menú
La guia definitiva per entendre la pesca de pesca el 2023
Què és, doncs? Phishing?
El phishing és una forma d'enginyeria social que enganya les persones perquè revelin les seves contrasenyes o valuosos informació. Els atacs de pesca poden ser en forma de correus electrònics, missatges de text i trucades telefòniques.
Normalment, aquests atacs es plantegen com a serveis i empreses populars que la gent reconeix fàcilment.
Quan els usuaris fan clic a un enllaç de pesca al cos d'un correu electrònic, s'envien a una versió semblant d'un lloc en què confien. Se'ls demana les seves credencials d'inici de sessió en aquest moment de l'estafa de pesca. Un cop introdueix la seva informació al lloc web fals, l'atacant té el que necessita per accedir al seu compte real.
Els atacs de pesca poden donar lloc al robatori d'informació personal, informació financera o informació de salut. Una vegada que l'atacant té accés a un compte, ven l'accés al compte o utilitza aquesta informació per piratejar altres comptes de la víctima.
Un cop venut el compte, algú que sàpiga treure profit del compte comprarà les credencials del compte a la web fosca i aprofitarà les dades robades.
Aquí teniu una visualització que us ajudarà a entendre els passos d'un atac de pesca:
Els atacs de pesca tenen diferents formes. La pesca pot funcionar des d'una trucada telefònica, un missatge de text, un correu electrònic o un missatge a les xarxes socials.
Els correus electrònics genèrics de pesca són el tipus més comú d'atac de pesca. Aquests atacs són habituals perquè requereixen el menor esforç.
Els pirates informàtics prenen una llista d'adreces de correu electrònic associades a comptes de Paypal o de xarxes socials i envien un correu electrònic massiu a les víctimes potencials.
Quan la víctima fa clic a l'enllaç del correu electrònic, sovint la porta a una versió falsa d'un lloc web popular i li demana que iniciï sessió amb la informació del seu compte. Tan aviat com envien la informació del seu compte, el pirata informàtic té el que necessita per accedir al seu compte.
En cert sentit, aquest tipus de pesca és com llançar una xarxa a un banc de peixos; mentre que altres formes de pesca són esforços més específics.
Spear phishing és quan un atacant apunta a un individu concret en lloc d'enviar un correu electrònic genèric a un grup de persones.
Els atacs de pesca amb llança intenten dirigir-se específicament a l'objectiu i disfressar-se com una persona que la víctima pot conèixer.
Aquests atacs són més fàcils per a un estafador si teniu informació d'identificació personal a Internet. L'atacant és capaç d'investigar tu i la teva xarxa per elaborar un missatge que sigui rellevant i convincent.
A causa de la gran quantitat de personalització, els atacs de pesca amb llança són molt més difícils d'identificar en comparació amb els atacs de pesca habituals.
També són menys comuns, perquè els delinqüents triguen més temps a aconseguir-los amb èxit.
Pregunta: Quin és el percentatge d'èxit d'un correu electrònic de pesca de pesca?
Resposta: els correus electrònics d'espearphishing tenen una taxa d'obertura mitjana de correu electrònic de 70% i 50% dels destinataris feu clic a un enllaç del correu electrònic.
En comparació amb els atacs de pesca amb llança, els atacs de la caça de balenes són dràsticament més dirigits.
Els atacs de la caça de balenes persegueixen persones d'una organització, com ara el director executiu o el director financer d'una empresa.
Un dels objectius més comuns dels atacs de la caça de balenes és manipular la víctima perquè enviï grans sumes de diners a l'atacant.
De manera similar a la pesca habitual, ja que l'atac es fa en forma de correu electrònic, la caça de balenes pot utilitzar logotips d'empresa i adreces similars per disfressar-se.
En alguns casos, l'atacant es farà passar pel director general i utilitzeu aquesta persona per convèncer un altre empleat perquè reveli dades financeres o transfereixi diners al compte dels atacants.
Com que els empleats tenen menys probabilitats de rebutjar una sol·licitud d'algú més alt, aquests atacs són molt més tortuosos.
Els atacants sovint passaran més temps elaborant un atac de caça de balenes perquè tendeixen a pagar millor.
El nom "caça de balenes" fa referència al fet que els objectius tenen més poder financer (directors generals).
El pescador de pesca és relativament nou tipus d'atac de pesca i existeix a les xarxes socials.
No segueixen el format de correu electrònic tradicional dels atacs de pesca.
En canvi, es disfressen de representants d'atenció al client de les empreses i enganyen la gent perquè els enviï informació a través de missatges directes.
Una estafa habitual és enviar persones a un lloc web d'atenció al client fals que baixarà programari maliciós o, en altres paraules ransomware al dispositiu de la víctima.
Un atac de vishing és quan un estafador et truca per intentar recopilar informació personal de vostè.
Els estafadors solen pretendre ser una empresa o organització de bona reputació com Microsoft, l'IRS o fins i tot el vostre banc.
Utilitzen tàctiques de por per aconseguir que revelis dades importants del compte.
Això els permet accedir directament o indirectament als vostres comptes importants.
Els atacs de vishing són complicats.
Els atacants poden suplantar fàcilment les persones en qui confieu.
Mireu el fundador de Hailbytes, David McHale, parlar sobre com desapareixeran les trucades automatitzades amb la tecnologia futura.
La majoria dels atacs de pesca es produeixen a través de correus electrònics, però hi ha maneres d'identificar-ne la legitimitat.
Quan obriu un correu electrònic comproveu si prové o no d'un domini públic de correu electrònic (és a dir, @gmail.com).
Si és d'un domini públic de correu electrònic, el més probable és que sigui un atac de pesca, ja que les organitzacions no utilitzen dominis públics.
Més aviat, els seus dominis serien únics per a la seva empresa (és a dir, el domini de correu electrònic de Google és @google.com).
Tanmateix, hi ha atacs de pesca més complicats que utilitzen un domini únic.
És útil fer una cerca ràpida de l'empresa i comprovar-ne la legitimitat.
Els atacs de pesca sempre intenten fer-se amistat amb tu amb una bona salutació o empatia.
Per exemple, al meu correu brossa no fa massa temps vaig trobar un correu electrònic de pesca amb la salutació de "Estimat amic".
Ja sabia que es tractava d'un correu electrònic de pesca, ja que a l'assumpte deia "BONES NOTÍCIES SOBRE ELS VOSTRE FONDS 21/06/2020".
Veure aquest tipus de salutacions hauria de ser una bandera vermella instantània si mai no heu interactuat amb aquest contacte.
El contingut d'un correu electrònic de pesca és molt important i veureu algunes característiques distintives que la componen més.
Si el contingut sona absurd, és probable que sigui una estafa.
Per exemple, si l'assumpte deia: "Has guanyat la loteria 1000000 dòlars" i no recordes haver participat, això és una bandera vermella.
Quan el contingut crea una sensació d'urgència com "depèn de tu" i fa que faci clic en un enllaç sospitós, és molt probable que sigui una estafa.
Els correus electrònics de pesca sempre tenen un enllaç o fitxer sospitós adjunt.
Una bona manera de comprovar si un enllaç té un virus és utilitzar VirusTotal, un lloc web que comprova fitxers o enllaços per detectar programari maliciós.
Exemple de correu electrònic de pesca:
En l'exemple, Google assenyala que el correu electrònic pot ser potencialment perillós.
Reconeix que el seu contingut coincideix amb altres correus electrònics de pesca similars.
Si un correu electrònic compleix la majoria dels criteris anteriors, es recomana informar-lo a reportphishing@apwg.org o phishing-report@us-cert.gov perquè es bloquegi.
Si utilitzeu Gmail, hi ha una opció per informar del correu electrònic per pesca de pesca.
Tot i que els atacs de pesca estan dirigits a usuaris aleatoris, sovint es dirigeixen als empleats d'una empresa.
Tanmateix, els atacants no sempre busquen els diners d'una empresa, sinó les seves dades.
En termes de negoci, les dades són molt més valuoses que els diners i poden afectar greument una empresa.
Els atacants poden utilitzar les dades filtrades per influir en el públic afectant la confiança dels consumidors i embrutant el nom de l'empresa.
Però aquestes no són les úniques conseqüències que se'n poden derivar.
Altres conseqüències inclouen l'impacte negatiu en la confiança dels inversors, la interrupció del negoci i la incitació a multes reguladores d'acord amb el Reglament general de protecció de dades (GDPR).
Es recomana entrenar els vostres empleats per fer front a aquest problema per reduir els atacs de pesca amb èxit.
En general, les maneres de formar els empleats són mostrar-los exemples de correus electrònics de pesca i les maneres de detectar-los.
Una altra bona manera de mostrar als empleats la pesca és mitjançant la simulació.
Les simulacions de phishing són bàsicament atacs falsos dissenyats per ajudar els empleats a reconèixer el phishing de primera mà sense cap efecte negatiu.
Ara compartirem els passos que heu de seguir per dur a terme una campanya de pesca de pesca amb èxit.
Segons l'informe sobre l'estat de la ciberseguretat de WIPRO 2020, la pesca continua sent la principal amenaça de seguretat.
Una de les millors maneres de recopilar dades i educar els empleats és fer una campanya interna de pesca.
Pot ser prou fàcil crear un correu electrònic de pesca amb una plataforma de pesca, però hi ha molt més que fer clic a enviar.
Parlarem de com gestionar les proves de pesca amb comunicacions internes.
A continuació, repassarem com analitzeu i feu servir les dades que recopileu.
Una campanya de pesca no consisteix a castigar la gent si cau en una estafa. Una simulació de pesca consisteix a ensenyar als empleats com respondre als correus electrònics de pesca. Voleu assegurar-vos que sou transparent a l'hora de fer formació sobre pesca a la vostra empresa. Doneu prioritat a informar els líders de l'empresa sobre la vostra campanya de pesca i descriu els objectius de la campanya.
Després d'enviar la primera prova de correu electrònic de pesca de referència, podeu fer un anunci a tota l'empresa a tots els empleats.
Un aspecte important de les comunicacions internes és mantenir el missatge coherent. Si feu les vostres pròpies proves de pesca, és una bona idea trobar una marca inventada per al vostre material de formació.
Crear un nom per al vostre programa ajudarà els empleats a reconèixer el vostre contingut educatiu a la seva safata d'entrada.
Si utilitzeu un servei de prova de pesca gestionat, probablement ho tindran cobert. El contingut educatiu s'ha de produir amb antelació perquè pugueu tenir un seguiment immediat després de la vostra campanya.
Doneu als vostres empleats instruccions i informació sobre el vostre protocol intern de correu electrònic de pesca després de la prova de referència.
Vols donar als teus companys l'oportunitat de respondre correctament a la formació.
Veure el nombre de persones que detecten i denuncien correctament el correu electrònic és informació important per obtenir de la prova de pesca.
Quina ha de ser la vostra màxima prioritat per a la vostra campanya?
Compromís.
Podeu provar de basar els vostres resultats en el nombre d'èxits i fracassos, però aquests números no us ajuden necessàriament amb el vostre propòsit.
Si executeu una simulació de prova de pesca i ningú fa clic a l'enllaç, vol dir que la prova ha tingut èxit?
La resposta curta és "no".
Tenir una taxa d'èxit del 100% no es tradueix com un èxit.
Pot significar que la prova de pesca era massa fàcil de detectar.
D'altra banda, si obteniu una gran taxa de fracàs amb la vostra prova de pesca, podria significar alguna cosa completament diferent.
Podria significar que els vostres empleats encara no són capaços de detectar atacs de pesca.
Quan obteniu un alt percentatge de clics per a la vostra campanya, és molt probable que hàgiu de reduir la dificultat dels vostres correus electrònics de pesca.
Preneu-vos més temps per formar persones al seu nivell actual.
Finalment, voleu reduir la taxa de clics a l'enllaç de pesca.
Potser us preguntareu quina és la taxa de clics bona o dolenta amb una simulació de pesca.
Segons sans.org, el vostre la primera simulació de pesca pot donar un percentatge de clics mitjà del 25-30%.
Sembla una xifra molt alta.
Per sort, ho van informar després de 9-18 mesos d'entrenament de pesca, el percentatge de clics per a una prova de pesca era per sota del 5%.
Aquests números poden ajudar-vos com a estimació aproximada dels resultats desitjats de la formació de pesca.
Per iniciar la vostra primera simulació de correu electrònic de pesca, assegureu-vos de posar a la llista blanca l'adreça IP de l'eina de prova.
Això garanteix que els empleats rebin el correu electrònic.
Quan creeu el vostre primer correu electrònic de pesca simulat, no ho feu massa fàcil ni massa difícil.
També hauríeu de recordar el vostre públic.
Si els vostres companys de feina no són grans usuaris de les xarxes socials, probablement no seria una bona idea utilitzar un correu electrònic de pesca de pesca per restablir la contrasenya de LinkedIn falsa. El correu electrònic del provador ha de tenir un atractiu prou ampli perquè tothom de la vostra empresa tingui motius per fer clic.
Alguns exemples de correus electrònics de pesca amb un atractiu ampli podrien ser:
Només recordeu la psicologia de com el vostre públic agafarà el missatge abans de prémer enviar.
Continueu enviant correus electrònics de formació sobre pesca als vostres empleats. Assegureu-vos que aneu augmentant lentament la dificultat amb el temps per augmentar els nivells d'habilitat de la gent.
Es recomana fer enviaments mensuals de correu electrònic. Si feu "phishing" a la vostra organització massa sovint, és probable que s'adonin una mica massa ràpidament.
Atrapar els vostres empleats una mica desprevinguts és la millor manera d'obtenir resultats més realistes.
Si envieu el mateix tipus de correus electrònics de "phishing" cada vegada, no ensenyareu als vostres empleats com reaccionar davant diferents estafes.
Podeu provar diversos angles diferents, com ara:
A mesura que envieu campanyes noves, assegureu-vos sempre que esteu ajustant la rellevància del missatge per al vostre públic.
Si envieu un correu electrònic de pesca que no està relacionat amb alguna cosa d'interès, és possible que no rebeu una resposta molt gran de la vostra campanya.
Després d'enviar diferents campanyes als vostres empleats, actualitzeu algunes de les campanyes antigues que van enganyar la gent per primera vegada i feu una nova visió a aquesta campanya.
Podràs saber l'efectivitat de la teva formació si veus que la gent està aprenent i millorant.
A partir d'aquí, podreu saber si necessiten més educació sobre com detectar un determinat tipus de correu electrònic de pesca.
Hi ha 3 factors per determinar si creeu el vostre propi programa de formació sobre pesca o subcontractareu el programa.
Si sou enginyer de seguretat o en teniu un a la vostra empresa, podeu crear fàcilment un servidor de pesca mitjançant una plataforma de pesca preexistent per crear les vostres campanyes.
Si no teniu cap enginyer de seguretat, és possible que no es pugui crear el vostre propi programa de pesca.
És possible que tingueu un enginyer de seguretat a la vostra organització, però és possible que no tingui experiència amb proves d'enginyeria social o de pesca.
Si teniu algú amb experiència, seria prou fiable per crear el seu propi programa de pesca.
Aquest és un factor molt important per a les empreses petites i mitjanes.
Si el vostre equip és petit, pot ser que no sigui convenient afegir una altra tasca al vostre equip de seguretat.
És molt més convenient que un altre equip amb experiència faci la feina per vosaltres.
Heu revisat tota aquesta guia per esbrinar com podeu formar els vostres empleats i esteu preparat per començar a protegir la vostra organització mitjançant la formació sobre pesca.
Ara què?
Si sou enginyer de seguretat i voleu començar a executar les vostres primeres campanyes de pesca ara, aneu aquí per obtenir més informació sobre una eina de simulació de pesca que podeu utilitzar per començar avui.
O ...
Si esteu interessats a conèixer els serveis gestionats per executar campanyes de pesca per a vosaltres, Obteniu més informació aquí sobre com podeu iniciar la vostra prova gratuïta de formació sobre pesca de credencials.
Utilitzeu la llista de verificació per identificar correus electrònics inusuals i, si són pesca de pesca, informeu-los.
Tot i que hi ha filtres de pesca que us poden protegir, no és al 100%.
Els correus electrònics de pesca estan en constant evolució i mai són els mateixos.
A protegir la seva empresa d'atacs de pesca en què pots participar simulacions de pesca per reduir les possibilitats d'atacs de pesca amb èxit.
Esperem que hàgiu après prou d'aquesta guia per esbrinar què heu de fer a continuació per reduir les possibilitats d'un atac de pesca a la vostra empresa.
Si us plau, deixeu un comentari si teniu cap pregunta per a nosaltres o si voleu compartir els vostres coneixements o experiència amb campanyes de pesca.
No us oblideu de compartir aquesta guia i difondre-ho!
Hailbytes
9511 Queens Guard Ct.
Llorer, MD 20723
Telèfon: (732) 771-9995
Correu electrònic: info@hailbytes.com
