Schematy phishingowe wciąż stanowią jedno z najpoważniejszych zagrożeń dla firm. Nawet giganci internetowi, tacy jak Google i Facebook zostałem oszukany ze 100 milionów dolarów poprzez e-mailowy schemat phishingu, gdy haker podszywał się pod dostawcę części komputerowych.
Według FBI przestępcy uciekli z co najmniej 676 milionów dolarów w zeszłym roku dzięki tak zwanym kampaniom włamań do firmowej poczty elektronicznej, które są atakami mającymi na celu nakłonienie kierownictwa firmy lub działów księgowości do wysłania pieniędzy do fałszywych dostawców.
Jednym z powodów, dla których oszustwa e-mailowe działają tak dobrze, jest to, że wszyscy używają poczty e-mail, mówi Patrick Peterson, założyciel i dyrektor generalny Agari, firmy zajmującej się bezpieczeństwem poczty elektronicznej z siedzibą w San Mateo w Kalifornii. „Grzechem pierworodnym e-maili jest to, że każdy może wysłać cokolwiek komukolwiek i nie ma możliwości sprawdzenia, czy link lub załączony arkusz kalkulacyjny jest złośliwy” – mówi.
Przestępcy nadal odnoszą sukcesy, mówi się, ponieważ ataki phishingowe są proste, niskotechnologiczne i wykorzystują słabości natury ludzkiej. Wewnętrznie chcemy otwierać adresowane do nas wiadomości i klikać przyciski. Mamy FOMO na jedyne w życiu okazje. I przerażają nas groźby.
Gdy przestępcy dostosowują swoje techniki, Ty (i Twoi pracownicy) powinniście być świadomi oszustw, które mają miejsce w ciągu dnia. Oto niektóre z najpopularniejszych obecnie ataków phishingowych.
1. Mistrzostwa Świata i wynajem wakacyjny.
Gdy najlepsi piłkarze z całego świata walczą podczas Mistrzostw Świata w Rosji, fani marzą o znalezieniu niedrogich biletów. Według Federalnej Komisji Handlu tego lata oszuści oszukują fanów e-mailami phishingowymi, które obejmują kuszące, ale całkowicie fałszywe, bezpłatne wycieczki do Moskwy.
„Zignoruj każdy e-mail, który twierdzi, że wygrałeś bilety na Mistrzostwa Świata lub nagrodę na loterii, aby wziąć udział w Pucharze”, FTC zamieszczone na swojej stronie internetowej w zeszłym tygodniu . „Oferta może wydawać się obiecująca, ale prawda jest taka, że oszuści po prostu wyłudzają informacje osobiste. Nigdy nie otwieraj plików ani nie klikaj linków przesłanych przez nieznajomych. I nigdy nie płać opłaty, aby odebrać nagrodę.
FTC ostrzega również, że oszustwa związane z wynajmem wakacyjnym , zwłaszcza w okresie 4 lipca i przez całe lato, rosną. Niektórzy oszuści atakują właściciela, który reklamuje ofertę, przejmują jego konto e-mail i zastępują adres e-mail w reklamach wynajmu nieruchomości własnym adresem e-mail. Te aukcje zwykle oferują elegancki dom po cenie niższej niż rynkowa i mogą wymagać płatności za pomocą przedpłaconej karty debetowej lub karty podarunkowej.
2. Przejęcie konta.
Peterson z Agari zauważa, że podczas gdy kompromitacja biznesowej poczty elektronicznej stanowi prawie 50% z 1,4 miliarda dolarów całkowitych strat spowodowanych przestępstwami internetowymi śledzonymi przez FBI, pojawia się nowe rosnące zagrożenie: ataki polegające na przejęciu kont. Wtedy haker przeniknie do Twojego konta e-mail i dowie się, kim jesteś i jakie rodzaje działalności prowadzisz.
Peterson twierdzi, że jego klienci zgłaszają 126-procentowy wzrost liczby ataków polegających na przejmowaniu kont e-mail. Ataki te są ciche i powolne, ale mają duży wpływ. Od zeszłego roku hakerzy atakują agentów nieruchomości i kradną przelewy bankowe w celu sprzedaży domów.
Na niedawnej konferencji „byliśmy dwóch dyrektorów tytułowych firm, którzy powiedzieli, że widzą to codziennie”, mówi. „Ludzie przelewają setki tysięcy dolarów. Ten atak przynosi ogromne straty.
3. Za pośrednictwem mediów społecznościowych.
Mike Murray, wiceprezes ds. wywiadu bezpieczeństwa w Lookout, firmie zajmującej się bezpieczeństwem mobilnym, mówi, że phishing społecznościowy zazwyczaj odnosi się do bieżących, wartych opublikowania wydarzeń. Dobrą wiadomością jest to, że tego typu ataki stają się coraz trudniejsze do przeprowadzenia, ponieważ dostawcy poczty e-mail i firmy zajmujące się bezpieczeństwem zwiększają obronę. Złą wiadomością jest to, że oszuści sięgają po platformy z mniejszą liczbą zabezpieczeń.
„Dla wyrafinowanego, modnego napastnika chodzi o całkowite wyrwanie się z poczty e-mail i skupienie się na mediach społecznościowych lub kanałach mobilnych” – mówi Murray. „Widzimy wiadomości z Facebooka, SMS-y, iMessage, Android Hangouts, WhatsApp, a nawet podstawowe ataki za pośrednictwem Snapchata. Atakujący robią to, co zawsze – dostosowują się do nowych kanałów.
Jako praktyczną wskazówkę, Guy Nizan, założyciel firmy ochroniarskiej IntSights Cyber Intelligence, sugeruje przeprowadzenie badań, gdy otrzymasz niepewną wiadomość. Na przykład, jeśli otrzymasz wiadomość z adresu, któremu nie ufasz, przeszukaj adres nadawcy w bazach spamu, takich jak Spamhaus.org lub DNSStuff.com lub sprawdź reputację nadawcy za pomocą SenderScore.org lub ReputationAuthority.org .
Zobacz: Najlepszy hosting
