18Aug
Τα νέα είναι γεμάτα από αναφορές για "επιθέσεις δόλιου phishing" που χρησιμοποιούνται εναντίον κυβερνήσεων, μεγάλων εταιρειών και πολιτικών ακτιβιστών.Οι επιθέσεις ηλεκτρονικού "ψαρέματος" είναι τώρα ο πιο συνηθισμένος τρόπος που τα εταιρικά δίκτυα διακυβεύονται, σύμφωνα με πολλές αναφορές.
Το phishing των Spear είναι μια νεότερη και πιο επικίνδυνη μορφή phishing.Αντί να ρίχνει ένα ευρύ δίχτυ με την ελπίδα να παγιδεύει οτιδήποτε, ο δόρυς-phisher χειροκροτεί μια προσεκτική επίθεση και το στοχεύει σε μεμονωμένους ανθρώπους ή σε ένα συγκεκριμένο τμήμα.
Επεξήγηση ηλεκτρονικού "ψαρέματος"( phishing)
Το phishing είναι η πρακτική της παραμονώσεως κάποιον αξιόπιστου να προσπαθήσει να αποκτήσει τις πληροφορίες σας.Για παράδειγμα, ένας phisher μπορεί να στείλει μηνύματα ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας που προσποιούνται ότι προέρχονται από την Bank of America και σας ζητούν να κάνετε κλικ σε έναν σύνδεσμο, να επισκεφθείτε έναν πλαστό ιστότοπο Bank of America( έναν ιστότοπο ηλεκτρονικού "ψαρέματος") και να καταχωρίσετε τα τραπεζικά σας στοιχεία.Το
Phishing δεν περιορίζεται μόνο στο ηλεκτρονικό ταχυδρομείο, ωστόσο.Ένας phisher θα μπορούσε να καταχωρήσει ένα όνομα κουβέντα όπως "Skype Support" στο Skype και να επικοινωνήσει μαζί σας μέσω μηνυμάτων Skype λέγοντας ότι ο λογαριασμός σας ήταν σε κίνδυνο και χρειάζονται τον κωδικό πρόσβασης ή τον αριθμό της πιστωτικής σας κάρτας για να επαληθεύσει την ταυτότητά σας.Αυτό έχει γίνει επίσης σε online παιχνίδια, όπου οι απατεώνες μιμούνται τους διαχειριστές παιχνιδιών και στέλνουν μηνύματα που ζητούν τον κωδικό πρόσβασής σας, τα οποία θα χρησιμοποιούσαν για να κλέψουν τον λογαριασμό σας.Το ηλεκτρονικό "ψάρεμα" θα μπορούσε επίσης να συμβεί μέσω τηλεφώνου.Στο παρελθόν, μπορεί να έχετε λάβει τηλεφωνήματα που ισχυρίζονται ότι προέρχονται από τη Microsoft και λένε ότι έχετε έναν ιό που πρέπει να πληρώσετε για να την καταργήσετε.Το
Phishers γενικά ρίχνει ένα πολύ ευρύ δίκτυο.Ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος της Τράπεζας της Αμερικής μπορεί να σταλεί σε εκατομμύρια ανθρώπους, ακόμα και σε άτομα που δεν έχουν λογαριασμούς της Bank of America.Εξαιτίας αυτού, το ηλεκτρονικό ψάρεμα είναι συχνά αρκετά εύκολο να εντοπιστεί.Αν δεν έχετε σχέση με την Τράπεζα της Αμερικής και λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που ισχυρίζεται ότι είναι από αυτές, θα πρέπει να είναι ξεκάθαρο ότι το ηλεκτρονικό ταχυδρομείο είναι απάτη.Οι Φίλοι εξαρτώνται από το γεγονός ότι, αν έρθουν σε επαφή με αρκετά άτομα, κάποιος θα πέσει τελικά για την απάτη τους.Αυτός είναι ο ίδιος λόγος για τον οποίο εξακολουθούμε να έχουμε μηνύματα ηλεκτρονικού ταχυδρομείου ανεπιθύμητης αλληλογραφίας - κάποιος πρέπει να πέσει για αυτούς ή να μην είναι κερδοφόρος.
Ρίξτε μια ματιά στην ανατομία ενός email phishing για περισσότερες πληροφορίες.
Πώς είναι το Phishing Spear διαφορετικό
Εάν το παραδοσιακό phishing είναι η πράξη να ρίχνουμε ένα ευρύ δίχτυ με την ελπίδα να πιάσουμε κάτι, το δόλωμα phishing είναι η πράξη της προσεκτικής στόχευσης ενός συγκεκριμένου ατόμου ή ενός οργανισμού και η προσαρμογή της επίθεσης σε αυτά προσωπικά.
Ενώ τα περισσότερα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος"( phishing) δεν είναι πολύ συγκεκριμένα, μια επίθεση δόλιου phishing χρησιμοποιεί προσωπικές πληροφορίες για να φανεί πραγματική η απάτη.Για παράδειγμα, αντί να διαβάσετε "Αγαπητέ Κύριε, παρακαλώ να κάνετε κλικ σε αυτόν τον σύνδεσμο για υπέροχο πλούτο και πλούτο" το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να σας πει "Γεια σας Bob, παρακαλούμε να διαβάσετε αυτό το επιχειρηματικό σχέδιο που συντάξαμε κατά τη συνεδρίαση της Τρίτης και να μας πείτε τι πιστεύετε.μπορεί να φαίνεται ότι προέρχεται από κάποιον που γνωρίζετε( ενδεχομένως με μια πλαστή διεύθυνση ηλεκτρονικού ταχυδρομείου, αλλά ενδεχομένως με μια πραγματική διεύθυνση ηλεκτρονικού ταχυδρομείου μετά από το συμβιβασμό του ατόμου σε μια επίθεση phishing) και όχι κάποιον που δεν γνωρίζετε.Το αίτημα είναι πιο προσεκτικά επεξεργασμένο και μοιάζει να μπορεί να είναι νόμιμο.Το μήνυμα ηλεκτρονικού ταχυδρομείου μπορεί να αναφέρεται σε κάποιον που γνωρίζετε, σε μια αγορά που έχετε πραγματοποιήσει ή σε άλλο στοιχείο προσωπικών πληροφοριών.
Οι επιθέσεις ηλεκτρονικού "phishing" σε στόχους υψηλής αξίας μπορούν να συνδυαστούν με εκμετάλλευση μηδενικών ημερών για μέγιστη ζημιά.Για παράδειγμα, ένας απατεώνας θα μπορούσε να στείλει μήνυμα ηλεκτρονικού ταχυδρομείου σε ένα άτομο σε μια συγκεκριμένη επιχείρηση λέγοντας "Hi bob, παρακαλώ να ρίξετε μια ματιά σε αυτή την επιχειρηματική έκθεση;Η Jane είπε ότι θα μας δώσετε κάποιο σχόλιο "με μια νόμιμη διεύθυνση ηλεκτρονικού ταχυδρομείου.Ο σύνδεσμος θα μπορούσε να μεταβεί σε μια ιστοσελίδα με ενσωματωμένο περιεχόμενο Java ή Flash που εκμεταλλεύεται την μηδενική ημέρα για να θέσει σε κίνδυνο τον υπολογιστή.(Η Java είναι ιδιαίτερα επικίνδυνη, καθώς οι περισσότεροι άνθρωποι έχουν ξεπερασμένες και ευάλωτες προσθήκες Java.) Μόλις ο υπολογιστής τεθεί σε κίνδυνο, ο εισβολέας μπορεί να έχει πρόσβαση στο εταιρικό του δίκτυο ή να χρησιμοποιήσει τη διεύθυνση ηλεκτρονικού ταχυδρομείου του για να ξεκινήσει στοχευμένες επιθέσεις δόλιου phishing έναντι άλλων ατόμωνοργάνωση.
Ένας scammer θα μπορούσε επίσης να επισυνάψει ένα επικίνδυνο αρχείο που είναι μεταμφιεσμένο να μοιάζει με ένα αβλαβές αρχείο.Για παράδειγμα, ένα ηλεκτρονικό ταχυδρομείο ηλεκτρονικού ψαρέματος δόλωσης μπορεί να έχει ένα αρχείο PDF που είναι στην πραγματικότητα ένα αρχείο. exe επισυνάπτεται.
Ποιος χρειάζεται να ανησυχεί πραγματικά
Οι επιθέσεις phishing κατά των κλοπών χρησιμοποιούνται κατά μεγάλων εταιρειών και κυβερνήσεων για την πρόσβαση στα εσωτερικά τους δίκτυα.Δεν γνωρίζουμε για κάθε εταιρεία ή κυβέρνηση που έχει υποστεί βλάβη από επιτυχημένες επιθέσεις δόλιου phishing.Οι οργανώσεις συχνά δεν αποκαλύπτουν τον ακριβή τύπο επίθεσης που τους έθεσε σε κίνδυνο.Δεν τους αρέσει καν να παραδεχτούν ότι έχουν χάσει καθόλου.
Μια γρήγορη αναζήτηση αποκαλύπτει ότι οι οργανώσεις, όπως ο Λευκός Οίκος, το Facebook, η Apple, το Υπουργείο Άμυνας των ΗΠΑ, οι New York Times, η Wall Street Journal και το Twitter, έχουν πιθανώς να τεθούν υπό αμφισβήτηση από επιθέσεις δόλιου phishing.Αυτά είναι μόνο λίγες από τις οργανώσεις που γνωρίζουμε ότι έχουν τεθεί σε κίνδυνο - η έκταση του προβλήματος είναι πιθανότατα πολύ μεγαλύτερη.
Εάν ένας επιτιθέμενος θέλει πραγματικά να θέσει σε κίνδυνο έναν στόχο υψηλής αξίας, μια επίθεση με δόλωμα-δόλωμα - ίσως σε συνδυασμό με μια νέα εκμετάλλευση μηδενικής ημέρας που αγοράστηκε στη μαύρη αγορά - είναι συχνά ένας πολύ αποτελεσματικός τρόπος για να γίνει αυτό.Οι επιθέσεις τύπου phishing φωνής αναφέρονται συχνά ως αιτία όταν παραβιάζεται ένας στόχος υψηλής αξίας.
Προστατεύστε τον εαυτό σας από το Phishing των Spear
Ως άτομο, είναι λιγότερο πιθανό να είστε ο στόχος μιας τόσο εξελιγμένης επίθεσης από τις κυβερνήσεις και τις τεράστιες εταιρίες.Εντούτοις, οι επιτιθέμενοι ενδέχεται να προσπαθήσουν να χρησιμοποιήσουν εναντίον σας τακτική δόλιου phishing με την ενσωμάτωση προσωπικών πληροφοριών σε ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος"( phishing).Είναι σημαντικό να συνειδητοποιήσουμε ότι οι επιθέσεις ηλεκτρονικού "ψαρέματος" γίνονται πιο εξελιγμένες.
Όταν πρόκειται για phishing, θα πρέπει να είστε προσεκτικοί.Διατηρήστε το λογισμικό σας ενημερωμένο, ώστε να προστατεύεστε καλύτερα από το να θέσετε σε κίνδυνο εάν κάνετε κλικ σε συνδέσμους στα μηνύματα ηλεκτρονικού ταχυδρομείου.Να είστε ιδιαίτερα προσεκτικοί κατά το άνοιγμα αρχείων που επισυνάπτονται στα μηνύματα ηλεκτρονικού ταχυδρομείου.Προσέξτε τα ασυνήθιστα αιτήματα για προσωπικές πληροφορίες, ακόμη και αυτά που φαίνεται να είναι νόμιμα.Μην επαναχρησιμοποιείτε κωδικούς πρόσβασης σε διαφορετικούς ιστότοπους, μόνο σε περίπτωση που βρεθεί ο κωδικός πρόσβασης.
Οι επιθέσεις ηλεκτρονικού "ψαρέματος" προσπαθούν συχνά να κάνουν πράγματα που οι νόμιμες επιχειρήσεις δεν θα κάνουν ποτέ.Η τράπεζά σας δεν θα σας στείλει ποτέ μήνυμα ηλεκτρονικού ταχυδρομείου και θα σας ζητήσει τον κωδικό πρόσβασής σας, μια επιχείρηση από την οποία αγοράσατε αγαθά δεν θα σας στείλει ποτέ μήνυμα ηλεκτρονικού ταχυδρομείου και θα σας ζητήσει τον αριθμό της πιστωτικής σας κάρτας και ποτέ δεν θα λάβετε ένα άμεσο μήνυμα από έναν νόμιμο οργανισμό που σας ζητάει τον κωδικό πρόσβασής σαςή άλλες ευαίσθητες πληροφορίες.Μην κάνετε κλικ σε συνδέσμους στα μηνύματα ηλεκτρονικού ταχυδρομείου και δίνετε ευαίσθητα προσωπικά στοιχεία, ανεξάρτητα από το πόσο πειστικό είναι το ηλεκτρονικό ταχυδρομείο ηλεκτρονικού "ψαρέματος"( phishing)
Όπως όλες οι μορφές ηλεκτρονικού ψαρέματος( phishing), το δόλωμα-phishing είναι μια μορφή επίθεσης κοινωνικής μηχανικής που είναι ιδιαίτερα δύσκολο να αμυνθεί.Το μόνο που χρειάζεται είναι να κάνει ένα λάθος ένα άτομο και οι επιτιθέμενοι θα έχουν δημιουργήσει ένα δίκτυο στο δίκτυό σας.
Πιστωτική Εικόνα: Φλόριντα Ψάρια και Άγρια Ζωή στο Flickr
