Det är sent en fredagskväll på kontoret när du får ett meddelande från vd:n med rubriken "Brådskande överföring behövs ASAP!" Vad gör du?
Detta är ett scenario som alltför många människor känner till i den moderna digitala världen. Tyvärr är det så att phishing-attackerna är kännbara i hela Storbritannien och globalt, och under 2016 har de ökat med hela 65 procent. Detta gör att många organisationer står inför det ökande trycket att skydda och utbilda sina anställda ordentligt om dessa hot. Så vad består ett phishing-e-postmeddelande av? Nedan finns några tips skrivna ur en hackares perspektiv "MataHacky's Guide" om hur man upptäcker ett Phish-meddelande och hur man slår tillbaka!
#1 Det är okej att hålla det generaliserat... men om du är ett riktigt proffs Spear Phish!
När du börjar och riktar dig till flera personer i ett svep är det okej att hålla namngivningen allmän eftersom vi bara letar efter en person att bita på. Till exempel räcker det med "Kära kund" för att inleda med och det kommer ofta att förbises av en intet ont anande idiot som är på språng med sitt hektiska liv. Många av dem kommer inte ens att ifrågasätta att e-postmeddelandet inte är personligt och att du inte tilltalar dem med namn. Det är dock viktigt att notera att i takt med att medvetenheten ökar kommer fler och fler människor att börja se denna generalisering som en hotdetektor. Detta leder oss till den plats där de riktiga pengarna ligger och spelet ändrar tempo - spear phishing! I grund och botten handlar det om att undersöka din måltavla, ta reda på deras namn, arbetsplats och till och med deras chefs namn för att skapa en superövertalande personlig phish!
#2 Skapa en känsla av brådska!
Detta är nyckeln. Du måste skapa rädsla hos publiken. Utan detta kan de titta närmare på andra brister i ditt e-postmeddelande, t.ex. stavfel, och bli försiktiga. Likt en häst ur fällan måste du gå in i den direkt. Att börja med e-postämnet "Brådskande - misstänkt aktivitet på ditt X-konto " brukar vara ett bra sätt att öppna och få deras uppmärksamhet. Kom ihåg att behålla denna nivå av brådska under hela e-postmeddelandet så har du en vinnare. Panik är nyckeln till en bra phish. Tänk på vad som är mest värdefullt, t.ex. uppgifter som kommer att orsaka ekonomisk förödelse eller skam för rykte, placera det i en situation av fara och du kommer garanterat att få ett hugg i luften.
#3 Se upp med stavning och grammatik
Det är sant att om du följer de andra punkterna som jag har listat kan du komma undan med enstaka stavfel eller grammatiska fel... men du måste hålla ett öga på antalet stavfel i din text. En eller två kommer förmodligen att gå obemärkt förbi men den superkänslige phish-spottern kommer inte att låta sig luras så försök att fräscha upp dessa så gott det går. Ett riktigt professionellt företag kommer trots allt inte att ha stavfel i de e-postmeddelanden de skickar till sina kunder.
Å andra sidan kan stavfel hjälpa dig att skapa en perfekt suckerlista. Jag menar, om de faller för ett phishingmejl fullt av stavfel, vad kan de då falla för? Du kan till och med dela dessa suckers kontaktuppgifter med dina hackervänner så att de också kan rikta in sig på dem!
#4 Skapa en riktigt övertygande falsk e-postadress och länkar!
För att se till att dessa idioter nappar på betet och klickar på länken måste du se till att e-postadressen du använder ser legitim ut. Det räcker oftast med ett enda tecken som skiljer sig från den riktiga adressen för att lura dem att klicka på länken. Människor är ofta inte så uppmärksamma på detaljer, så om de ser ett e-postmeddelande från "[email protected]" kommer många att bortse från dessa små misstag. Tillämpa samma idé på dina länkar också! Se till att de ser så verkliga ut som möjligt och du kan komma undan med att bara en liten figur saknas eller läggs till här eller där. Spoofing är en konst så om du vill bli en mästare är det bäst att du börjar öva!
Kom ihåg att 91 % av alla phishing-attacker från företag innehåller falska namn, 30 % öppnas och 12 % av de oskyldiga klickar på länken eller bilagan, så dina chanser att tjäna snabba pengar ser bra ut om du följer mina regler. Lycka till!
En genomsnittlig anställd möter minst ett riskfyllt e-postmeddelande per dag, och e-post kommer enligt prognoserna att förbli den primära målmetoden för de flesta attacker fram till 2020. Under de senaste två åren har bedrägliga länkar som skickats till e-postkonton för företag kostat företagen över två miljarder dollar, och 30 % av kunderna har valt att flytta sina affärer någon annanstans efter ett intrång.
Har du råd att låta din organisation eller till och med ditt personliga konto drabbas av en av dessa attacker? Om svaret är nej kan du vara intresserad av vår kurs Essential Phishing Awareness eLearning som handlar om hur man korrekt identifierar en phish och vad man ska göra när man upptäcker en sådan. Detta kan också kompletteras med vår programvara för simulering av nätfiske "MetaPhish" för att öka dina anställdas känslighet för bedrägliga e-postmeddelanden.
Den största cybersäkerhetsrisken som ditt företag står inför dagligen är de anställdas självbelåtenhet, och nu är det dags att vända på detta. Prata med oss idag för mer information om hur du kan rädda din organisation från en phishing-attack.
