Gli elementi di un attacco di phishing convincente

Cassie Chadwick era un truffatore al volgere del 20° secolo. Chadwick ha commesso una prima versione di furto d'identità per realizzare una frode telematicaconvincendo le banche che lei era la figlia illegittima di Andrew Carnegie a prendere prestiti contro questa pretesa. Nel 1905, Cassie fu condannata a dieci anni di prigione per aver frodato una banca. Successo truffecome quello di Chadwick, diventano leggenda. Nel corso dei secoli, i truffatori hanno usato ingegneria sociale e simili truffe per accumulare grandi somme di denaro ingannando i loro obiettivi. Oggi, i truffatori usano le comunicazioni moderne come la posta elettronica per realizzare truffe. Tuttavia, hanno ancora bisogno di usare gli elementi di una storia convincente per assicurarsi che un e-mail diphishing inganna con successo il suo destinatario. Ecco gli elementi di un convincente attaccophishing.

Perché concentrarsi sugli attacchi di phishing?

Phishing Gli attacchi sono stati in giro dal primi giorni di email. Questo ha senso perché l'email può essere usata come punto di connessione tra un hacker e la rete aziendale; un gateway di comunicazione che può aprire quella rete aiutando a rubare passwords, nomi utente e indirizzi e-mail o consegnare malware. Phishing rimane il "vettore di attacco più comune" secondo l'ultima ricerca del governo britannico presentata nel rapporto "Sondaggio sulle violazioni dellasicurezzainformatica 2021". Il motivo per cui si continua a usare phishing è perché continua ad avere un grande successo con fino a 32% dei dipendenti che cliccano su un link di phishing via e-mail e fino all'8% non sa nemmeno cosa sia un e-mail diphishing è. Un singolo dipendente che clicca su un e-mail diphishing poi inserendo il login credenziali mette l'intera azienda a rischio di una violazione dei dati o di un'infezione da malware. Anche i dipendenti con privilegi di accesso inferiori possono comunque portare a escalation di privilegi e violazioni di dati. Phishing è un punto di attacco principale, e come tale, criminali informatici mettere lo sforzo di rendere questo vettore d'attacco convincente per garantire il successo.

Elementi di successo per i dipendenti del phishing

Per eseguire con successo il phishing di un dipendente, un truffatore deve assicurarsi che l'intero phishing campagna è convincente dal look and feel dell'e-mail, fino a qualsiasi sito di spoofing che il phishing i link portano il dipendente a. Gli elementi di un convincente phishing Le campagne sono sempre più sofisticate e coinvolgono:

Impersonificazione del marchio

Il brand spoofing è stato utilizzato fin dall'avvento del e-mail phishing. Alcune marche sono popolari con le aziende, e sono costantemente utilizzate per ingannare destinatari a credere che l'e-mail sia legittima e a consegnare le loro informazioni personali. Check Point svolge regolarmente ricerche sulle marche più popolari che vengono utilizzate come base per phishing campagne. Uno dei marchi più spoofati nel 2021 è stato Microsoft, il marchio è stato utilizzato in circa il 45% delle phishing campagne nel secondo trimestre del 2021.

URLcanaglia, lunghi e reindirizzati

Passare il mouse su un link in una e-mail non è sempre un modo sicuro per individuare un link dannoso. Recentemente, i truffatori hanno iniziato ad usare "rogue URLper mascherare la natura maligna di un phishing link. Questo tipicamente implica nascondere il vero indirizzo di un link usando caratteri speciali. A URL L'encoder è usato per cambiare un URL aggiungendo segni di percentuale, cioè iniziando un URL con un carattere % per nascondere la vera natura di un indirizzo web. Questi URL sono accettati da Google, quindi è difficile da impedire utilizzando filtri di contenuto statico. Molto lungo URL sono anche utilizzati per mascherare un indirizzo web dannoso. I link delle e-mail sui dispositivi mobili sono notoriamente difficili da vedere, e molto lunghi URL stanno rendendo ancora più difficile individuare i link sospetti. L'uso di link multipli e reindirizzamenti è anche usato per confondere gli utenti. A recente campagna di phishing multi-redirect ha portato gli utenti attraverso una serie di reindirizzamenti, finendo in una pagina di Google reCaptcha che poi finalmente reindirizzava a una pagina di Office 365 fasulla dove il login credenziali sono stati rubati.

Falsi segnali di sicurezza

La gente non può più fare affidamento sull'uso di segnali di sicurezza per indicare che un sito web è affidabile. Per esempio, il simbolo del lucchetto che si vede su alcuni siti web ed è associato alla S alla fine di HTTP, cioè, HTTPS. Questo indica che un sito web utilizza un certificato digitale (certificato SSL) come segnale che è un sito sicuro. Tuttavia, il Gruppo di lavoro anti-Phishing (APWG) ha identificato che l'82% dei phishing siti hanno usato un certificato SSL nel Q2 del 2021.

Trucchi diingegneria sociale

Tutte le tattiche di cui sopra sono supportate da diverse tattiche ben collaudate ingegneria sociale trucchi che catturano i dipendenti, spostandoli al livello successivo del gioco della campagna dei phisher. È il ingegneria sociale aspetto di phishing che permette criminali informatici dietro la campagna per dare il via al processo che finisce in ransomware, violazioni di dati e altri tipi di cyber attacchi. Ingegneria sociale è un termine generico che utilizza una varietà di tecniche per manipolare il comportamento dei dipendenti; i metodi tipici includono:

• Urgenza: un' email o un messaggio di testo di phishing potrebbe usare una richiesta urgente di eseguire un compito. Il Business Email Compromise (BEC) che applica componenti di phishing nell'attacco usa spesso questo trucco. Un esempio è un'email fasulla che può sembrare provenire da un dirigente di alto livello con una richiesta urgente di trasferire denaro a un nuovo cliente o rischiare di perdere il cliente.

• Altri inneschi emotivi: i truffatori giocano con le emozioni delle persone per far loro eseguire compiti come cliccare su un link dannoso in una e-mail o fornire informazioni sensibili. La curiosità, la preoccupazione per la sicurezza, il desiderio di compiacere e il desiderio di fare bene un lavoro, sono tutti usati come esche di phishing.

• Spear phishing e ricognizione: per perfezionare i loro attacchi di phishing, i truffatori possono utilizzare lo spear phishing. Questa forma mirata di phishing è alla base di molti attacchi, ma richiede uno sforzo maggiore da parte dei truffatori che creano email che riflettono da vicino il ruolo dell'individuo preso di mira. Per fare in modo che le email di spear phishing abbiano successo, i truffatori in genere effettuano una ricognizione dell'obiettivo prima di creare la campagna di phishing.

I criminali informatici sono maestri nella creazione di successo phishing campagne e le statistiche lo dimostrano. A relazione dell'APWG ha detto che "dopo il raddoppio nel 2020, la quantità di phishing è rimasto a un livello costante ma alto". Gli elementi di un convincente attaccophishing sono provati, testati e di cui i truffatori si fidano. Comprendendo questi elementi un'organizzazione può mitigarli più efficacemente.

Come difendere la tua organizzazione da un attacco diphishing

Sempre più spesso, gli elementi di un successo phishing Gli attacchi si basano sull'applicazione di tecniche per eludere l'antiphishing tecnologie come i filtri di contenuto. Questo non significa che i filtri di contenuto non giocano un ruolo nella protezione di un'azienda contro sofisticati phishing campagne. Tuttavia, non ci si può fidare di loro. Phishing Le campagne continuano a usare l'uomo nella macchina come via d'accesso a una rete aziendale. Dobbiamo aspettarci che questa situazione continui, e per phishing gli sviluppatori di campagne per trovare sempre modi per aggirare la tecnologia. Un approccio stratificato per phishing Il controllo è quello di dare alla vostra forza lavoro gli strumenti per prevenire il successo phishing. Utilizzando un mix di formazione sulla consapevolezza della sicurezza accoppiato con l'uso di esercizi di simulazione di phishing in corsouna forza lavoro è preparata per individuare un e-mail diphishing prima che diventi un punto di ingresso.