znamená phishing, načrtnite niektoré z typických stratégií, ktoré útočníci používajú na kompromitáciu príjemcov phishingových správ:

Škodlivé odkazy
Útočníci často používajú škodlivé adresy URL v phishingových správach. Keď používatelia kliknú na škodlivý odkaz, môže ich to priviesť na webovú stránku podvodníka alebo stránku infikovanú škodlivým softvérom. Útočníci často tieto odkazy starostlivo zamaskujú do phishingových správ tak, aby vyzerali, že pochádzajú z dôveryhodných zdrojov. Techniky môžu zahŕňať používanie loga spoločnosti alebo registráciu e-mailových domén, ktoré sú mätúco podobné doménam dôveryhodnej značky alebo firmy.
A až príliš často sa to útočníkovi podarí. Prieskum „State of the Phish 2022“ ukazuje, že 1 z 10 používateľov klikne na škodlivý odkaz v simuláciách phishingu.

Infikované prílohy
Prílohy infikované škodlivým softvérom môžu ohroziť počítače a súbory a často vyzerajú ako legitímne prílohy súborov. Pri simuláciách phishingu, ktoré boli vykonané spoločnosťou Proofpoint sa zistilo, že 1 z 5 používateľov otvorí prílohu e-mailu.
Je dôležité vysvetliť používateľom, aké škody môže phishing spôsobiť. Malvérové ​​infekcie a ransomvéry doručené prostredníctvom phishingového útoku sa môžu ľahko šíriť cez sieťové zariadenia – a dokonca aj do cloudových systémov.

Podvodné žiadosti
Tieto požiadavky sú navrhnuté tak, aby presvedčili príjemcu e-mailu, aby odovzdali citlivé informácie, ako sú prihlasovacie údaje, informácie o kreditnej karte a ďalšie. Často sú prezentované ako formulár (napríklad od daňového úradu, ktorý sľubuje vrátenie peňazí), ktorý vyzve používateľa, aby poskytol citlivé informácie. Keď používateľ vyplní a odošle formulár, môžu útočníci použiť tieto údaje na svoj osobný zisk.

Všetky phishingové útoky využívajú sociálne inžinierstvo

Ako už sme uviedli, phishingové útoky sú formou sociálneho inžinierstva. Vo svojom školení na zvýšenie povedomia o bezpečnosti budete chcieť upozorniť na niektoré spôsoby, akými útočníci využívajú ľudskú psychológiu na manipuláciu používateľov, napríklad:

  • Vydávanie sa za niekoho alebo niečo, čo by používateľ pravdepodobne poznal a dôveroval tomu
  • Využívanie emócií, ako je strach (alebo dokonca len podnecovanie strachu z premeškania), na motiváciu používateľov konať rýchlo
  • Tvorenie lákavých sľubov, ktoré znejú príliš dobre na to, aby boli pravdivé

Phishingoví aktéri sa tiež často pokúšajú načasovať svoje útoky na to, keď je pravdepodobné, že používateľ bude nepozorný, napríklad keď sa cíti unavený alebo roztržitý. Mnoho útočníkov si pred phishingovým útokom preštuduje aj fakturačný cyklus spoločnosti alebo si zistí, kedy sa konajú dôležité stretnutia.

Pozor si musia dávať užívatelia aj v súkromnom živote

Samozrejme, na to, aby školenia o kybernetickej bezpečnosti zarezonovali u používateľov, musia pochopiť, ako môžu phishingové schémy potenciálne narúšať aj ich vlastný súkromný zisk. A s blížiacimi sa sviatkami je ideálny čas pomôcť Vašim používateľom naučiť sa dávať pozor na phishingové taktiky zahŕňajúce:

  • Online nakupovanie (ako napríklad „Kliknite sem a objednajte si teraz a získate 60% zľavu! Navyše budete zaradení do súťaže, aby ste mohli vyhrať 1 000€ zadarmo na nákup na našej webovej stránke.“)
  • Charitatívne organizácie (ako napríklad „Pomôžte v boji proti hladu počas týchto sviatkov – táto potreba je mimoriadne naliehavá. Použite tento formulár a darujte, čo môžete práve teraz.“)
  • Poskytovatelia dopravy (napríklad „Nepodarilo sa nám doručiť vašu zásielku. Skontrolujte priložené informácie o dodaní, aby ste potvrdili podrobnosti objednávky.“)

Tiež upozornite svojich používateľov na potenciál „streamovacích podvodov“, kde sa útočníci vydávajú za legitímnych poskytovateľov populárnych streamovacích služieb a ponúkajú špeciálne ponuky (možno „Jeden mesiac zadarmo!“) alebo sa snažia presvedčiť používateľov, že musia vo svojom účte vykonať zmeny ( ako napríklad „Aktualizujte svoje údaje na opätovnú aktiváciu členstva“).

Tipy pre Vašich koncových používateľov na identifikáciu pokusov o phishing

Najlepšie pre Vašu spoločnosť bude, ak implementujete kompletné riešenie vzdelávania o kybernetickej bezpečnosti. Ak takú možnosť nemáte, dokončite svoje školenie na tému phishingu  aspoň niekoľkými ľahko implementovateľnými radami, ktoré môžu pomôcť Vašim používateľom vyhnúť sa podvodu na phishing:

  • Nedôverujte odosielateľovi okamžite, aj keď sa zdá, že správa pochádza z dôveryhodného zdroja alebo značky
  • Skontrolujte adresu odosielateľa a skontrolujte všetky odkazy
  • Otvorte nové okno a pozrite si webovú stránku, na ktorú odkazuje odkaz
  • Neklikajte na výzvy na akciu v e-maile, napríklad „overte svoj účet“ alebo „prihláste sa teraz“
  • Pochopte, že odkazy na zdieľanie súborov nie sú vždy bezpečné

A nakoniec požiadajte svojich používateľov, aby nahlásili každú správu, ktorú považujú za podozrivú. E-mailové nahlasovanie by malo byť kritickou súčasťou vašej kybernetickej obrany (napríklad. ako PhishAlarm phishing tlačidlo od Proofpointu, ktoré uľahčuje Vašim používateľom stať sa ostražitými a proaktívnymi obrancami).