網絡釣魚意識:它是如何發生的以及如何預防
犯罪分子為何使用網絡釣魚攻擊?
組織中最大的安全漏洞是什麼?
人民!
每當他們想要感染計算機或獲取重要信息時 信息 例如帳號、密碼或 PIN 碼,他們所要做的就是詢問。
釣魚 攻擊很常見,因為它們是:
- 操作簡單——一個 6 歲的孩子就可以進行網絡釣魚攻擊。
- 可擴展——它們的範圍從針對一個人的魚叉式網絡釣魚攻擊到針對整個組織的攻擊。
- 非常有效 - 組織的74% 經歷過一次成功的網絡釣魚攻擊。
網絡釣魚攻擊之所以流行,不僅僅是因為它們很容易成功。 它們很受歡迎,因為它們的利潤很高。 那麼,不法分子是如何從網絡釣魚詐騙中獲利的呢? 他們通常會在暗網上出售您的憑據供其他犯罪分子利用。 以下是有關憑據在暗網上的用途的一些統計數據:
- Gmail 帳戶憑據 – $80
- 信用卡密碼 – $20
- 賬戶中至少有 100 美元的在線銀行憑證 – $40
- 至少有 2,000 美元的銀行賬戶 – $120
你可能在想,“哇,我的賬戶要跌到谷底了!”
這是真的。
還有其他類型的賬戶價格要高得多,因為它們更容易保持匿名轉賬。
持有加密貨幣的賬戶是網絡釣魚詐騙者的頭獎。
加密賬戶的現行利率是:
- 幣庫—— $610
- Blockchain.com – $310
- 幣安—— $410
網絡釣魚攻擊還有其他非財務原因。
網絡釣魚攻擊可以被民族國家用來入侵其他國家並挖掘他們的數據。
攻擊可能是為了個人仇恨,甚至是為了破壞公司或政敵的聲譽。
網絡釣魚攻擊的原因是無窮無盡的……
網絡釣魚攻擊是如何開始的?
網絡釣魚攻擊通常始於犯罪分子立即出現並向您發送消息。
他們可能會給您打電話、發送電子郵件、即時消息或短信。
他們可能聲稱自己是在銀行工作的人、與您有業務往來的另一家公司、政府機構,甚至假裝是您自己組織中的人。
網絡釣魚電子郵件可能會要求您單擊鏈接或下載並執行文件。
您可能認為這是一條合法的消息,單擊他們消息中的鏈接,然後登錄到看似來自您信任的組織的網站。
至此,釣魚詐騙就完成了。
您已將您的私人信息交給攻擊者。
有關網絡釣魚當前狀態的更多信息,您可以查看我們的 2023 年了解網絡釣魚的終極指南 在這裡:
2023 年了解網絡釣魚的終極指南
如何防止網絡釣魚攻擊
避免網絡釣魚攻擊的主要策略是培訓員工和建立組織意識。
許多網絡釣魚攻擊看起來像合法電子郵件,可以通過垃圾郵件過濾器或類似的安全過濾器。
乍一看,使用已知徽標佈局等的消息或網站可能看起來很真實。
幸運的是,檢測網絡釣魚攻擊並不那麼困難。
首先要注意的是發件人的地址。
如果發件人地址是您可能習慣的網站域的變體,您可能需要謹慎行事,不要單擊電子郵件正文中的任何內容。
如果有任何鏈接,您還可以查看重定向到的網站地址。
為安全起見,您應該在瀏覽器中鍵入您要訪問的組織的地址或使用瀏覽器收藏夾。
當鼠標懸停在上面時,請注意鏈接顯示的域與發送電子郵件的公司不同。
仔細閱讀郵件內容,對所有要求您提交隱私數據或驗證信息、填寫表格或下載並運行文件的郵件持懷疑態度。
另外,不要讓消息的內容欺騙了您。
攻擊者經常試圖恐嚇您,讓您點擊鏈接或獎勵您以獲取您的個人數據。
在大流行或國家緊急狀態期間,網絡釣魚詐騙者會利用人們的恐懼,使用主題行或郵件正文的內容來嚇唬你採取行動並點擊鏈接。
此外,檢查電子郵件或網站中是否存在錯誤的拼寫或語法錯誤。
另一件要記住的事情是,大多數受信任的公司通常不會要求您通過網絡或郵件發送敏感數據。
這就是為什麼你永遠不應該點擊可疑鏈接或提供任何類型的敏感數據。
收到釣魚郵件怎麼辦?
如果您收到一條看起來像網絡釣魚攻擊的消息,您有三種選擇。
- 刪除它。
- 通過組織的傳統溝通渠道聯繫組織,驗證消息內容。
- 您可以將該消息轉發給您的 IT 安全部門進行進一步分析。
您的公司應該已經在篩查和過濾大部分可疑電子郵件,但任何人都可能成為受害者。
不幸的是,網絡釣魚詐騙在互聯網上的威脅越來越大,壞人總是在開發新的策略來進入您的收件箱。
請記住,您是抵禦網絡釣魚攻擊的最後一道也是最重要的一道防線。
如何在網絡釣魚攻擊發生之前阻止它
由於網絡釣魚攻擊依賴於人為錯誤才能發揮作用,因此最好的選擇是培訓您企業中的人員如何避免上鉤。
這並不意味著您必須召開大型會議或研討會來討論如何避免網絡釣魚攻擊。
有更好的方法可以找到您的安全漏洞並改善您對網絡釣魚的反應。
您可以採取 2 個步驟來防止網絡釣魚詐騙
步驟 1. 使用網絡釣魚模擬器
https://www.youtube.com/watch?v=gJ5WNdpKCB8&t=16sA 網絡釣魚模擬器 是允許您模擬對您組織的所有成員的網絡釣魚攻擊的軟件。
網絡釣魚模擬器通常帶有模板,以幫助將電子郵件偽裝成受信任的供應商或模仿內部電子郵件格式。
網絡釣魚模擬器不僅會創建電子郵件,還會幫助建立虛假網站,如果收件人未通過測試,他們最終將輸入他們的憑據。
與其責罵他們落入陷阱,最好的處理方法是提供有關如何評估未來釣魚郵件的信息。
如果有人未通過網絡釣魚測試,最好只向他們發送一份關於發現網絡釣魚電子郵件的提示列表。
您甚至可以將本文作為您員工的參考。
使用良好的網絡釣魚模擬器的另一個主要好處是,您可以衡量組織中的人為威脅,這通常很難預測。
培訓員工達到安全的緩解水平可能需要長達一年半的時間。
根據您的需要選擇合適的網絡釣魚模擬基礎設施非常重要。
如果您在一家企業中進行網絡釣魚模擬,那麼您的任務會更容易
如果您是 MSP 或 MSSP,您可能需要跨多個企業和地點運行網絡釣魚測試。
選擇基於雲的解決方案對於運行多個活動的用戶來說是最佳選擇。
在 Hailbytes,我們已經配置 網絡釣魚,最流行的開源網絡釣魚框架之一 AWS 上易於使用的實例.
許多網絡釣魚模擬器採用傳統的 SaaS 模型,並與之簽訂緊密的合同,但 AWS 上的 GoPhish 是一種基於雲的服務,您可以在其中按計量費率支付費用,而不是 1 年或 2 年的合同。
步驟 2. 安全意識培訓
給員工的一個關鍵好處 安全意識 培訓正在保護他們免遭身份盜竊、銀行盜竊和商業憑證被盜。
安全意識培訓對於提高員工發現網絡釣魚企圖的能力至關重要。
課程可以幫助培訓員工檢測網絡釣魚企圖,但只有少數課程專注於小型企業。
作為小企業主,您可能很想通過發送一些有關安全意識的 Youtube 視頻來降低課程成本……
但工作人員 很少記得 這樣的訓練不止幾天。
Hailbytes 的課程結合了快速視頻和測驗,因此您可以跟踪員工的進度,證明安全措施到位,並大大降低遭受網絡釣魚詐騙的機會。
您可以在此處查看我們在 Udemy 上的課程,或單擊以下課程:
如果您有興趣運行免費的網絡釣魚模擬來培訓您的員工,請前往 AWS 並查看 GoPhish!
入門很容易,如果您需要設置方面的幫助,可以隨時與我們聯繫。