Hvordan Phishing-Svindel Er ved at udvikle—Og Hvordan man Ikke at Blive Fanget

Foto: Chang ‘ r (Flickr CC BY-ND 2.0)

Phishing er en af de mest pålidelige metoder, en vil-være hacker kan tage for at få adgang til din digitale konti eller endda dine bankkonto—og disse former for angreb bliver mere og mere almindelige og mere avancerede med tiden. Selv hvis du tror, du ved, en phishing-e-mail, når du ser en, nye strategier fortsætte med at springe op.

Det er ikke overraskende, i betragtning af belønninger kan være så stort for en vellykket phishing-ekspedition. For at gøre sikker på, at du opholder sig på forkant med spillet, har vi samlet nogle af de bedste råd, de fleste nyere rapporter, og de mest almindelige typer af phishing-angreb, der i 2019 for at holde dig helt op til dato.

Phishing ture

Omkring to-tredjedele af os ved, hvad phishing er nu, i henhold til 2019 Tilstand Phish rapport fra sikkerhedseksperter Proofpoint, der bygger på tusindvis af undersøgelsens svar. For den resterende tredjedel, phishing-svindel er ondsindede forsøg på at få adgang til følsomme oplysninger, såsom brugernavne, adgangskoder eller finansielle oplysninger, ved at narre en bruger til at overdrage det med, hvad der synes at være legitime kommunikation. Ofte, phishing-svindel starte med e-mails, men de tager andre former så godt. Selv som bevidsthed vokser dog, at phishere er at prøve nye tricks for at komme igennem vores forsvar, hvilket betyder, konstant opmærksomhed, der er nøglen.

Tag den seneste phishing-angreb, der blev opdaget af en sikkerhedsekspert hos Akamai: Det forsøgt at bruge Google Oversæt til at maskere mistænkelige Webadresser, som forord til dem med legit-leder “www.translate.google.com” adresse for at prøve og narre brugere til at logge ind.

Der fulgte hårdt i hælene på en Apple-phishing-bedrageri, der var omhyggeligt konstrueret til at ligne den ægte vare—beder intetanende ofre til at ringe til et nummer, der vises Apple ‘ s virkelige support telefonnummer, web-adresse, og adresse via opkalds-ID systemet.

Listen går på: Phishing-svindel, der beder for Netflix betaling detaljer, for eksempel, eller indlejret i promoted tweets, der omdirigerer brugerne til at ægte udseende PayPal login-sider. Selv om den risikable landing page er meget godt udformet, at sidstnævnte tilfælde, manglen på en HTTPS-lås og fejl i URL ‘ en var nøglen røde flag, at dette faktisk var et phishing-forsøg.

At få dig til at prøve og log-in til en større konto er en af de vigtigste tricks et phishing-forsøg vil ansætte. Det er enormt vigtigt, at du dobbelt-tjekke og triple-check hver landings side, som du kommer på tværs—se for grafik eller stavemåder, der er ude af plads, eller endnu bedre, åbne en ny fane, og gå direkte til hjemmesiden i stedet.

“I 2018, Dropbox phishing var den øverste phishing-angreb, lokke,” Chris Dawson, Threat Intelligence Føre til Proofpoint, fortalte Gizmodo. “Men, skal du klikke priser til DocuSign lokker havde den højeste succesrate med over fem gange den gennemsnitlige klikrate for top 20 lokker.”

“Dropbox og DocuSign lokker forsøg på at narre individer til åbningen af, hvad de mener, er et link til en legitim fil, men i stedet enten fører til en kompromitteret webside, en dedikeret credential phishing-skabelon, eller skadeligt indhold.”

John LaCour, CTO i sikkerhedsrisiko firma PhishLabs, sagde phishing-numre var op over næsten hele linjen i 2018, med finansielle tjenesteydelser, telekommunikation, og forsendelse tjenester, se de største stigninger. Den eneste industrier, hvor phishing mængder opholdt sig konstant var betalingstjenester og dating sites.

Hvad PhishLabs er også at se en stigning i spear phishing—mere målrettede phishing rettet mod bestemte personer eller organisationer, snarere end en bredere vifte af brugere. Hvis phishere kan engineer adgang til en e-mail-indbakke inde i en virksomhed, de kan producere e-mails, der ikke bare ser ud som om de kommer fra en reel kilde, men at alle udvidelser er fra en reel kilde.

“En af de nyere tendenser, vi er vidne til, er en stigning i virksomhedernes credential phishing,” LaCour sagde. “Brugerne er sendt til phishing-websteder, som efterligner deres corporate webmail eller SSO. De kompromitterede konti er derefter brugt til phishing og social engineering angreb fra i virksomheden.”

“Så du ende op med en meget-effektiv spear phishing e-mail kommer direkte fra postkassen af en direktør. Som du måske kan forestille dig, dette er en hel del mere effektiv end standard phishing-angreb.”

Når phishing-e-mails kommer direkte fra en person, du kan åbenbart har tillid til, at de bliver meget sværere at få øje på—især hvis den pågældende person ikke sidder ved skrivebordet overfor eller et telefonopkald væk. For at være bedre forberedt til at få øje på phishing, når det sker selvom, det hjælper at vide præcis, hvad du leder efter.

Phishing-typer og-strategier

Vi har allerede nævnt, spear phishing, hvor enkeltpersoner eller bestemte virksomheder der er målgruppen. Ved hjælp af en blanding af social engineering-teknikker, der ønsker at blive kriminelle kan gøre deres anmodninger til at lyde meget mere overbevisende—det er ikke bare Nigerianske fyrster, der beder om dine penge længere, det er din chef, der sidder i to etager op.

En type af spear phishing kaldes Business e-Mail-Kompromis, eller BEC. Hackere vil få adgang til eller meget smart at forfalske en e-mail fra en CEO eller CFO, og bruge det til at anmode om penge eller login-oplysninger fra en medarbejder lavere ned ad stigen. E-mail kan være udformet til at se ud som om det kom fra en mobil enhed, og kan omfatte en anmodning om ikke at blive forstyrret—at overtale modtageren fra at tjekke email ‘ s legitimitet.

En anden til at være på udkig efter, er klon phishing, hvor en legitim e-mail du har allerede haft klonede får og modificeret til at indeholde en ondsindet link eller vedhæftet fil. Så er der hvalfangst, som specifikt er rettet mod dem højere op i virksomheden til større belønninger—kunde klager eller søgsmål, der er fælles temaer her.

Ifølge vagtselskab Cofense, baseret på en analyse af titusinder af phishing-kampagner, hvor seks af de mest almindelige top 10 phishing lokker bruger “faktura” et eller andet sted i den e-mail-emnet—hvis du vil have nogle tydelige tegn til at se ud for, så det er en af dem. (Af den måde, de fire andre omfattet af overskrifterne i listen henviser alle til betalinger eller udtalelser, der på en eller anden måde også.)

Chris Dawson på Proofpoint sagde tre klassiske phishing lokker fortsætte med at være populær med dårlige skuespillere: e-Mails relateret til de distribuerede pakker, e-mails vedrørende fakturaer (som allerede nævnt), og e-mails, der henviser til eller herunder scannede dokumenter.

“Der er to hovedkategorier af e-mail-baseret phishing-angreb: dem, der bruger ondsindede links eller vedhæftede filer til det direkte offer for phishing-sider eller hente legitimationsoplysninger elektronisk, og dem, der er afhængige af e-mail-svindel, med ingen skadelig kode eller dedikeret links i prisen,” Dawson siger.

“Derudover, mens ikke specifikt phishing, e-mail-angreb med skadelige vedhæftede filer eller links til malware kan bruges til en lang række af forbryderiske formål og er meget almindelige.”

Den værste del er, at du måske ikke engang ved, hvad der er sket. Hvis du forsøger at logge ind på en falsk hjemmeside, hackere vil normalt gemme dine legitimationsoplysninger og så henvise dig videre til den ægte version—fra en slutbrugers synsvinkel, det ser meget gerne, at du har lige fået login-oplysninger forkert den første gang.

Ikke få fanget ud

Tror du, du kan spot en phishing-e-mail? Google har for nylig udgivet en online-quiz for at teste din sikkerhed savviness, der tager dig gennem den fælles tricks, der anvendes af phishere—dodgy domæner, der er stavet forkert e-mail-adresser, falske sikkerhedsadvarsler, og så videre. Det er værd at køre gennem spørgsmål at få nogle fingerpeg om den nyeste phishing-taktik.

Som Google quiz påpeger, altid dobbelt-tjekke links (ved at holde musen over dem), samt e-mail adresse på afsenderen. Hvis du er i tvivl om, at komme i kontakt med afsenderen ved hjælp af en anden metode—et opkald på tværs af kontoret eller en instant messenger app måske.

Vi forsøger konstant at minde dig om at holde alle dine programmer helt op til dato, så vi vil sige det igen: at Holde alle dine programmer up-to-date. Det gør din browser, e-mail-klient, og sikkerhed værktøjer er mere tilbøjelige til at spotte, når du er phishing, og det betyder, at skaden fra ethvert angreb, som ikke lykkes, vil blive minimeret så meget som muligt.

Hvis en e-mail opfordrer dig til at klikke på et link, kan du altid gå direkte til hjemmesiden i din browser til at logge på, i stedet for at følge det link, hvis du kan. Undtagelsen vil være, når du nulstille din adgangskode eller bekræfte en e-mail-adresse, men kun ved at følge disse links, hvis du rent faktisk har nulstille en adgangskode eller et registreret på et nyt websted.

En anden sikkerhed mantra vi holde på at skubbe er at slå to-faktor-autentificering, hvor det er muligt. Alle de store apps og konti, der nu tilbyder dette, og det er nemt at sætte op. Det er ingen garanti for beskyttelse mod phishing, men det gør “hæve overliggeren” for hackere at forsøge at få fat i dine ting, i Johannes ‘ ord LaCour.

Vi vil også anbefale at få en password-manager, oprettet for at sikre, at alle dine adgangskoder er godt beskyttet og tilstrækkeligt stærke. Hvis der virkelig ikke appellere til dig, holde dine adgangskoder i en notesbog er okay, så længe det er i et meget sikkert sted. “Det er absolut bedre at have en masse unikke passwords skrevet ned et sted i dit hus, end det er at have et enkelt kompleks adgangskode, som du har lært udenad og bruge på tværs af 10 forskellige konti,” sagde LaCour.

En bonus til at bruge password ledere er, at de automatisk udfylde legitimationsoplysninger for anerkendte tjenester. Så hvis du lander på en tilsyneladende velkendt websted og dine legitimationsoplysninger ikke pop, så er det endnu et vink om, at du måske ikke der, hvor du troede, du var.

Der er ingen idiotsikker trin-for-trin tilgang til at helt immuniserende dig selv mod phishing-angreb, især som angreb metoder, der udvikler og ændrer sig, men med en lille smule sund fornuft, kan du reducere risikoen betydeligt.

Proofpoint ‘ s Chris Dawson giver en omfattende liste over, hvad til uret for: Truende sprog, stavefejl, unøjagtigheder i teksten, pres til at handle hurtigt, forsøg på at skabe panik, og anmodninger om at overføre penge (selv hvis du forventer dem).

Det sidste punkt er især vigtigt, når der beskæftiger sig med store summer af penge. Selv hvis en e-mail kommer fra din ejendom agent, der er ægte e-mail-adresse, for eksempel, er der en chance for, at hackere har fået adgang til, at virksomhedens indbakker og opererer dem eksternt. En hurtig opringning ville være nok til at bekræfte den rigtige tegner sig for en stor penge-overførsel.

“Næsten alle aspekter af en e-mail, selv de vise eller navn, kan manipuleres til at narre brugere til at tro, at de ved, hvem der har sendt dem en e-mail,” siger Dawson. “På grund af dette, er alle e-mails, der beder om personlige oplysninger, legitimationsoplysninger, tryk læsere til at klikke på et link eller åbne en vedhæftet fil, skal behandles som potentielt skadelig.”

Dele Denne Historie