Come Truffe di Phishing Sono in continua Evoluzione, E Come Non farsi prendere

Foto: Chang r (Flickr CC BY-ND 2.0)

Il Phishing è uno dei modi più sicuri per un hacker è in grado di prendere per l’accesso digitale account o anche il tuo conto in banca—e questi tipi di attacchi sono sempre più comuni e più sofisticati nel corso del tempo. Anche se pensi di sapere una e-mail di phishing quando si vede uno, nuove strategie di continuare a primavera.

Questo non è sorprendente, considerando i premi possono essere di così grande per un successo di phishing spedizione. Per assicurarti di stare un passo avanti del gioco, abbiamo raccolto alcuni dei migliori consigli, rapporti più recenti, e più comuni tipi di attacco di phishing nel 2019 per mantenere fino a data.

Phishing viaggi

Circa due terzi di noi sa cosa è il phishing è ora, secondo il 2019 Stato dei Phish report degli esperti di sicurezza Proofpoint, basata su migliaia di risposte al sondaggio. Per il restante terzo, truffe di phishing sono dannosi tentativi di ottenere informazioni sensibili come nomi utente, password, dati finanziari, per ingannare l’utente a passarlo con quello che sembra essere legittimo di comunicazione. Spesso, truffe di phishing iniziare con e-mail, ma non assumere altre forme. Anche come consapevolezza cresce, però, il phisher stanno cercando nuovi trucchi per ottenere attraverso le nostre difese, il che significa che una vigilanza costante è la chiave.

Prendete il recente attacco di phishing avvistato da un ricercatore di sicurezza presso Akamai: Si è tentato di utilizzare Google Translate per mascherare Url sospetti, prefazione a loro con la legit-looking “www.translate.google.com” indirizzo di provare a ingannare gli utenti a fare il login.

Che seguito rigido sulla scia di un Apple truffa di phishing che è stato accuratamente progettato per apparire come il vero affare, chiedendo vittime ignare di anello di un numero visualizzato Apple reali numero di supporto, indirizzo web, indirizzo attraverso l’ID del chiamante sistema.

La lista continua: truffe di Phishing chiedere Netflix dettagli di pagamento, per esempio, o incorporato in i tweet sponsorizzati che reindirizzare gli utenti a genuino-alla ricerca di login di PayPal pagine. Anche se il dodgy pagina di destinazione è stato molto ben progettato in tale ultimo caso, la mancanza di un HTTPS blocco e gli errori di ortografia nell’URL principali erano le bandiere rosse che questo era in realtà un tentativo di phishing.

Sempre a provare e accedere a un account principali è uno dei principali trucchi di un tentativo di phishing impiegherà. È estremamente importante controllare e triplo controllo ogni pagina di destinazione che si incontrano per cercare di grafica o di ortografia che sono fuori luogo, o meglio ancora, aprire una nuova scheda e vai direttamente al sito invece.

“Nel 2018, Dropbox phishing è stato l’ultimo attacco di phishing lure,” Chris Dawson, Threat Intelligence Portare a Proofpoint, ha detto a Gizmodo. “Tuttavia, i tassi di click per DocuSign esche avuto il più alto tasso di successo con oltre cinque volte la media del tasso di click per la top 20 esche.”

“Dropbox e DocuSign esche tentativo di ingannare le persone in apertura di quello che credono sia un collegamento a un file legittimo, ma invece porta a un sito compromesso, di una credenziale di phishing modello, o contenuti dannosi.”

Giovanni LaCour, CTO di rischio per la sicurezza impresa PhishLabs, ha detto di phishing numeri sono stati quasi tutto il consiglio di amministrazione, nel 2018, con i servizi finanziari, delle telecomunicazioni e dei servizi di spedizione per vedere gli aumenti più significativi. Solo i settori in cui il phishing volumi rimasti costanti sono stati i servizi di pagamento e siti di incontri.

Cosa PhishLabs è anche vedere un aumento di spear phishing—più di phishing mirato, rivolto in particolare di individui o organizzazioni, piuttosto che una più ampia gamma di utenti. Se phisher è in grado di progettare l’accesso a una casella di posta elettronica all’interno di una società, possono produrre messaggi di posta elettronica che non guardano come se provengono da una fonte autentica, ma che a tutti gli effetti sono da una vera e propria fonte.

“Una delle più recenti tendenze che stiamo vedendo è un aumento enterprise credenziali di phishing,” LaCour, ha detto. “Gli utenti sono inviati a siti di phishing, che riproducono il loro corporate webmail o SSO. L’account compromessi vengono poi utilizzati per il phishing e attacchi di ingegneria sociale dall’interno dell’impresa”.

“E così si finisce con la a altamente-efficace spear phishing e-mail in arrivo direttamente dalla cassetta postale di un senior executive. Come si può immaginare, questo è un po ‘ più efficace rispetto a quello standard attacco di phishing.”

Quando e-mail di phishing vengono direttamente da qualcuno che può apparentemente fiducia, sono diventato molto più difficile da individuare, soprattutto se quella persona non è seduto sulla scrivania di fronte o ad una telefonata di distanza. Per essere meglio preparati a punto di phishing quando succede, però, aiuta a sapere esattamente quello che stai cercando per.

Phishing e tipi di strategie

Abbiamo già detto spear phishing, in cui gli individui o a specifiche aziende sono mirati. Utilizzando un mix di tecniche di ingegneria sociale, i criminali possono fare le loro richieste suono molto più convincente—non è solo il Nigeriano principi di chiedere per il vostro denaro in più, è il boss seduto due piani in su.

Un tipo di spear phishing è definito di Posta elettronica Aziendale Compromesso o BEC. Gli hacker di accesso o molto abilmente la parodia di una email da un CEO o CFO, e la usano per chiedere soldi o dettagli di login da un dipendente, più in basso, la scala a pioli. L’email potrebbe essere realizzata come se fosse venuto da un dispositivo mobile, e potrebbe includere una richiesta di non essere disturbato—dissuadere il destinatario di verificare la email di legittimità.

Un altro, per essere alla ricerca di è clone di phishing, in cui una e-mail legittime hai già avuto viene clonato e modificato per includere un collegamento dannoso o un allegato. Poi c’è la caccia alla balena, destinati specificamente a quelli più in alto, in una società e per i più grandi ricompense—reclami o azioni legali sono temi comuni qui.

Secondo la società di sicurezza Cofense, basata su un’analisi di decine di migliaia le campagne di phishing, sei delle più comuni top 10 di phishing uso “fattura” da qualche parte nell’oggetto del messaggio di intestazione—se si desidera un chiaro avvertimento segni di guardare fuori per, poi che è uno di loro. (A proposito, gli altri quattro soggetti intestazioni in elenco si riferiscono a pagamenti o dichiarazioni, in qualche modo, troppo.)

Chris Dawson a Proofpoint detto tre classici di phishing continua ad essere popolare con i cattivi attori: Email riguardanti i pacchetti spediti, e-mail relative a fatture (come già detto), ed e-mail di riferimento o tra i documenti acquisiti.

“Ci sono due categorie principali di posta elettronica basato su attacchi di phishing: quelli che utilizzano collegamenti dannosi o allegati alle vittime dirette di pagine di phishing o raccogliere le credenziali elettronicamente e quelli che utilizzano le e-mail fraudolente, con nessun codice dannoso o collegamenti dedicati incluso,” Dawson ha detto.

“Inoltre, pur non essendo specificamente phishing, attacchi e-mail con allegati dannosi o link a malware può essere utilizzato per una varietà di scopi nefandi e sono estremamente comuni.”

La parte peggiore è che si potrebbe anche non sapere che cosa è successo. Se si tenta di accedere a un sito web spoofing, gli hacker di solito salvare le credenziali e poi diretto per la versione autentica—per l’utente finale, il punto di vista, sembra molto come hai appena ricevuto i dati di accesso sbagliato la prima volta intorno.

Non fatevi cogliere impreparati

Penso che si può individuare una email di phishing? Google ha recentemente pubblicato online un quiz per testare la vostra sicurezza, stabilità, di prendere l’utente attraverso il comune trucchi utilizzati dai phisher—dodgy domini, errori di ortografia indirizzi e-mail, falsi avvisi di sicurezza, e così via. Vale la pena di correre attraverso le domande per ottenere alcune indicazioni sulle ultime phishing.

Come Google quiz a punti, sempre doppio controllo dei collegamenti (passando con il mouse su di loro), come pure l’indirizzo email del mittente. In caso di dubbio, di mettersi in contatto con il mittente attraverso un metodo diverso—una chiamata attraverso l’ufficio o un app di messaggeria forse.

Stiamo costantemente cercando di ricordare di mantenere tutti i vostri software fino ad oggi, quindi te lo ripeto: Mantenere il software aggiornato. Si rende il vostro browser, client di posta elettronica, strumenti di sicurezza e sono più propensi a posto quando si è il phishing, e significa che il danno da qualsiasi attacco che non si riuscirà sarà ridotta al minimo, per quanto possibile.

Se una e-mail incoraggia l’utente a cliccare su un link, sempre andare direttamente al sito web nel tuo browser per accedere, piuttosto che seguire il link, se è possibile. L’eccezione è quando sei a reimpostare la password o la verifica di un indirizzo e—mail ma solo seguire questi link se effettivamente sono solo reimpostare una password o registrati su un nuovo sito.

Un’altra sicurezza mantra che spingere è quello di attivare l’autenticazione a due fattori, ove possibile. Tutti i grandi app e account offrire questo, ed è facile da impostare. E ‘ alcuna garanzia di protezione contro il phishing, ma non “alzare l’asticella” per gli hacker cercando di ottenere le tue cose, le parole di Giovanni LaCour.

Ci piacerebbe anche raccomandare di ottenere un gestore di password per garantire tutte le tue password sono ben protetti e opportunamente forte. Se davvero non appello a voi, mantenendo le tue password in un notebook va bene, fintanto che è in un posto molto sicuro. “E ‘ assolutamente meglio avere un sacco di password uniche scritto da qualche parte nella vostra casa, piuttosto che avere un unico complesso, la password che hai memorizzato e l’uso in 10 account diversi,” ha detto LaCour.

Un bonus per l’utilizzo di password manager è che essi compilare automaticamente le credenziali per servizi riconosciuti. Quindi, se si atterra su un apparentemente familiare sito e le vostre credenziali non pop, che è ancora un altro suggerimento che forse non siete in cui credevi.

Non c’è infallibile step-by-step, completamente immunizzazione contro gli attacchi di phishing, soprattutto come metodi di attacco si evolvono e cambiano, ma con un po ‘ di buon senso, è possibile ridurre significativamente il rischio.

Proofpoint Chris Dawson dà un elenco completo di cosa guardare per: lingua Minacciosa, errori di ortografia, imprecisioni nel testo, a pressione per agire in fretta, i tentativi di provocare panico, e le richieste di trasferimento di denaro (anche se sei in attesa di loro).

Quest’ultimo punto è particolarmente importante quando si tratta di grandi somme di denaro. Anche se un messaggio proviene dal vostro agente immobiliare genuino indirizzo e-mail, per esempio, c’è una possibilità che gli hacker hanno avuto accesso alle caselle di posta e sono operativi in remoto. Una rapida telefonata sarebbe sufficiente per confermare l’account giusto per un sostanziale trasferimento di denaro.

“Quasi ogni aspetto di una e-mail, anche il display o il nome, può essere manipolato per ingannare gli utenti a credere che sapere chi ha inviato loro una e-mail”, ha detto Dawson. “A causa di questo, tutte le e-mail che richiedono dati personali, credenziali, spingere i lettori a cliccare su un link, o aprire un allegato, devono essere trattati come potenzialmente dannosi.”

Condividi Questa Storia