18Aug
Naujienose yra daug pranešimų apie "atakas už ietis", naudojamą vyriausybėms, didelėms korporacijoms ir politiniams veikėjams. Pasak daugelio ataskaitų, šiuo metu labiausiai paplitęs korupcijos tinklų keliamas pavojus yra smurto išpuolių veiksmai.
"Spear-phishing" yra nauja ir labiau pavojinga phishing forma. Vietoj to, kad išmėgintų plačią tinklą, norėdamas nieko gaudyti, "ietis-žudikas" atlieka atsargų išpuolį ir siekia jį atskiriems žmonėms ar konkrečiam departamentui.
Paaiškinimas apie sukčiavimą
"sukčiavimas" - tai piktnaudžiavimas asmeniu, kuris gali būti patikimas bandant gauti jūsų informaciją.Pavyzdžiui, "phisher" gali siųsti nepageidaujamų laiškų elektroninius laiškus, kurie apsimetinėja "Bank of America", prašydami paspausti nuorodą, aplankyti padirbtą "Bank of America" svetainę( sukčiavimo svetainę) ir įvesti savo banko duomenis. Tačiau "
" sukčiavimas neapsiriboja tik elektroniniu paštu."Phisher" galėtų užregistruoti "Skype" pokalbio pavadinimą, pavyzdžiui, "Skype" palaikymą, "Skype" ir su jumis susisiekti per "Skype" pranešimus, sakydamas, kad jūsų paskyra buvo pažeista ir jiems reikia jūsų slaptažodžio ar kredito kortelės numerio, kad patvirtintumėte jūsų tapatybę.Tai taip pat buvo padaryta internetiniuose žaidimuose, kur sukčiai įsivaizduoja žaidimų administratorius ir siunčia pranešimus, kuriuose prašoma jūsų slaptažodžio, kurį jie naudotų jūsų paskyrai pavogti. Sukčiavimas taip pat gali įvykti per telefoną.Anksčiau galbūt gavote telefono skambučius, kurie teigia esą iš "Microsoft" ir sako, kad turite virusą, kurį turite sumokėti pašalinti.
"Phishers" dažniausiai išleido labai platų tinklą.Amerikos banko sukčiavimo el. Laiškas gali būti išsiųstas milijonams žmonių, netgi tų, kurie neturi Banko Amerikos sąskaitų.Dėl to piktnaudžiavimas dažnai yra gana lengvas. Jei neturite ryšių su Bank of America ir gaukite el. Laišką, kuriame reikalaujama, kad jis būtų iš jų, turėtų būti aišku, kad el. Laiškas yra sukčiavimas. Sukčiavimai priklauso nuo to, kad, jei jie susisieks pakankamai žmonių, kažkas galiausiai pateks į jų sukčiavimą.Tai yra ta pati priežastis, dėl kurios mes vis dar turime šlamšto el. Laiškus - ten kažkas turi būti už juos nukreiptas arba jie nebus pelningi.
Pažiūrėkite į piktogramų anatomiją, kad gautumėte daugiau informacijos.
Kaip skiriasi kirminų filmas
Jei tradicinis sukčiavimasis yra plačiai paplitęs tinklas, nes tikisi kažko gaudyti, pirštų keitimas yra akivaizdus nukreipimas į konkretų individą ar organizaciją ir pritaikymas jiems asmeniškai.
Nors dauguma sukčiavimo elektroninių laiškų nėra labai specifiniai, auka užpulsta ataka naudoja asmeninę informaciją, kad sukčiai atrodytų tikri. Pvz., Užuot skaitydami "Gerbiamasis pone, spustelėkite šią nuorodą pasakytam turtui ir turtui", el. Laiškas gali pasakyti "Labas Bobas, prašome perskaityti šį verslo planą, kurį parengėme antradienio susitikime, ir praneškite mums, ką jūs manote." El.gali pasirodyti iš žinomo asmens( galbūt su suklastotu el. pašto adresu, bet galbūt su tikru el. pašto adresu, kai asmuo buvo pažeistas dėl sukčiavimo), o ne kažkas, kurio nežinote. Prašymas yra kruopščiau paruoštas ir atrodo, kad tai gali būti teisėtas. El. Laiškas gali būti skirtas žinomam asmeniui, jūsų atliktam pirkimui ar kitai asmeninei informacijai.
Greitojo fiksavimo atakai didelės vertės tikslams gali būti derinami su nulinio dienos išnaudojimu, kad būtų galima kuo daugiau žalos. Pavyzdžiui, "Scammer" gali išsiųsti el. Laišką konkrečiam asmeniui konkrečiam verslui: "Labas Bobas, ar galėtumėte susipažinti su šia verslo ataskaita? Jane pasakė, kad suteikiate mums tam tikrų atsiliepimų. "Su teisėtu išvaizda el. Pašto adresu. Nuoroda gali nukreipti į tinklalapį su įterptu Java arba "Flash" turiniu, kuris naudoja nulinę dieną, kad pakenktų kompiuteriui.(Java yra ypač pavojinga, nes dauguma žmonių yra įdiegę pasenusius ir pažeidžiamus "Java" papildinius.) Kai kompiuteris bus pažeistas, užpuolikas gali pasiekti savo korporacinį tinklą arba naudoti savo el. Pašto adresą, kad būtų pradėtos tikslinės atakuojančios šnipinėjimo programos kitiems asmenimsorganizacija.
Scammer taip pat gali pridėti pavojingą failą, kuris yra paslėptas, kad atrodytų nekenksmingas failas. Pavyzdžiui, elektroninio pašto spąstai gali būti PDF failas, kuris iš tikrųjų yra pridėtas. exe failas.
Kas iš tikrųjų turi kelti nerimą
"Spąstai-phishing" išpuoliai yra naudojami prieš dideles korporacijas ir vyriausybes, norint pasiekti savo vidinius tinklus. Mes nežinome apie kiekvieną korporaciją ar vyriausybę, kuriam buvo padarytas pavojus sėkmingai užpulsti antspaudu. Organizacijos dažnai neatskleidžia tikslios atakos rūšies, kuri jas pažeidė.Jie netgi nori prisipažinti, kad jie visais nusižudyti.
Greita paieška rodo, kad visoms organizacijoms, įskaitant "White House", "Facebook", "Apple", JAV gynybos departamentą, "The New York Times", "Wall Street Journal" ir "Twitter", visų pirma tikėtina, kad jie sukėlė pavojų atakuojantiems atakas. Tai tik keletas iš mūsų žinomų organizacijų buvo pažeista - problemos mastas gali būti daug didesnis.
Jei užpuolikas tikrai nori pakenkti didelės vertės tikslui, dažnai tai yra labai efektyvus būdas surinkti antspaudų ataką - galbūt kartu su naujuoju "zero-day" naudojimu, įsigytu juodojoje rinkoje. Greitojo fiksavimo išpuoliai dažnai minimi kaip priežastis, kai yra pažeistas didelio vertės tikslas.
Apsaugokite save nuo piktybiško filmo "
" Kaip individas, jūs mažiau tikėtina, kad būsite tokio sudėtingo ataka, nei vyriausybės ir masinės korporacijos. Tačiau užpuolikai gali vis tiek stengtis pasinaudoti šnipinėjimo taktika, įtraukdami asmeninę informaciją į sukčiavimo elektroninius laiškus. Svarbu suprasti, kad sukčiavimo išpuoliai tampa vis sudėtingesni.
Kalbant apie sukčiavimą, turite būti budrus. Laikykite savo programinę įrangą naujausia, kad galėtumėte geriau apsaugoti nuo kompromiso, jei spustelėsite nuorodas el. Paštu. Būkite atsargūs atidarę failus, pridedamus prie el. Laiškų.Saugokitės neįprastų asmeninės informacijos prašymų, netgi tų, kurie atrodo taip, tarsi jie būtų teisėti. Negalima pakartotinai naudoti slaptažodžių skirtingose svetainėse, tik tuo atveju, jei jūsų slaptažodis išeis.
Pavojingos atakos dažnai stengiasi daryti tai, ką teisėtos įmonės niekada nepadarys. Jūsų bankas niekada nebus atsiųs jums el. Laiško ir paprašys jūsų slaptažodžio, įmonė, iš kurios įsigijote prekes, niekada nebus atsiųs jums el. Laiško ir paprašys jūsų kredito kortelės numerio, o jūs niekada negausite teisėtos organizacijos trumpąją žinutę, kurioje prašysite savo slaptažodį.ar kita slapta informacija. Nespauskite nuorodų el. Laiškuose ir nesuteikite jautrios asmeninės informacijos, nesvarbu, kaip įtikinėjanti sukčiavimo el. Laišką ir sukčiavimo svetainę.
Kaip ir visos phishing-out rūšys, ietis-phishing yra socialinės inžinerijos ataka, kurią ypač sunku apginti. Viskas, ko reikia, yra vienas žmogus, suklydęs klaidą, ir užpuolikai įtvirtins savo tinklą.
Image Credit: "Florida Fish and Wildlife" dėl "Flickr
"