Die Elemente eines überzeugenden Phishing-Angriffs

Cassie Chadwick war ein Betrüger an der Wende zum 20. Jahrhundert. Chadwick beging eine frühe Version des Identitätsdiebstahls, um Drahtbetrug zu begehenSie überzeugte die Banken davon, dass sie Andrew Carnegies uneheliche Tochter sei, um gegen diese Behauptung Kredite aufzunehmen. Im Jahr 1905 wurde Cassie wegen Betrugs an einer Bank zu zehn Jahren Gefängnis verurteilt. Erfolgreich Betrügereienwie die von Chadwick, werden zum Stoff von Legenden. Im Laufe der Jahrhunderte haben sich Betrüger Social Engineering und ähnliche Betrügereien um riesige Geldsummen anzuhäufen, indem sie ihre Ziele austricksen. Heutzutage nutzen Betrüger moderne Kommunikationsmittel wie E-Mail für ihre Machenschaften. Betrügereien. Dennoch müssen sie die Elemente einer überzeugenden Geschichte verwenden, um sicherzustellen, dass ein Phishing-Mail trickst erfolgreich seine Empfänger. Hier sind die Elemente einer überzeugenden Phishing-Angriff.

Warum sollte man sich auf Phishing-Angriffe konzentrieren?

Phishing Angriffe gibt es bereits seit dem Die Anfänge der E-Mail. Dies ist sinnvoll, da E-Mail als Verbindungspunkt zwischen einem Hacker und dem Unternehmensnetzwerk verwendet werden kann, d. h. als Kommunikationsgateway, das das Netzwerk öffnen kann, indem es hilft, Daten zu stehlen. PasswörterBenutzernamen, und E-Mail-Adressen oder liefern Malware. Phishing bleibt der "häufigste Angriffsvektor", so die jüngste Untersuchung der britischen Regierung, die in dem Bericht "Umfrage zuCybersicherheitsverletzungen 2021". Der Grund für die weitere Verwendung von Phishing ist, weil es weiterhin sehr erfolgreich ist mit bis zu 32 % der Mitarbeiter klicken auf einen Phishing-Link in einer E-Mail und bis zu 8 % wissen nicht einmal, was ein Phishing-Mail ist. Ein einzelner Angestellter, der eine Phishing-Mail Link und dann Login eingeben Berechtigungsnachweise setzt das gesamte Unternehmen dem Risiko einer Datenverletzung oder einer Malware-Infektion aus. Selbst Mitarbeiter mit geringeren Zugriffsrechten können noch zu Privilegieneskalation und Datenschutzverletzungen. Phishing ist ein Hauptangriffspunkt, und als solcher, Cyber-Kriminelle sich bemühen, diesen Angriffsvektor überzeugend zu gestalten, um den Erfolg sicherzustellen.

Elemente des Erfolgs für Phishing-Mitarbeiter

Um einen Mitarbeiter erfolgreich zu phishen, muss ein Betrüger dafür sorgen, dass die gesamte Phishing Kampagne ist überzeugend, vom Aussehen der E-Mail bis hin zur gefälschten Website, die der Phishing Links führen den Arbeitnehmer zu. Die Elemente einer überzeugenden Phishing Kampagnen werden immer ausgefeilter und umfassender:

Markenimitation

Markenspoofing wird seit dem Aufkommen der E-Mail-Phishing. Bestimmte Marken sind bei Unternehmen beliebt, und sie werden immer wieder verwendet, um Empfänger Sie sollen glauben, dass die E-Mail legitim ist und ihre persönlichen Daten weitergeben. Kontrollpunkt führt regelmäßig Untersuchungen zu den beliebtesten Marken durch, die als Grundlage für Phishing Kampagnen. Eine der am häufigsten gefälschten Marken im Jahr 2021 war Microsoft, die Marke wurde in rund 45 % der Kampagnen verwendet. Phishing Kampagnen im zweiten Quartal 2021.

Abtrünnige, lange und umgeleitete URLs

Das Überfahren eines Links in einer E-Mail ist nicht immer ein sicherer Weg, um einen bösartigen Link zu erkennen. In letzter Zeit haben Betrüger damit begonnen, "Rogue URLs', um den bösartigen Charakter einer Phishing Link. Dabei wird in der Regel die wahre Adresse eines Links mit Sonderzeichen versteckt. A URL Encoder wird verwendet, um eine URL durch Hinzufügung von Prozentzeichen, d. h. durch den Beginn einer URL Zeichenfolge mit einem %-Zeichen, um die wahre Natur einer Webadresse zu verbergen. Diese URLs werden von Google akzeptiert und lassen sich daher nur schwer durch Filter für statische Inhalte verhindern. Sehr lang URLs werden auch verwendet, um eine bösartige Webadresse zu verschleiern. E-Mail-Links sind auf mobilen Geräten bekanntermaßen schwer zu erkennen, und sehr lange URLs machen es noch schwieriger, verdächtige Links zu erkennen. Auch die Verwendung mehrerer Links und Weiterleitungen wird inzwischen zur Verwirrung der Nutzer eingesetzt. A aktuelle Multi-Redirect-Phishing-Kampagne führte die Nutzer durch eine Reihe von Weiterleitungen, die in einer Google reCaptcha-Seite endeten, die schließlich zu einer gefälschten Office 365-Seite weiterleitete, auf der die Anmeldung Berechtigungsnachweise gestohlen wurden.

Falsche Sicherheitssignale

Die Menschen können sich nicht mehr darauf verlassen, dass die Verwendung von Sicherheitssignalen auf die Vertrauenswürdigkeit einer Website hinweist. So ist beispielsweise das Schloss-Symbol, das auf bestimmten Websites zu sehen ist, mit dem S am Ende von HTTP verbunden, d. h. HTTPS. Dies bedeutet, dass eine Website ein digitales Zertifikat (SSL-Zertifikat) verwendet, um zu signalisieren, dass es sich um eine sichere Website handelt. Allerdings ist das Anti-Phishing-Arbeitsgruppe (APWG) festgestellt, dass 82 % der Phishing Websites verwendeten im 2. Quartal 2021 ein SSL-Zertifikat.

Sozialtechnische Tricks

Alle oben genannten Taktiken werden durch mehrere gut getestete Social Engineering Tricks, mit denen die Mitarbeiter auf die nächste Stufe der Phishing-Kampagne gelangen. Es ist die Social Engineering Aspekt von Phishing die es ermöglicht Cyber-Kriminelle hinter der Kampagne, um den Prozess in Gang zu bringen, der mit RansomwareDatenverletzungen und andere Arten von cyber Angriffe. Social Engineering ist ein Oberbegriff, der eine Vielzahl von Techniken zur Beeinflussung des Verhaltens von Arbeitnehmern umfasst; zu den typischen Methoden gehören:

• Dringlichkeit: Eine Phishing-E-Mail oder -SMS kann eine dringende Aufforderung zur Ausführung einer Aufgabe enthalten. Business Email Compromise (BEC), bei dem Phishing-Komponenten in den Angriff eingebaut werden, verwendet diesen Trick häufig. Ein Beispiel ist eine gefälschte E-Mail, die den Anschein erweckt, sie stamme von einer hochrangigen Führungskraft mit der dringenden Aufforderung, Geld an einen neuen Kunden zu überweisen oder den Verlust des Kunden zu riskieren.

• Andere emotionale Auslöser: Betrüger spielen mit den Emotionen der Menschen, um sie dazu zu bringen, Aufgaben auszuführen, z. B. auf einen bösartigen Link in einer E-Mail zu klicken oder vertrauliche Informationen anzugeben. Neugier, Sorge um die Sicherheit, der Wunsch, zu gefallen, und der Wunsch, eine Aufgabe gut zu erledigen, werden als Phishing-Köder eingesetzt.

• Spear-Phishing und Aufklärung: Um ihre Phishing-Angriffe zu perfektionieren, können die Betrüger Spear-Phishing einsetzen. Diese gezielte Form des Phishings steckt hinter vielen Angriffen, erfordert jedoch einen höheren Aufwand, da die Betrüger E-Mails erstellen, die die Rolle der Zielperson genau widerspiegeln. Damit Spear-Phishing-E-Mails ein Erfolg werden, führen die Betrüger in der Regel vor der Erstellung der Phishing-Kampagne eine Erkundung des Ziels durch.

Cyber-Kriminelle sind Meister im Schaffen erfolgreicher Phishing Kampagnen und die Statistiken beweisen dies. A Bericht der APWG sagte, dass "nach einer Verdoppelung im Jahr 2020 die Menge der Phishing ist auf einem konstanten, aber hohen Niveau geblieben". Die Elemente eines überzeugenden Phishing-Angriff sind erprobt, getestet und werden von Betrügern geschätzt. Wenn ein Unternehmen diese Elemente versteht, kann es sie wirksamer abwehren.

Wie Sie Ihr Unternehmen gegen Phishing-Angriffe schützen können

Zunehmend werden die Elemente einer erfolgreichen Phishing Angriffe basieren auf der Anwendung von Techniken zur Umgehung herkömmlicher AntiPhishing Technologien wie Inhaltsfilter. Das soll nicht heißen, dass Inhaltsfilter keine Rolle beim Schutz eines Unternehmens vor raffinierten Phishing Kampagnen. Auf sie ist jedoch kein Verlass. Phishing Kampagnen nutzen weiterhin den Menschen in der Maschine, um in ein Unternehmensnetz einzudringen. Wir sollten davon ausgehen, dass sich diese Situation fortsetzen wird, und für Phishing Kampagnenentwickler finden immer Wege, die Technologie zu umgehen. Ein vielschichtiger Ansatz für Phishing Kontrolle besteht darin, Ihren Mitarbeitern die Mittel an die Hand zu geben, um erfolgreiche Phishing. Mit einer Mischung aus Sicherheitsschulungen und dem Einsatz von laufende Phishing-Simulationsübungenist eine Belegschaft darauf vorbereitet, eine Phishing-Mail bevor sie zu einem Einstiegspunkt wird.