Phishing kaikissa muodoissaan, haitallisista sähköpostiviesteistä SMS-phishingiin (tekstiviestipyynnöt), sosiaalisessa mediassa tapahtuvaan phishingiin ja Vishingiin (puhelinsoittopyynnöt), on nykyään osa organisaation jokapäiväistä elämää.
Tietokalastussähköpostit ovat kuitenkin ylivoimaisesti yleisin tietojenkalastelumuoto.
Mitä ovat phishing-sähköpostit (phishing email)?
Phishing-sähköpostit ovat vilpillisiä viestejä, joita verkkorikolliset lähettävät laillisina tahoina esiintyen ja joiden tarkoituksena on huijata vastaanottajia luovuttamaan arkaluonteisia tietoja tai suorittamaan haitallisia toimia, kuten napsauttamaan haitallisia linkkejä tai lataamaan haittaohjelmia.
Ciscon "2021 Cybersecurity Threat Trends Report" -tutkimuksen mukaan noin 90 prosenttia tietomurroista alkaa phishing-sähköpostilla. Huolestuttavaa on, että raportin mukaan 86 prosentissa organisaatioista ainakin yksi henkilö klikkaa phishing-linkkiä. Mutta tietysti vain yksi klikkaus riittää siihen, että saatetaan saada lunnasohjelmatartunta tai altistua arkaluonteisille tiedoille jne.
Tietoverkkoriskien vähentämisessä auttaa se, että ymmärrät, millaisia taktiikoita käytetään eräissä yleisimmissä phishing-sähköpostihyökkäyksissä ja miten työntekijät voivat välttää niitä. Seuraavassa on viisi esimerkkiä phishing-sähköpostiviesteistä ja siitä, miten estetään työntekijöitä ottamasta riskejä.
Väärennetty lasku huijaus
Väärennetyt laskut ovat huijareiden suosikkihuijaus. Huijarit lähettävät sähköpostiviestejä, jotka sisältävät väärennettyjä laskuja, ja toivovat saavansa tietämättömän työntekijän kiinni. Jos väärennetty lasku maksetaan tai jos huijarille tehdään laskuun liittyvä kysely, rahat tai henkilötiedot todennäköisesti varastetaan.
Fishing-sähköpostiviestien sisältämien laskujen tyyppi vaihtelee, mutta esimerkkejä ovat seuraavat:
Tietoturvatuotteiden, kuten virustorjuntaohjelmistojen, laskutus.
- Erääntyneet laskut väärennetyiltä toimittajilta
- Verkkotunnuksen maksun päättymissähköpostit, joissa varoitetaan, että jos et toimi, verkkosivustosi ja sähköpostisi eivät ole käytettävissä.
- Rahankerääjät ja hyväntekeväisyysjärjestöjen laskut, joissa usein tarjotaan mainospaikkaa tai artikkelia hyväntekeväisyysjulkaisussa.
- Business Email Compromise (BEC) on erittäin kehittynyt ja kohdennettu väärennettyjen laskujen huijausten muoto.
Miten välttää väärennettyjä laskujen huijauksia?
Laskuhuijaukset voivat olla hyvin kehittyneitä, ja huijarit kohdistuvat tiettyihin henkilöihin, kuten kirjanpidossa työskenteleviin tai talousjohtajiin. Sähköpostiviestit näyttävät aidoilta ja sisältävät usein kiireellisen "maksa nyt tai kärsi seurauksista" -tyyppisen viestin.
Käytä simuloitua phishing-koulutusta, joka tarjoaa roolipohjaista koulutusta, jotta voit kohdistaa sen käyttäjiin, jotka ovat suurimmassa vaarassa joutua väärennettyjen laskujen huijausten kohteeksi. Rooliin perustuvien phishing-simulaattoreiden avulla voit räätälöidä simuloidut phishing-kampanjat vastaamaan tosielämän haasteita, joita tietyt osastot ja henkilöstö kohtaavat.
Väärennetyt teknisen tuen sähköpostit
Kiireen tunteen luominen ja sääntöjen noudattaminen ovat kaksi huijareiden käyttämää manipulointitekniikkaa, joilla he huijaavat työntekijöitä klikkaamaan haitallisia linkkejä tai lataamaan saastuneita liitetiedostoja. Esimerkki tällaisesta käyttäytymisen manipuloinnista on phishing-sähköpostiviesteissä, jotka teeskentelevät olevansa teknisen tuen lähettämiä.
Alla olevassa esimerkissä henkilöstöä kehotetaan siirtymään uuteen verkkoportaaliin, josta se pääsee käsiksi tärkeisiin henkilökohtaisiin ja yritystietoihin - myös palkkatietoihin. Sähköpostiviestissä muistutetaan henkilöstöä siitä, että heillä on vain 24 tuntia aikaa noudattaa sääntöjä.
Sähköposti sisältää linkin haitalliselle verkkosivustolle. Jos työntekijä napsauttaa linkkiä ja siirtyy verkkosivustolle, häntä pyydetään syöttämään olemassa olevat kirjautumistiedot ja henkilötiedot. Jos hän tekee niin, nämä tiedot varastetaan, ja huijarit käyttävät kirjautumistietoja kirjautuakseen sisään varsinaiseen portaaliin.
Miten välttää väärennettyjä teknisen tuen sähköposteja?
Tämäntyyppiset yleiset spekulatiiviset phishing-sähköpostiviestit ovat riskialttiita koko henkilöstölle. Yleisen tietoturvatietoisuuskoulutuksen avulla olisi koulutettava kaikkia työntekijöitä kaikilla osastoilla siitä, miten verkossa voi olla turvassa.
Koulutus siitä, miten verkkorikolliset manipuloivat ihmisten käyttäytymistä, on ratkaisevan tärkeää koulutettaessa työntekijöitä huijareiden käyttämistä taktiikoista phishing-sähköposteja luotaessa. Tehokkaissa tietoturvatietoisuuskoulutusohjelmissa käytetään tarpeen mukaan tapahtuvaa oppimista, jossa käytetään tilaisuuksia huonon tietoturvakäyttäytymisen uudelleenkouluttamiseen.
Yleistä tietoturvatietoisuuskoulutusta olisi käytettävä yhdessä simuloitujen tietojenkalasteluharjoitusten kanssa, joissa käsitellään erityisesti tämäntyyppisiä tietojenkalasteluhyökkäyksiä. Tämä tarkoittaa sähköpostiviestejä, jotka näyttävät olevan sisäisiltä osastoilta ja joissa käytetään taktiikoita, kuten kiireellisyyttä ja kurinpidon uhkaa, jos niihin ei tartuta.
Verohuijaukset
Verohuijaukset lisääntyvät usein verokauden aikana, mutta niitä voi tapahtua milloin tahansa. Usein näissä sähköposteissa tarjotaan veronpalautusta. HMRC toteaa kuitenkin nimenomaisesti verkkosivuillaan: "HMRC ei koskaan lähetä sähköpostitse ilmoituksia veronpalautuksista tai veronpalautuksista".."
Verohuijaussähköpostit ovat tyypillisesti realistisen näköisiä ja usein hyvin koostettuja. Huijaajat käyttävät HMRC:n logoa ja siihen liittyvää tuotemerkkiä saadakseen phishing-sähköpostit näyttämään laillisilta. Sähköpostiviestissä on yleensä linkki HMRC:n Gateway-kirjautumissivulle. Verkkosivu, jolle linkki johtaa, on väärennetty verkkosivusto, jota käytetään tietojen keräämiseen ja niiden lähettämiseen huijauksen takana oleville huijareille. Joskus nämä verkkosivustot sisältävät myös haittaohjelmia, ja kuka tahansa, joka navigoi kyseiselle verkkosivustolle, voi päätyä saastuneeseen laitteeseen.
Miten välttää verohuijauksia
Verohuijaukset voivat olla kohdentamattomia ja ne voidaan lähettää kenelle tahansa organisaatiossa. Tehokkaimmat verohuijaukset lähetetään kuitenkin tietyille talousosastojen työntekijöille. Vaikka onkin tärkeää sisällyttää verohuijaukset kaikille suunnattuihin simuloituihin phishing-harjoituksiin, sinun olisi myös keskityttävä kouluttamaan kaikkia talousosaston työntekijöitä niistä. Kouluttakaa verokauden kynnyksellä työntekijöitä, erityisesti talousosaston työntekijöitä, jotta he ovat valmiita näiden phishing-sähköpostien todennäköiseen hyökkäykseen.
"Sähköpostitili ongelma" phishing email
Oletetaan, että työntekijä saa kiireelliseltä kuulostavan sähköpostiviestin, jossa hänelle ilmoitetaan, että hänen sähköpostitilinsä on keskeytymässä tai että se on päivitettävä kiireellisesti. Tällöin hän saattaa tuntea itsensä pakotetuksi klikkaamaan linkkiä "ongelman" korjaamiseksi. Tämä sähköposti voi kuitenkin olla phishing-huijaus, joka johtaa varastettuihin tunnuksiin.
Alla olevassa phishing-sähköpostiesimerkissä näkyy, miten Microsoftin tuotemerkkiä on käytetty lisäämään painoarvoa väitteelle, jonka mukaan käyttäjän sähköpostitili on vaarassa. Sähköpostissa oleva linkki on haitallinen ja vie käyttäjän verkkosivustolle, joka näyttää Microsoft Office 365:n kirjautumissivulta.
Microsoft on usein viiden eniten väärennettyjen tuotemerkkien joukossa, joita käytetään phishing-viesteissä. Ciscon mukaan viisi suurinta väärennettyä tuotemerkkiä vuoden 2022 ensimmäisellä neljänneksellä ovat:
- LinkedIn (liittyy 52 prosenttiin kaikista phishing-hyökkäyksistä maailmanlaajuisesti).
- DHL (14 %)
- Google (7 %)
- Microsoft (6 %)
- FedEx (6 %)
Kuinka välttää "Microsoft Email Problem" -phishing-sähköposti
Huijarit käyttävät usein Microsoftia ja muita tunnettuja tuotemerkkejä antaakseen työntekijöille väärän turvallisuuden tunteen. Tuotemerkkiuskollisuutta ja luottamusta käytetään varmistamaan, että uhrit tarttuvat sähköpostiviestiin ja napsauttavat haitallista linkkiä. Simuloitujen phishing-harjoitusten avulla työntekijät voidaan opettaa varomaan merkkisähköposteja, jotka sisältävät käyttäytymisen manipulointitaktiikoita, kuten kiireellisyyttä.
Google Docs huijaus
Yritykset käyttävät säännöllisesti Google docsia asiakirjojen ja ideoiden tallentamiseen ja yhteistyöhön kollegoiden kanssa. Vuonna 2020 Googlen GSuite-palveluun oli liittynyt yli 6 miljoonaa yritystä. Nämä lukuisat käyttäjät tekevät Googlesta halutun kohteen huijareille.
Äskettäinen uudenlainen phishing-pohjainen hyökkäys, jossa GSuitea käytetään kohteen koukuttamiseen, osoittaa, kuinka innovatiivisia hakkerit voivat olla. Tässä huijauksessa huijari luo Google-dokumentin ja kommentoi sitä @-merkinnällä kohdistaakseen hyökkäyksen tiettyyn käyttäjään. Tämä saa Googlen lähettämään kohteen postilaatikkoon ilmoituksen kommentista. Googlen sähköposti on aito, mutta siihen on upotettu kommentti. Tämä kommentti sisältää yleensä haitallisia linkkejä, joita napsauttamalla työntekijä siirtyy haitalliselle verkkosivustolle.
Google on hiljattain päivittänyt kommentit niin, että ihmiset näkevät, kuka kommentin on jättänyt. Huijaajat päivittävät kuitenkin jatkuvasti taktiikkaansa, ja uusi GSuite-huijaus saattaa ilmestyä pian.
Miten välttää GSuite Comment (ja vastaavia) huijauksia?
Taitavasti naamioidut phishing-sähköpostit voivat käyttää apuna laillisia sähköposteja ja vastaavia palveluja, kuten GSuite-kommenttihuijaus. Näiden hienostuneiden huijausten vuoksi työntekijöiden on vaikea tunnistaa huijausta.
Turvallisuustietoisuuskoulutuksessa olisi otettava huomioon yrityksen käytännöt, mukaan lukien pilvipohjaisten asiakirjavarastojen käyttö ja se, kuka voi tehdä yhteistyötä yrityksen asiakirjojen kanssa ja kuka ei. Kun toteutat tietoturvakoulutusta, varmista, että sinulla on uusimmat huijaustiedot ja että sisältö vastaa uusimpia huijauksia.
Käytä tietoturvatietoisuuskoulutusta ja simuloitua phishing-alustaa, joka tarjoaa erinomaista tukea koulutusohjelmien rakentamiseen, jotka ovat roolipohjaisia ja jotka tarjoavat useita kieliä ja esteettömyystuen.
On myös tärkeää tiedostaa, että petostentekijät muuttavat säännöllisesti taktiikkaansa välttääkseen paljastumisen. Siksi on tärkeää järjestää säännöllisesti tietoturvatietoisuuskoulutusta ympäri vuoden.