Phishing Awareness: Paano Ito Nangyayari At Paano Ito Pipigilan
Bakit Gumagamit ang Mga Kriminal ng Phishing Attack?
Ano ang pinakamalaking kahinaan sa seguridad sa isang organisasyon?
Mga tao!
Sa tuwing gusto nilang makahawa sa isang computer o makakuha ng access sa mahalaga impormasyon tulad ng mga account number, password, o PIN number, ang kailangan lang nilang gawin ay magtanong.
Phishing Ang mga pag-atake ay karaniwan dahil ang mga ito ay:
- Madaling gawin – Maaaring magsagawa ng phishing attack ang isang 6 na taong gulang na bata.
- Nasusukat – Mula sa mga pag-atake ng spear-phishing na tumama sa isang tao hanggang sa pag-atake sa isang buong organisasyon.
- Napakahusay - 74% ng mga samahan nakaranas ng matagumpay na pag-atake sa phishing.
- Mga kredensyal ng Gmail account - $80
- Pin ng credit card - $20
- Mga kredensyal sa online na bangko para sa mga account na may hindi bababa sa $ 100 sa kanila - $40
- Mga bank account na may hindi bababa sa $ 2,000 - $120
Marahil ay iniisip mo, "Wow, ang aking mga account ay pupunta sa pinakamababang dolyar!"
At ito ay totoo.
Mayroong iba pang mga uri ng mga account na napupunta para sa isang mas mataas na tag ng presyo dahil mas madaling panatilihing hindi nagpapakilala ang mga paglilipat ng pera.
Ang mga account na mayroong crypto ay ang jackpot para sa mga phishing scammers.
Ang mga rate ng pagpunta para sa mga crypto account ay:
- Coinbase – $610
- Blockchain.com - $310
- Binance - $410
Mayroon ding iba pang hindi pinansyal na dahilan para sa mga pag-atake ng phishing.
Ang mga pag-atake sa phishing ay maaaring gamitin ng mga nation-state para i-hack ang ibang mga bansa at minahan ang kanilang data.
Ang mga pag-atake ay maaaring para sa mga personal na paghihiganti o kahit na sirain ang mga reputasyon ng mga korporasyon o mga kaaway sa pulitika.
Ang mga dahilan para sa pag-atake ng phishing ay walang katapusang...
Paano Nagsisimula ang Pag-atake ng Phishing?
Karaniwang nagsisimula ang pag-atake ng phishing sa paglabas mismo ng kriminal at pagmemensahe sa iyo.
Maaari silang magbigay sa iyo ng isang tawag sa telepono, isang email, isang instant message, o isang SMS.
Maaari silang mag-claim na isang taong nagtatrabaho sa isang bangko, isa pang kumpanyang nakikipagnegosyo ka, isang ahensya ng gobyerno, o kahit na nagpapanggap na isang tao sa sarili mong organisasyon.
Maaaring hilingin sa iyo ng isang phishing email na mag-click sa isang link o mag-download at magsagawa ng isang file.
Maaari mong isipin na ito ay isang lehitimong mensahe, i-click ang link sa loob ng kanilang mensahe, at mag-log in sa kung ano ang mukhang website mula sa organisasyong pinagkakatiwalaan mo.
Sa puntong ito kumpleto na ang phishing scam.
Ibinigay mo ang iyong pribadong impormasyon sa umaatake.
Paano Pigilan ang Pag-atake sa Phishing
Ang pangunahing diskarte upang maiwasan ang mga pag-atake ng phishing ay upang sanayin ang mga empleyado at bumuo ng kamalayan sa organisasyon.
Maraming pag-atake sa phishing ang mukhang mga lehitimong email at maaaring dumaan sa isang spam filter o katulad na mga filter ng seguridad.
Sa unang tingin, maaaring magmukhang totoo ang mensahe o website gamit ang isang kilalang layout ng logo, atbp.
Sa kabutihang palad, ang pag-detect ng mga pag-atake ng phishing ay hindi napakahirap.
Ang unang bagay na dapat abangan ay ang address ng nagpadala.
Kung ang address ng nagpadala ay isang variation sa isang domain ng website na maaaring nakasanayan mo, maaaring gusto mong magpatuloy nang may pag-iingat at huwag mag-click ng anuman sa katawan ng email.
Maaari mo ring tingnan ang address ng website kung saan ka na-redirect kung mayroong anumang mga link.
Upang maging ligtas, dapat mong i-type ang address ng organisasyon na gusto mong bisitahin sa browser o gumamit ng mga paborito ng browser.
Mag-ingat sa mga link na kapag nag-hover sa ibabaw ay nagpapakita ng domain na hindi katulad ng kumpanyang nagpapadala ng email.
Basahin nang mabuti ang nilalaman ng mensahe, at mag-alinlangan sa lahat ng mensahe na humihiling sa iyong isumite ang iyong pribadong data o i-verify ang impormasyon, punan ang mga form, o mag-download at magpatakbo ng mga file.
Gayundin, huwag hayaang lokohin ka ng nilalaman ng mensahe.
Madalas na sinusubukan ng mga umaatake na takutin ka para i-click ka sa isang link o gantimpalaan ka para makuha ang iyong personal na data.
Sa panahon ng pandemya o pambansang emerhensiya, sasamantalahin ng mga scammer ng phishing ang takot ng mga tao at gagamitin nila ang nilalaman ng linya ng paksa o katawan ng mensahe upang takutin ka sa pagkilos at pag-click sa isang link.
Gayundin, tingnan kung may masamang spelling o grammar error sa email message o website.
Ang isa pang bagay na dapat tandaan ay ang karamihan sa mga pinagkakatiwalaang kumpanya ay hindi karaniwang hihilingin sa iyo na magpadala ng sensitibong data sa pamamagitan ng web o mail.
Iyon ang dahilan kung bakit hindi ka dapat mag-click sa mga kahina-hinalang link o magbigay ng anumang uri ng sensitibong data.
Ano ang Gagawin Ko Kung Nakatanggap Ako ng Phishing Email?
Kung nakatanggap ka ng mensaheng lumalabas na parang phishing attack, mayroon kang tatlong opsyon.
- Tanggalin ito.
- I-verify ang nilalaman ng mensahe sa pamamagitan ng pakikipag-ugnayan sa organisasyon sa pamamagitan ng tradisyonal nitong channel ng komunikasyon.
- Maaari mong ipasa ang mensahe sa iyong IT security department para sa karagdagang pagsusuri.
Dapat na sini-screen at sinasala ng iyong kumpanya ang karamihan ng mga kahina-hinalang email, ngunit kahit sino ay maaaring maging biktima.
Sa kasamaang palad, ang mga scam sa phishing ay isang lumalagong banta sa internet at ang mga masasamang tao ay palaging gumagawa ng mga bagong taktika upang makapasok sa iyong inbox.
Tandaan na sa huli, ikaw ang huli at pinakamahalagang layer ng depensa laban sa mga pagtatangka sa phishing.
Paano Pigilan ang Pag-atake sa Phishing Bago Ito Mangyari
Dahil umaasa ang mga pag-atake ng phishing sa pagkakamali ng tao upang maging epektibo, ang pinakamagandang opsyon ay sanayin ang mga tao sa iyong negosyo kung paano maiiwasan ang pagkuha ng pain.
Hindi ito nangangahulugan na kailangan mong magkaroon ng isang malaking pagpupulong o seminar kung paano maiwasan ang pag-atake ng phishing.
Mayroong mas mahusay na mga paraan upang makahanap ng mga puwang sa iyong seguridad at pagbutihin ang iyong tugon ng tao sa phishing.
2 Hakbang na Magagawa Mo Para Maiwasan ang Phishing Scam
A phishing simulator ay software na nagbibigay-daan sa iyong gayahin ang pag-atake ng phishing sa lahat ng miyembro ng iyong organisasyon.
Ang mga phishing simulator ay karaniwang may kasamang mga template upang makatulong na itago ang email bilang isang pinagkakatiwalaang vendor o gayahin ang mga panloob na format ng email.
Ang mga phishing simulator ay hindi lamang gumagawa ng email, ngunit nakakatulong ito sa pag-set up ng pekeng website na ang mga tatanggap ay magtatapos sa paglalagay ng kanilang mga kredensyal kung hindi sila makapasa sa pagsusulit.
Sa halip na pagalitan sila dahil sa pagkahulog sa isang bitag, ang pinakamahusay na paraan upang mahawakan ang sitwasyon ay ang magbigay ng impormasyon kung paano masuri ang mga phishing na email sa hinaharap.
Kung ang isang tao ay bumagsak sa isang pagsubok sa phishing, pinakamahusay na magpadala lamang sa kanila ng isang listahan ng mga tip sa pagtukoy ng mga email sa phishing.
Maaari mo ring gamitin ang artikulong ito bilang sanggunian para sa iyong mga empleyado.
Ang isa pang pangunahing benepisyo ng paggamit ng isang mahusay na phishing simulator ay na maaari mong sukatin ang banta ng tao sa iyong organisasyon, na kadalasang mahirap hulaan.
Maaaring tumagal ng hanggang isang taon at kalahati upang sanayin ang mga empleyado sa isang ligtas na antas ng pagpapagaan.
Mahalagang piliin ang tamang phishing simulation infrastructure para sa iyong mga pangangailangan.
Kung gumagawa ka ng phishing simulation sa isang negosyo, magiging mas madali ang iyong gawain
Kung ikaw ay isang MSP o MSSP, maaaring kailanganin mong magpatakbo ng mga pagsubok sa phishing sa maraming negosyo at lokasyon.
Ang pag-opt para sa cloud-based na solusyon ang magiging pinakamahusay na opsyon para sa mga user na nagpapatakbo ng maraming campaign.
Sa Hailbytes, na-configure namin GoPhish, isa sa pinakasikat na open-source na Framework ng phishing bilang isang madaling gamitin na instance sa AWS.
Maraming phishing simulator ang dumating sa tradisyonal na modelo ng Saas at may mahigpit na kontrata na nauugnay sa mga ito, ngunit ang GoPhish sa AWS ay isang cloud-based na serbisyo kung saan nagbabayad ka sa isang naka-metro na rate sa halip na isang 1 o 2 taong kontrata.
Hakbang 2. Pagsasanay sa Kamalayan sa Seguridad
Isang pangunahing benepisyo ng pagbibigay sa mga empleyado kamalayan sa seguridad Pinoprotektahan sila ng pagsasanay mula sa pagnanakaw ng pagkakakilanlan, pagnanakaw sa bangko, at mga ninakaw na kredensyal sa negosyo.
Mahalaga ang pagsasanay sa kaalaman sa seguridad upang mapabuti ang kakayahan ng mga empleyado na makita ang mga pagtatangka sa phishing.
Makakatulong ang mga kurso na sanayin ang mga tauhan na makakita ng mga pagtatangka sa phishing, ngunit iilan lamang ang tumutuon sa maliliit na negosyo.
Maaaring maging kaakit-akit para sa iyo bilang isang maliit na may-ari ng negosyo na bawasan ang mga gastos sa isang kurso sa pamamagitan ng pagpapadala ng ilang video sa Youtube tungkol sa kamalayan sa seguridad...
ngunit mga tauhan bihirang maalala na uri ng pagsasanay para sa higit sa ilang araw.
Ang Hailbytes ay may kursong may kumbinasyon ng mga mabilisang video at pagsusulit upang masubaybayan mo ang pag-unlad ng iyong mga empleyado, mapatunayang may mga hakbang sa seguridad, at malaki ang pagbabawas ng iyong mga pagkakataong makaranas ng phishing scam.
Maaari mong tingnan ang aming kurso sa Udemy dito o mag-click sa kurso sa ibaba:
Kung interesado kang magpatakbo ng libreng phishing simulation para sanayin ang iyong mga empleyado, magtungo sa AWS at tingnan ang GoPhish!
Madaling magsimula at maaari kang makipag-ugnayan sa amin anumang oras kung kailangan mo ng tulong sa pag-set up.
