menu
Ang Pinakamahusay na Gabay sa Pag-unawa sa Phishing Sa 2023
Kaya, ano ba Phishing?
Ang phishing ay isang anyo ng social engineering na nanlilinlang sa mga tao na ibunyag ang kanilang mga password o mahalaga impormasyon. Ang mga pag-atake sa phishing ay maaaring nasa anyo ng mga email, text message, at tawag sa telepono.
Karaniwan, ang mga pag-atake na ito ay nagpapakilala bilang mga sikat na serbisyo at kumpanya na madaling makilala ng mga tao.
Kapag nag-click ang mga user sa isang link ng phishing sa katawan ng isang email, ipinapadala sila sa isang katulad na bersyon ng isang site na pinagkakatiwalaan nila. Hinihiling sa kanila ang kanilang mga kredensyal sa pag-log in sa puntong ito sa phishing scam. Sa sandaling naipasok nila ang kanilang impormasyon sa pekeng website, ang umaatake ay mayroon ng kailangan nila upang ma-access ang kanilang tunay na account.
Ang mga pag-atake ng phishing ay maaaring magresulta sa ninakaw na personal na impormasyon, impormasyong pinansyal, o impormasyong pangkalusugan. Kapag nakakuha na ng access ang attacker sa isang account, ibebenta nila ang access sa account o gagamitin ang impormasyong iyon para i-hack ang iba pang account ng biktima.
Kapag naibenta na ang account, bibilhin ng isang taong marunong kumita mula sa account ang mga kredensyal ng account mula sa dark web, at pakinabangan ang ninakaw na data.
Narito ang isang visualization upang matulungan kang maunawaan ang mga hakbang sa pag-atake ng phishing:
May iba't ibang anyo ang mga pag-atake sa phishing. Maaaring gumana ang phishing mula sa isang tawag sa telepono, text message, email, o mensahe sa social media.
Ang mga generic na email sa phishing ay ang pinakakaraniwang uri ng pag-atake sa phishing. Ang mga pag-atake na tulad nito ay karaniwan dahil ang mga ito ay kumukuha ng pinakamaliit na pagsisikap.
Ang mga hacker ay kumukuha ng listahan ng mga email address na nauugnay sa Paypal o mga social media account at nagpapadala ng isang bulk email blast sa mga potensyal na biktima.
Kapag nag-click ang biktima sa link sa email, madalas itong dinadala sa isang pekeng bersyon ng isang sikat na website at hinihiling sa kanila na mag-log in gamit ang kanilang impormasyon sa account. Sa sandaling isumite nila ang impormasyon ng kanilang account, mayroon na ang hacker ng kailangan nila upang ma-access ang kanilang account.
Sa isang kahulugan, ang ganitong uri ng phishing ay tulad ng paghahagis ng lambat sa isang paaralan ng isda; samantalang ang iba pang mga anyo ng phishing ay mas naka-target na mga pagsisikap.
Ang spear phishing ay kung kailan pinupuntirya ng isang attacker ang isang partikular na indibidwal sa halip na magpadala ng generic na email sa isang pangkat ng mga tao.
Sinusubukan ng mga pag-atake ng spear phishing na partikular na tugunan ang target at itago ang kanilang sarili bilang isang taong maaaring kilala ng biktima.
Ang mga pag-atake na ito ay mas madali para sa isang scammer kung mayroon kang personal na nakakapagpakilalang impormasyon sa internet. Nagagawa ng attacker na magsaliksik sa iyo at sa iyong network para gumawa ng isang mensahe na may kaugnayan at nakakumbinsi.
Dahil sa mataas na halaga ng pag-personalize, ang mga pag-atake ng spear phishing ay mas mahirap tukuyin kumpara sa mga regular na pag-atake sa phishing.
Hindi rin gaanong karaniwan ang mga ito, dahil mas tumatagal ang mga ito para sa mga kriminal na mahuli sila nang matagumpay.
Tanong: Ano ang rate ng tagumpay ng isang spearphishing email?
Sagot: Ang mga spearphishing na email ay may average na open-rate ng email na 70% at 50% ng mga tatanggap ay nag-click sa isang link sa email.
Kung ikukumpara sa mga pag-atake ng spear phishing, ang mga pag-atake ng panghuhuli ng balyena ay higit na naka-target.
Ang mga pag-atake sa panghuhuli ay humahabol sa mga indibidwal sa isang organisasyon gaya ng chief executive officer o chief financial officer ng isang kumpanya.
Ang isa sa mga pinakakaraniwang layunin ng pag-atake ng panghuhuli ng balyena ay ang manipulahin ang biktima para mag-wire ng malaking halaga ng pera sa umaatake.
Katulad ng regular na phishing dahil ang pag-atake ay nasa anyo ng email, ang panghuhuli ng balyena ay maaaring gumamit ng mga logo ng kumpanya at katulad na mga address upang magkaila.
Sa ilang pagkakataon, gagayahin ng umaatake ang CEO at gamitin ang persona na iyon para kumbinsihin ang isa pang empleyado na magbunyag ng financial data o maglipat ng pera sa attackers account.
Dahil ang mga empleyado ay mas malamang na tanggihan ang isang kahilingan mula sa isang mas mataas, ang mga pag-atake na ito ay mas mapanlinlang.
Ang mga umaatake ay madalas na gumugugol ng mas maraming oras sa paggawa ng isang pag-atake ng panghuhuli ng balyena dahil malamang na mas mahusay silang magbabayad.
Ang pangalang "panghuhuli ng balyena" ay tumutukoy sa katotohanan na ang mga target ay may higit na kapangyarihan sa pananalapi (mga CEO).
Angler phishing ay medyo bagong uri ng pag-atake sa phishing at umiiral sa social media.
Hindi nila sinusunod ang tradisyonal na format ng email ng mga pag-atake sa phishing.
Sa halip, nagkukunwari sila bilang mga kinatawan ng serbisyo sa customer ng mga kumpanya at nanlinlang ng mga tao sa pagpapadala sa kanila ng impormasyon sa pamamagitan ng mga direktang mensahe.
Ang isang karaniwang scam ay ang pagpapadala ng mga tao sa isang pekeng website ng suporta sa customer na magda-download ng malware o sa madaling salita ransomware papunta sa device ng biktima.
Ang isang vishing attack ay kapag tinawag ka ng isang scammer upang subukang mangalap ng personal na impormasyon mula sa iyo.
Ang mga scammer ay karaniwang nagpapanggap na isang kagalang-galang na negosyo o organisasyon gaya ng Microsoft, IRS, o kahit na ang iyong bangko.
Gumagamit sila ng mga taktika ng takot para maipakita mo ang mahalagang data ng account.
Nagbibigay-daan ito sa kanila na direkta o hindi direktang ma-access ang iyong mahahalagang account.
Ang mga pag-atake ng vishing ay nakakalito.
Ang mga umaatake ay madaling magpanggap bilang mga taong pinagkakatiwalaan mo.
Panoorin si Hailbytes Founder David McHale na nagsasalita tungkol sa kung paano mawawala ang mga robocall sa hinaharap na teknolohiya.
Karamihan sa mga pag-atake sa phishing ay nangyayari sa pamamagitan ng mga email, ngunit may mga paraan upang matukoy ang kanilang pagiging lehitimo.
Kapag nagbukas ka ng email suriin upang makita kung ito ay mula sa isang pampublikong domain ng email (ibig sabihin. @gmail.com).
Kung ito ay mula sa isang pampublikong domain ng email, ito ay malamang na isang phishing na pag-atake dahil ang mga organisasyon ay hindi gumagamit ng mga pampublikong domain.
Sa halip, ang kanilang mga domain ay magiging natatangi sa kanilang negosyo (ibig sabihin. Ang email domain ng Google ay @google.com).
Gayunpaman, may mga mas mapanlinlang na pag-atake sa phishing na gumagamit ng natatanging domain.
Kapaki-pakinabang na gawin ang isang mabilis na paghahanap sa kumpanya at suriin ang pagiging lehitimo nito.
Palaging sinusubukan ng mga pag-atake ng phishing na kaibiganin ka ng magandang pagbati o empatiya.
Halimbawa, sa aking spam hindi pa katagal, nakakita ako ng phishing email na may pagbati ng "Mahal na kaibigan".
Alam ko na ito ay isang phishing na email dahil sa linya ng paksa ay nakasulat, "MABUTING BALITA TUNGKOL SA IYONG MGA PONDO 21 /06/2020".
Ang pagkakita sa mga ganitong uri ng pagbati ay dapat na mga instant na pulang bandila kung hindi ka pa kailanman nakipag-ugnayan sa contact na iyon.
Napakahalaga ng mga nilalaman ng phishing email, at makakakita ka ng ilang natatanging tampok na bumubuo sa karamihan.
Kung ang mga nilalaman ay mukhang walang katotohanan, malamang na ito ay isang scam.
Halimbawa, kung ang linya ng paksa ay nagsabing, "Nanalo ka sa Lottery $1000000" at wala kang naaalalang lumahok, iyon ay isang pulang bandila.
Kapag ang nilalaman ay lumikha ng isang pakiramdam ng pagkaapurahan tulad ng "ito ay nakasalalay sa iyo" at ito ay humantong sa pag-click sa isang kahina-hinalang link, malamang na ito ay isang scam.
Palaging may kahina-hinalang link o file na naka-attach sa mga ito ang mga email sa phishing.
Ang isang mahusay na paraan upang suriin kung ang isang link ay may virus ay ang paggamit ng VirusTotal, isang website na nagsusuri ng mga file o link para sa malware.
Halimbawa Ng Phishing Email:
Sa halimbawa, itinuturo ng Google na ang email ay maaaring potensyal na mapanganib.
Kinikilala nito na tumutugma ang nilalaman nito sa iba pang katulad na mga email sa phishing.
Kung natutugunan ng isang email ang karamihan sa mga pamantayan sa itaas, inirerekumenda na iulat ito sa reportphishing@apwg.org o phishing-report@us-cert.gov upang ito ay ma-block.
Kung gumagamit ka ng Gmail mayroong isang opsyon upang iulat ang email para sa phishing.
Kahit na ang mga pag-atake ng phishing ay nakatuon sa mga random na user, madalas nilang tina-target ang mga empleyado ng isang kumpanya.
Gayunpaman, hindi laging pera ng kumpanya ang hinahabol ng mga umaatake ngunit ang data nito.
Sa mga tuntunin ng negosyo, ang data ay malayong mas mahalaga kaysa sa pera at maaari itong malubhang makaapekto sa isang kumpanya.
Maaaring gumamit ang mga attacker ng leaked data para maimpluwensyahan ang publiko sa pamamagitan ng pag-apekto sa tiwala ng consumer at pagsira sa pangalan ng kumpanya.
Ngunit hindi lamang iyon ang mga kahihinatnan na maaaring magresulta mula doon.
Kabilang sa iba pang kahihinatnan ang negatibong epekto sa tiwala ng mamumuhunan, pagkagambala sa negosyo, at pag-uudyok ng mga multa sa regulasyon sa ilalim ng General Data Protection Regulation (GDPR).
Ang pagsasanay sa iyong mga empleyado upang harapin ang problemang ito ay inirerekomenda upang mabawasan ang matagumpay na pag-atake ng phishing.
Ang mga paraan para sanayin ang mga empleyado sa pangkalahatan ay ang pagpapakita sa kanila ng mga halimbawa ng phishing email at ang mga paraan upang makita ang mga ito.
Ang isa pang magandang paraan upang ipakita sa mga empleyado ang phishing ay sa pamamagitan ng simulation.
Ang mga simulation ng phishing ay karaniwang mga pekeng pag-atake na idinisenyo upang tulungan ang mga empleyado na makilala mismo ang phishing nang walang anumang negatibong epekto.
Ibabahagi namin ngayon ang mga hakbang na kailangan mong gawin upang magpatakbo ng matagumpay na kampanya sa phishing.
Ang phishing ay nananatiling nangungunang banta sa seguridad ayon sa ulat ng estado ng cybersecurity ng WIPRO 2020.
Ang isa sa mga pinakamahusay na paraan upang mangolekta ng data at turuan ang mga empleyado ay ang magpatakbo ng isang panloob na kampanya sa phishing.
Madali itong gumawa ng phishing email gamit ang isang phishing platform, ngunit marami pang bagay dito kaysa sa pagpindot sa send.
Tatalakayin natin kung paano pangasiwaan ang mga pagsubok sa phishing gamit ang mga panloob na komunikasyon.
Pagkatapos, tatalakayin namin kung paano mo sinusuri at ginagamit ang data na iyong kinokolekta.
Ang isang kampanya sa phishing ay hindi tungkol sa pagpaparusa sa mga tao kung mahulog sila sa isang scam. Ang simulation ng phishing ay tungkol sa pagtuturo sa mga empleyado kung paano tumugon sa mga email ng phishing. Gusto mong tiyakin na ikaw ay transparent tungkol sa pagsasagawa ng pagsasanay sa phishing sa iyong kumpanya. Unahin ang pagpapaalam sa mga pinuno ng kumpanya tungkol sa iyong kampanya sa phishing at ilarawan ang mga layunin ng kampanya.
Pagkatapos mong ipadala ang iyong unang baseline phishing email test, maaari kang gumawa ng anunsyo sa buong kumpanya sa lahat ng empleyado.
Ang isang mahalagang aspeto ng panloob na komunikasyon ay ang panatilihing pare-pareho ang mensahe. Kung gumagawa ka ng sarili mong mga pagsubok sa phishing, magandang ideya na gumawa ng gawa-gawang brand para sa iyong materyal sa pagsasanay.
Ang pagkakaroon ng pangalan para sa iyong programa ay makakatulong sa mga empleyado na makilala ang iyong nilalamang pang-edukasyon sa kanilang inbox.
Kung gumagamit ka ng pinamamahalaang serbisyo ng pagsubok sa phishing, malamang na masasaklaw nila ito. Ang nilalamang pang-edukasyon ay dapat gawin nang maaga upang magkaroon ka ng agarang follow-up pagkatapos ng iyong kampanya.
Bigyan ang iyong mga empleyado ng mga tagubilin at impormasyon tungkol sa iyong internal na phishing email protocol pagkatapos ng iyong baseline test.
Gusto mong bigyan ng pagkakataon ang iyong mga katrabaho na tumugon nang tama sa pagsasanay.
Ang pagkakita sa bilang ng mga tao na tama ang nakakita at nag-ulat ng email ay mahalagang impormasyong makukuha mula sa pagsubok sa phishing.
Ano ang dapat mong pangunahing priyoridad para sa iyong kampanya?
Pakikipag-ugnayan.
Maaari mong subukang ibase ang iyong mga resulta sa bilang ng mga tagumpay at kabiguan, ngunit ang mga numerong iyon ay hindi nangangahulugang makakatulong sa iyo sa iyong layunin.
Kung nagpapatakbo ka ng simulation ng pagsubok sa phishing at walang nag-click sa link, nangangahulugan ba iyon na matagumpay ang iyong pagsubok?
Ang maikling sagot ay "hindi".
Ang pagkakaroon ng 100% rate ng tagumpay ay hindi isinasalin bilang isang tagumpay.
Maaari itong mangahulugan na ang iyong pagsubok sa phishing ay napakadaling makita.
Sa kabilang banda, kung nakakuha ka ng napakalaking rate ng pagkabigo sa iyong pagsubok sa phishing, maaaring iba ang ibig sabihin nito.
Maaaring mangahulugan ito na hindi pa nakikita ng iyong mga empleyado ang mga pag-atake ng phishing.
Kapag nakakuha ka ng mataas na rate ng mga pag-click para sa iyong campaign, may magandang pagkakataon na kailangan mong bawasan ang kahirapan ng iyong mga phishing na email.
Maglaan ng mas maraming oras upang sanayin ang mga tao sa kanilang kasalukuyang antas.
Gusto mong bawasan ang rate ng mga pag-click sa link ng phishing.
Maaaring nagtataka ka kung ano ang mabuti o masamang rate ng pag-click sa simulation ng phishing.
Ayon sa sans.org, ang iyong ang unang simulation ng phishing ay maaaring magbunga ng average na rate ng pag-click na 25-30%.
Mukhang mataas talaga ang bilang na iyon.
Sa kabutihang palad, iniulat nila iyon pagkatapos ng 9-18 buwan ng pagsasanay sa phishing, ang rate ng pag-click para sa isang pagsubok sa phishing ay sa ibaba 5%.
Makakatulong ang mga numerong ito bilang isang magaspang na pagtatantya ng iyong mga ninanais na resulta mula sa pagsasanay sa phishing.
Upang simulan ang iyong unang phishing email simulation, tiyaking i-whitelist ang IP address ng testing tool.
Tinitiyak nito na matatanggap ng mga empleyado ang email.
Kapag ginawa ang iyong unang simulate na phishing na email, huwag gawin itong masyadong madali o napakahirap.
Dapat mo ring tandaan ang iyong madla.
Kung ang iyong mga katrabaho ay hindi mabibigat na gumagamit ng social media, malamang na hindi magandang ideya na gumamit ng pekeng LinkedIn password reset phishing email. Ang email ng tester ay dapat magkaroon ng sapat na malawak na apela na ang lahat sa iyong kumpanya ay may dahilan upang mag-click.
Ang ilang halimbawa ng mga phishing na email na may malawak na apela ay maaaring:
Tandaan lamang ang sikolohiya kung paano dadalhin ang mensahe ng iyong madla bago pindutin ang ipadala.
Patuloy na magpadala ng mga email sa pagsasanay sa phishing sa iyong mga empleyado. Siguraduhin na dahan-dahan mong dinadagdagan ang kahirapan sa paglipas ng panahon upang mapataas ang mga antas ng kasanayan ng mga tao.
Inirerekomenda na gumawa ng buwanang pagpapadala ng email. Kung masyadong madalas mong "phish" ang iyong organisasyon, malamang na mabilis silang mahuli.
Ang paghuli sa iyong mga empleyado, ang medyo off-guard ay ang pinakamahusay na paraan upang makakuha ng mas makatotohanang mga resulta.
Kung magpapadala ka ng parehong uri ng "phishing" na mga email sa bawat oras, hindi mo tuturuan ang iyong mga empleyado kung paano tumugon sa iba't ibang mga scam.
Maaari mong subukan ang ilang iba't ibang mga anggulo kabilang ang:
Habang nagpapadala ka ng mga bagong campaign, palaging tiyaking naaayos mo ang kaugnayan ng mensahe sa iyong audience.
Kung magpadala ka ng phishing na email na walang kaugnayan sa isang bagay na interesado, maaaring hindi ka makatanggap ng maraming tugon mula sa iyong campaign.
Pagkatapos magpadala ng iba't ibang campaign sa iyong mga empleyado, i-refresh ang ilan sa mga lumang campaign na nanloko sa mga tao sa unang pagkakataon at gumawa ng bagong spin sa campaign na iyon.
Masasabi mo ang pagiging epektibo ng iyong pagsasanay kung nakikita mong natututo at umuunlad ang mga tao.
Mula doon, malalaman mo kung kailangan nila ng higit pang edukasyon sa kung paano makita ang isang partikular na uri ng email ng phishing.
Mayroong 3 salik sa pagtukoy kung gagawa ka ng sarili mong programa sa pagsasanay sa phishing o i-outsource ang programa.
Kung ikaw ay isang security engineer o mayroon kang isa sa iyong kumpanya, madali kang makakabuo ng isang phishing server gamit ang isang dati nang phishing platform upang gawin ang iyong mga campaign.
Kung wala kang anumang mga inhinyero ng seguridad, ang paggawa ng sarili mong programa sa phishing ay maaaring hindi na pinag-uusapan.
Maaaring mayroon kang security engineer sa iyong organisasyon, ngunit maaaring hindi sila nakaranas ng social engineering o mga pagsubok sa phishing.
Kung mayroon kang isang taong may karanasan, magiging sapat silang maaasahan upang lumikha ng kanilang sariling programa sa phishing.
Ang isang ito ay talagang malaking kadahilanan para sa maliliit hanggang sa katamtamang laki ng mga kumpanya.
Kung maliit ang iyong team, maaaring hindi maginhawang magdagdag ng isa pang gawain sa iyong security team.
Ito ay mas maginhawang magkaroon ng isa pang may karanasan na pangkat na gagawa ng gawain para sa iyo.
Napag-aralan mo na ang buong gabay na ito para malaman kung paano mo masanay ang iyong mga empleyado at handa ka nang simulan ang pagprotekta sa iyong organisasyon sa pamamagitan ng pagsasanay sa phishing.
Ano ngayon?
Kung ikaw ay isang security engineer at gusto mong simulan ang pagpapatakbo ng iyong unang mga kampanya sa phishing ngayon, pumunta dito para matuto pa tungkol sa isang phishing simulation tool na magagamit mo para makapagsimula ngayon.
O ...
Kung interesado kang matutunan ang tungkol sa mga pinamamahalaang serbisyo para magpatakbo ng mga kampanyang phishing para sa iyo, matuto nang higit pa dito mismo tungkol sa kung paano mo masisimulan ang iyong libreng pagsubok ng pagsasanay sa phishing.
Gamitin ang checklist upang matukoy ang mga hindi pangkaraniwang email at kung phishing ang mga ito, iulat ang mga ito.
Kahit na may mga phishing filter out doon na maaaring maprotektahan ka, hindi ito 100%.
Ang mga email sa phishing ay patuloy na nagbabago at hindi kailanman pareho.
Upang protektahan ang iyong kumpanya mula sa mga pag-atake ng phishing maaari kang makibahagi mga simulation ng phishing upang bawasan ang mga pagkakataon ng matagumpay na pag-atake ng phishing.
Inaasahan namin na sapat ang iyong natutunan mula sa gabay na ito upang malaman kung ano ang susunod mong gagawin para mabawasan ang iyong mga pagkakataon ng pag-atake ng phishing sa iyong negosyo.
Mangyaring mag-iwan ng komento kung mayroon kang anumang mga tanong para sa amin o kung gusto mong ibahagi ang anuman sa iyong kaalaman o karanasan sa mga kampanya sa phishing.
Huwag kalimutang ibahagi ang gabay na ito at ikalat ang salita!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telepono: (732) 771-9995
Email: info@hailbytes.com
