Wie Phishing-Betrügereien Sind in der Entwicklung—Und Wie man Nicht Erwischt zu werden

Foto: Chang ‘ r (Flickr CC BY-ND 2.0)

Phishing ist eine der zuverlässigsten Methoden, ein Möchtegern-hacker können Zugriff auf Ihre digitalen Konten oder sogar Ihre Bankkonto—und diese Art von Angriffe werden immer häufiger und anspruchsvoller im Laufe der Zeit. Auch wenn Sie denken, Sie wissen eine phishing-E-Mail, wenn Sie sehen, neue Strategien weiter auf den Frühling.

Das ist nicht überraschend, bedenkt man die Belohnungen können so riesig sein für einen erfolgreichen phishing-expedition. Um sicherzustellen, dass Sie bleiben weiter im Spiel, wir haben sammelte einige der besten Tipps, die aktuellsten Berichte und häufigste Arten von phishing-Attacken im Jahr 2019 zu halten Sie auf dem neuesten Stand.

Phishing-Reisen

Rund zwei Drittel von uns wissen, was phishing ist nun, nach dem Jahr 2019 Stand der Phish-Bericht von Sicherheitsexperten von Proofpoint, basierend auf Tausende von Antworten auf die Umfrage. Für das restliche Drittel, phishing-Angriffe sind böswillige versuche, an vertrauliche Informationen, wie Benutzernamen, Passwörter und finanzielle details, indem täuschen Sie einen Benutzer in die Abgabe mit, was scheint, eine legitime Kommunikation. Häufig phishing-Angriffe starten mit E-Mails, aber Sie nehmen andere Formen als gut. Auch, wie das Bewusstsein wächst, obwohl die Phisher versuchen, neue tricks, um durch unsere Abwehr, was bedeutet, dass ständige Wachsamkeit ist der Schlüssel.

Nehmen Sie die jüngste phishing-Angriff entdeckt von einem security researcher bei Akamai: Es versucht mit Google Translate zu Maske verdächtige URLs, einleitende Ihnen mit der legit-Suche “www.translate.google.com” Adresse, um zu versuchen und zu täuschen Nutzer zu protokollieren.

Folgte hart auf den Fersen von einem Apple-phishing-Betrug, wurde sorgfältig konstruiert, um zu schauen, wie der real deal—Fragen, die ahnungslose Opfer zu ring eine Nummer, die angezeigt apples echte Unterstützung, web-Adresse, und Anschrift durch die Anrufer-ID-system.

Die Liste geht weiter: Phishing-Fragen, für die Netflix die Zahlung details, zum Beispiel, oder eingebettet in gefördert tweets, die Benutzer umleiten, um echt aussehende PayPal-login-Seiten. Obwohl die riskante Landung-Seite war sehr gut gestaltet in diesem letzteren Fall, das fehlen einer HTTPS-Schloss-und Rechtschreibfehler in der URL waren die Schlüssel, die roten Fahnen, das war tatsächlich ein phishing-Versuch.

Bekommen Sie zu versuchen, und melden Sie sich bei major account ist einer der wichtigsten tricks für eine phishing-Versuch beschäftigen wird. Es ist enorm wichtig, dass Sie doppelt überprüfen und dreifach überprüfen Sie jede landing page, die Sie stoßen—look für Grafiken oder Schreibweisen, die aus Platz heraus, oder noch besser, öffnen Sie einen neuen tab und gehen Sie direkt auf die Website statt.

“Im Jahr 2018, Dropbox-phishing war der top-phishing-Attacke zu locken”, so Chris Dawson, Threat Intelligence Lead bei Proofpoint, sagte Gizmodo. “Allerdings sind die Klickraten für DocuSign lures hatte die höchste Erfolgsquote mit über fünf-fache der durchschnittlichen Klickrate für die top 20 lockt.”

“Dropbox, DocuSign Ködern versuchen, trick, den Individuen in die öffnung, was Sie glauben, ist ein link auf eine legitime Datei, sondern führt entweder zu einer kompromittierten Webseite, die einen dedizierten Berechtigungsnachweis phishing-Vorlage oder schädliche Inhalte.”

Johannes LaCour, CTO des security-Risiko fest PhishLabs, sagte phishing-zahlen wurden bis nahezu flächendeckend in 2018 mit Finanz-Dienstleistungen, Telekommunikations -, und Versand-Dienstleistungen zu sehen, die größte steigt. Die einzigen Branchen, in denen phishing-Volumen stabil geblieben waren-payment-Dienste und dating-sites.

Was PhishLabs ist auch zu sehen, ist eine Zunahme der spear-phishing—gezielter phishing richtet sich an bestimmte Personen oder Organisationen eher als eine breitere Palette von Benutzern. Wenn Phisher können-Ingenieur Zugriff auf eine E-Mail-Posteingang innerhalb eines Unternehmens, können Sie produzieren E-Mails, die nicht nur so Aussehen, als ob Sie kommen aus einer echten Quelle, sondern, dass alle Blöcke sind aus einer Original-Quelle.

“Einer der neueren trends, die wir sehen, ist ein Anstieg der enterprise-Anmeldeinformationen phishing”, sagte LaCour. “Benutzer gesendet werden, um phishing-Seiten imitieren Ihre corporate webmail oder SSO. Die kompromittierten Konten werden dann verwendet, um phishing-und social engineering-Angriffe von innerhalb des Unternehmens.”

“Also, Sie am Ende mit hochwirksamen spear-phishing-E-Mails direkt aus dem Postfach eines senior executive. Wie Sie sich vorstellen können, das ist schon etwas effektiver als die standard-phishing-Angriff.”

Bei phishing-E-Mails kommen direkt von jemandem, den Sie anscheinend Vertrauen, werden Sie viel schwieriger zu erkennen—vor allem, wenn diese person nicht sitzend am Schreibtisch gegenüber oder einen Anruf entfernt. Um besser darauf vorbereitet zu sein zu erkennen, phishing -, wenn es passiert, hilft es zu wissen, genau das, was du bist suchen für.

Phishing-Typen und-Strategien

Wir haben bereits erwähnt, spear-phishing, wo Einzelpersonen oder bestimmten Unternehmen ausgerichtet sind. Mit einem mix aus social-engineering-Techniken, Möchtegern-kriminelle können Ihre Anfragen sound viel überzeugender—es ist nicht nur die Nigerianischen Prinzen zu Fragen, für Ihr Geld mehr, es ist dein Chef sitzt zwei Stockwerke nach oben.

Eine Art von spear-phishing wird als Geschäfts-E-Mails Kompromittieren oder BEC. Hacker-Zugriff oder sehr geschickt vortäuschen einer E-Mail von einem CEO oder ein CFO, und verwenden Sie es, zu verlangen, Geld oder login-Daten von einem Mitarbeiter unten die Leiter. Die E-Mail könnte hergestellt werden, um zu schauen, wie es kam aus einem mobilen Gerät und möglicherweise einen Wunsch, nicht gestört zu werden—viele der Empfänger von der überprüfung der E-Mail-Legitimität.

Andere werden auf der Suche nach ist Klon phishing, wo eine legitime E-Mail haben Sie bereits hatte, bekommt geklont und angepaßt, um einen schädlichen link oder Anhang. Dann gibt es den Walfang, die speziell auf die weiter oben in einem Unternehmen für größere Belohnungen—Beschwerden von Kunden oder Klagen sind die gemeinsamen Themen hier.

Laut Sicherheitsfirma Cofense, basierend auf einer Analyse von Zehntausenden von phishing-Kampagnen, sechs der häufigsten top 10 phishing-Köder verwenden “Rechnung” irgendwo in der E-Mail-Betreff-header—wenn Sie möchten, einige deutliche Warnzeichen zu achten ist, dann ist einer von Ihnen. (Übrigens, die anderen vier Betreff-Header in der Liste beziehen sich alle auf Zahlungen oder Aussagen in gewisser Weise zu.)

Chris Dawson bei Proofpoint, sagte drei klassischen phishing-Köder weiterhin beliebt, mit schlechten Schauspielern: E-Mails mit Bezug zur versendeten Pakete, E-Mails mit Rechnungen (wie bereits erwähnt), und E-Mails beziehen, oder auch gescannte Dokumente.

“Es gibt zwei Hauptkategorien von E-Mail-basierten phishing-Angriffen: diejenigen, die bösartige links oder Anhänge in direkte Opfer auf phishing-Seiten oder sammeln Anmeldeinformationen elektronisch und diejenigen, die verlassen sich auf E-Mail-Betrug, mit keinen schädlichen code oder dedizierte links enthalten,” Dawson sagte.

“Darüber hinaus, obwohl nicht ausdrücklich phishing, E-Mail-Angriffe durch schädliche Anhänge oder links, die zu malware kann verwendet werden für eine Vielzahl von ruchlosen Zwecke und sind sehr Häufig.”

Das Schlimmste ist, Sie wissen vielleicht gar nicht, was passiert ist. Wenn Sie versuchen, sich auf einer gefälschten Webseite, die Hacker in der Regel Ihre Anmeldedaten speichern und dann direkt auf die Originalversion—von einem end-user-Sicht, es sieht sehr viel wie Sie gerade die login-Daten falsch beim ersten mal.

Don ‘ T get caught out

Sie denken, Sie können vor Ort eine phishing-E -? Google hat vor kurzem veröffentlicht ein online-quiz testen Sie Ihr Sicherheits-savviness, wobei Sie über die gängigen tricks von Phishern verwendet—dodgy-domains, falsch geschriebene E-Mail-Adressen, gefälschte Sicherheitswarnungen, und so weiter. Es lohnt sich durch die Fragen zu bekommen, einige Hinweise auf die neuesten phishing-Taktik.

Wie die Google-quiz Punkte heraus, immer double-check links (wenn Sie mit der Maus über Sie), sowie die E-Mail-Adresse des Absenders. Wenn Sie Zweifel haben, nehmen Sie Kontakt mit dem Absender durch eine andere Methode—einen Anruf über die Büro-oder instant-messenger-app vielleicht.

Wir sind ständig bemüht, Sie daran erinnern, um alle Ihre software auf dem neuesten Stand, also wir werden es wieder sagen: Halten Sie Ihre software up-to-date. Es macht Ihr browser, E-Mail-client, und Sicherheits-tools sind eher zu erkennen, wenn Sie phished, und es bedeutet, dass der Schaden von jedem Angriff, der erfolgreich minimiert werden, so viel wie möglich.

Wenn Sie eine E-Mail fordert Sie zum klicken auf einen link, gehen immer direkt an die Webseite in Ihrem browser, um sich anzumelden, anstatt Sie folgenden link, wenn Sie können. Die Ausnahme würde sein, wenn Sie Ihr Kennwort zurücksetzen oder überprüfen von E-Mail-Adresse—aber nur Folgen Sie diesen links, wenn Sie tatsächlich nur ein Passwort zurückgesetzt oder registriert am neuen Ort.

Ein weiteres Sicherheits-mantra, das wir weiter vorantreiben, ist die Aktivierung von zwei-Faktor-Authentifizierung, wo immer möglich. Alle großen apps und Konten bieten diese, und es ist einfach einzurichten. Es ist keine Garantie für Schutz gegen phishing, aber es hat “raise the bar” für Hacker versuchen, an Ihre Sachen, in den Worten von Johannes LaCour.

Wir würden auch empfehlen, sich einen Passwort-manager einrichten, um sicherzustellen, dass alle Ihre Passwörter gut geschützt sind und angemessen stark. Wenn das wirklich nicht appelliere an Sie, halten Sie Ihre Kennwörter in einem notebook ist okay, solange es in einem sehr sicheren Ort. “Es ist absolut besser, eine Reihe von einzigartigen Passwörtern aufgeschrieben irgendwo in deinem Haus, als es ein einzelnes Komplexes Passwort, das Sie sich eingeprägt haben, und auf 10 verschiedene Konten”, sagt LaCour.

Ein bonus auf die Verwendung von Passwort-Managern ist, dass Sie automatisch füllen Sie die Anmeldeinformationen für die anerkannten Leistungen. Also, wenn Sie landen auf einer scheinbar vertrauten Ort und Ihre Anmeldeinformationen nicht pop, das ist noch ein weiterer Hinweis, dass man vielleicht nicht dort, wo Sie dachten, Sie waren.

Es gibt keine narrensichere Schritt-für-Schritt-Ansatz, um vollständig zu immunisieren Sie sich gegen phishing-Attacken, vor allem als Angriff Methoden zu entwickeln und zu ändern, aber mit ein wenig gesundem Menschenverstand, können Sie reduzieren das Risiko deutlich.

Proofpoint Chris Dawson gibt eine umfassende Liste, was zu sehen für: Bedrohliche Sprache, Rechtschreibfehler, Ungenauigkeiten im text, Druck, schnell zu handeln, versucht zu verursachen, Panik, und Aufforderungen zur überweisung von Geld (auch wenn man Sie erwartet).

Dieser Letzte Punkt ist besonders wichtig beim Umgang mit großen Geldsummen. Auch wenn eine E-Mail kommt von Ihrem Makler die echte E-Mail-Adresse, zum Beispiel, gibt es eine chance, dass Hacker Zugriff auf das Unternehmens-Posteingänge und arbeiten Sie aus der Ferne. Ein kurzer Anruf wäre genug, um zu bestätigen, das richtige Konto für einen erheblichen Geld-transfer.

“In fast jedem Aspekt eine E-Mail, auch das display oder Von Namen, die manipuliert werden können, um trick Benutzer zu glauben, Sie wissen, von wem Sie eine E-Mail,” sagte Dawson. “Dadurch werden alle E-Mails, die personenbezogene Informationen, Anmeldeinformationen, schieben Sie die Leser auf einen link zu klicken, oder öffnen Sie eine Anlage muss so behandelt werden, als potenziell schädliche.”

Teilen Sie Diese Geschichte