選項
2023 年了解網絡釣魚的終極指南
那是什麼呢 網絡釣魚?
網絡釣魚是一種社會工程形式,可以誘騙人們洩露他們的密碼或有價值的東西 信息. 網絡釣魚攻擊可以採用電子郵件、短信和電話的形式。
通常,這些攻擊偽裝成人們很容易識別的流行服務和公司。
當用戶單擊電子郵件正文中的網絡釣魚鏈接時,他們將被發送到他們信任的網站的相似版本。 在網絡釣魚詐騙中,此時要求他們提供登錄憑據。 一旦他們在假網站上輸入信息,攻擊者就擁有了訪問其真實帳戶所需的信息。
網絡釣魚攻擊可能導致個人信息、財務信息或健康信息被盜。 一旦攻擊者獲得一個帳戶的訪問權限,他們要么出售對該帳戶的訪問權限,要么使用該信息來入侵受害者的其他帳戶。
一旦帳戶被出售,知道如何從該帳戶中獲利的人將從暗網購買帳戶憑據,並利用被盜數據。
以下是幫助您了解網絡釣魚攻擊步驟的可視化:
網絡釣魚攻擊有不同的形式。 網絡釣魚可以通過電話、短信、電子郵件或社交媒體消息進行。
通用網絡釣魚電子郵件是最常見的網絡釣魚攻擊類型。 像這樣的攻擊很常見,因為它們花費的精力最少。
黑客獲取與 Paypal 或社交媒體帳戶關聯的電子郵件地址列表,並發送 向潛在受害者發送大量電子郵件.
當受害者點擊電子郵件中的鏈接時,通常會將他們帶到一個流行網站的假冒版本,並要求他們使用自己的帳戶信息登錄。 一旦他們提交了他們的賬戶信息,黑客就擁有了訪問他們賬戶所需的信息。
從某種意義上說,這種網絡釣魚就像撒網捕魚一樣。 而其他形式的網絡釣魚則更有針對性。
魚叉式網絡釣魚是什麼時候 攻擊者針對特定個人 而不是向一群人發送通用電子郵件。
魚叉式網絡釣魚攻擊試圖專門針對目標並將自己偽裝成受害者可能認識的人。
如果您在 Internet 上有個人身份信息,這些攻擊對於詐騙者來說更容易。 攻擊者能夠研究您和您的網絡以製作相關且令人信服的消息。
由於高度個性化,與常規網絡釣魚攻擊相比,魚叉式網絡釣魚攻擊更難識別。
它們也不太常見,因為犯罪分子需要更多時間才能成功將其拉下。
問題:釣魚郵件的成功率是多少?
答案:魚叉式釣魚電子郵件的平均電子郵件打開率為 70% 和 50% 的收件人單擊電子郵件中的鏈接。
與魚叉式網絡釣魚攻擊相比,捕鯨攻擊更具針對性。
捕鯨攻擊針對組織中的個人,例如公司的首席執行官或首席財務官。
捕鯨攻擊最常見的目標之一是操縱受害者將大筆資金匯給攻擊者。
與以電子郵件形式進行攻擊的常規網絡釣魚類似,捕鯨可能使用公司徽標和類似地址來偽裝自己。
在某些情況下,攻擊者會冒充 CEO 並使用該角色來說服另一名員工透露財務數據或將資金轉入攻擊者賬戶。
由於員工不太可能拒絕來自上級人員的請求,因此這些攻擊更加狡猾。
攻擊者通常會花費更多時間來設計捕鯨攻擊,因為他們往往會獲得更好的回報。
“捕鯨”一詞指的是目標擁有更多財力(CEO)的事實。
Angler 網絡釣魚是一種相對 新型網絡釣魚攻擊,存在於社交媒體上。
他們不遵循網絡釣魚攻擊的傳統電子郵件格式。
相反,他們將自己偽裝成公司的客戶服務代表,並誘使人們通過直接消息向他們發送信息。
一個常見的騙局是將人們帶到一個虛假的客戶支持網站,該網站將下載惡意軟件或換句話說 勒索 到受害者的設備上。
釣魚攻擊是指詐騙者給您打電話 試圖從您那裡收集個人信息。
詐騙者通常偽裝成信譽良好的企業或組織,例如 Microsoft、IRS,甚至您的銀行。
他們使用恐嚇策略讓您洩露重要的帳戶數據。
這使他們可以直接或間接訪問您的重要帳戶。
釣魚攻擊很棘手。
攻擊者可以輕鬆冒充您信任的人。
觀看 Hailbytes 創始人大衛·麥克海爾 (David McHale) 談論機器人電話將如何隨著未來技術的發展而消失。
大多數網絡釣魚攻擊都是通過電子郵件發生的,但有一些方法可以識別它們的合法性。
當你打開一封電子郵件 檢查它是否來自公共電子郵件域 (即@gmail.com)。
如果它來自公共電子郵件域,則很可能是網絡釣魚攻擊,因為組織不使用公共域。
相反,他們的域對於他們的業務來說是獨一無二的(即 Google 的電子郵件域是@google.com)。
但是,存在使用唯一域的更棘手的網絡釣魚攻擊。
快速搜索公司並檢查其合法性很有用。
網絡釣魚攻擊總是試圖通過友好的問候或同情來與您交朋友。
例如,不久前我在垃圾郵件中發現了一封帶有“親愛的朋友”問候語的釣魚郵件。
我已經知道這是一封網絡釣魚電子郵件,因為它在主題行中寫道:“關於您的資金的好消息 21 /06/2020”。
如果您從未與該聯繫人互動,那麼看到這些類型的問候應該是即時危險信號。
網絡釣魚電子郵件的內容非常重要,您會看到一些與眾不同的特徵。
如果內容聽起來很荒謬,那麼很可能是騙局。
例如,如果主題行說“您贏得了 1000000 美元的彩票”並且您不記得參與過,那麼這就是一個危險信號。
當內容產生一種緊迫感,如“這取決於你”,並導致點擊可疑鏈接時,這很可能是騙局。
網絡釣魚電子郵件總是附有可疑鏈接或文件。
檢查鏈接是否有病毒的一個好方法是使用 VirusTotal,這是一個檢查文件或鏈接是否存在惡意軟件的網站。
釣魚郵件示例:
在示例中,Google 指出該電子郵件可能存在潛在危險。
它認識到其內容與其他類似的網絡釣魚電子郵件相匹配。
如果電子郵件符合上述大部分條件,則建議將其報告給 reportphishing@apwg.org 或 phishing-report@us-cert.gov 以便阻止。
如果您使用的是 Gmail,則可以選擇將電子郵件報告為網絡釣魚。
儘管網絡釣魚攻擊針對的是隨機用戶,但它們通常以公司員工為目標。
然而,攻擊者並不總是追求公司的資金,而是其數據。
就業務而言,數據遠比金錢更有價值,它可以嚴重影響公司。
攻擊者可以使用洩露的數據通過影響消費者信任和玷污公司名稱來影響公眾。
但這並不是由此產生的唯一後果。
其他後果包括對投資者信任的負面影響、擾亂業務以及根據《通用數據保護條例》(GDPR) 引發監管罰款。
建議培訓您的員工處理此問題,以減少成功的網絡釣魚攻擊。
培訓員工的方法通常是向他們展示網絡釣魚電子郵件的示例以及發現它們的方法。
向員工展示網絡釣魚的另一種好方法是通過模擬。
網絡釣魚模擬基本上是虛假攻擊,旨在幫助員工直接識別網絡釣魚而不會產生任何負面影響。
我們現在將分享成功運行網絡釣魚活動所需採取的步驟。
根據 WIPRO 的 2020 年網絡安全狀況報告,網絡釣魚仍然是頭號安全威脅。
收集數據和教育員工的最佳方式之一是開展內部網絡釣魚活動。
使用網絡釣魚平台創建網絡釣魚電子郵件可能很容易,但它比點擊發送要復雜得多。
我們將討論如何通過內部通信處理網絡釣魚測試。
然後,我們將討論您如何分析和使用您收集的數據。
網絡釣魚活動並不是要懲罰落入騙局的人。 網絡釣魚模擬是關於教員工如何回复網絡釣魚電子郵件。 您希望確保在公司中進行網絡釣魚培訓時保持透明。 優先將您的網絡釣魚活動通知公司領導並描述該活動的目標。
在您發送第一個基線網絡釣魚電子郵件測試後,您可以在全公司範圍內向所有員工發佈公告。
內部溝通的一個重要方面是保持信息的一致性。 如果您自己進行網絡釣魚測試,那麼最好為您的培訓材料製作一個品牌。
為你的項目起一個名字將有助於員工在他們的收件箱中認出你的教育內容。
如果您使用的是託管網絡釣魚測試服務,那麼他們可能會涵蓋這一點。 應提前製作教育內容,以便您可以在活動結束後立即跟進。
在基線測試後,向您的員工提供有關內部網絡釣魚電子郵件協議的說明和信息。
您想讓您的同事有機會正確響應培訓。
查看正確發現和報告電子郵件的人數是從網絡釣魚測試中獲得的重要信息。
您的競選活動的首要任務是什麼?
訂婚。
您可以嘗試根據成功和失敗的次數得出結果,但這些數字不一定能幫助您實現目標。
如果您運行網絡釣魚測試模擬並且沒有人點擊鏈接,這是否意味著您的測試成功了?
最簡潔的答案是不”。
擁有 100% 的成功率並不意味著成功。
這可能意味著您的網絡釣魚測試太容易被發現了。
另一方面,如果您的網絡釣魚測試失敗率極高,則可能意味著完全不同的情況。
這可能意味著您的員工還無法發現網絡釣魚攻擊。
當您的活動獲得高點擊率時,您很可能需要降低網絡釣魚電子郵件的難度。
花更多時間培訓當前水平的人員。
您最終希望降低網絡釣魚鏈接的點擊率。
您可能想知道網絡釣魚模擬的點擊率是好是壞。
根據 sans.org,你的 第一次網絡釣魚模擬可能會產生 25-30% 的平均點擊率.
這似乎是一個非常高的數字。
幸運的是,他們報告說 經過 9-18 個月的網絡釣魚訓練,網絡釣魚測試的點擊率是 低於5%。
這些數字可以幫助您粗略估計網絡釣魚訓練的預期結果。
要開始您的第一個網絡釣魚電子郵件模擬,請確保將測試工具的 IP 地址列入白名單。
這可確保員工將收到電子郵件。
在製作您的第一封模擬網絡釣魚電子郵件時,不要讓它太容易或太難。
你還應該記住你的聽眾。
如果您的同事不是社交媒體的重度用戶,那麼使用虛假的 LinkedIn 密碼重置網絡釣魚電子郵件可能不是一個好主意。 測試人員電子郵件必須具有足夠廣泛的吸引力,使公司中的每個人都有理由點擊。
具有廣泛吸引力的網絡釣魚電子郵件的一些示例可能是:
請記住在點擊發送之前您的聽眾將如何接收消息的心理。
繼續向您的員工發送網絡釣魚培訓電子郵件。 確保隨著時間的推移慢慢增加難度以提高人們的技能水平。
建議每月發送電子郵件。 如果您過於頻繁地“釣魚”您的組織,他們可能會過快地流行起來。
讓您的員工措手不及是獲得更真實結果的最佳方式。
如果您每次都發送相同類型的“網絡釣魚”電子郵件,您將無法教會您的員工如何應對不同的詐騙。
您可以嘗試幾個不同的角度,包括:
當您發送新的活動時,請始終確保您正在微調消息與您的受眾的相關性。
如果您發送與感興趣的內容無關的網絡釣魚電子郵件,您可能不會從您的活動中獲得太多回复。
在向您的員工發送不同的活動後,刷新一些第一次欺騙人們的舊活動,並對該活動進行新的調整。
如果您看到人們正在學習和改進,您就可以判斷培訓的有效性。
從那裡您將能夠判斷他們是否需要更多關於如何發現某種類型的網絡釣魚電子郵件的教育。
有 3 個因素決定您是要創建自己的網絡釣魚培訓計劃還是外包該計劃。
如果您是一名安全工程師或在您的公司擁有一名安全工程師,您可以使用預先存在的網絡釣魚平台輕鬆地創建網絡釣魚服務器來創建您的活動。
如果您沒有任何安全工程師,創建您自己的網絡釣魚程序可能是不可能的。
您的組織中可能有安全工程師,但他們可能沒有社交工程或網絡釣魚測試的經驗。
如果您有經驗豐富的人,那麼他們將足夠可靠來創建自己的網絡釣魚程序。
這對中小型公司來說是一個非常重要的因素。
如果您的團隊規模較小,則可能不方便向您的安全團隊添加另一項任務。
讓另一個經驗豐富的團隊為您完成工作會方便得多。
您已經閱讀了整個指南以了解如何培訓您的員工,並且您已準備好開始通過網絡釣魚培訓來保護您的組織。
現在怎麼辦?
如果您是一名安全工程師並想立即開始運行您的第一個網絡釣魚活動, 轉到此處了解有關網絡釣魚模擬工具的更多信息,您可以使用該工具立即開始使用。
要么…
如果您有興趣了解為您運行網絡釣魚活動的託管服務, 在此處詳細了解如何開始免費試用網絡釣魚培訓。
冰雹
9511 皇后衛隊 Ct。
勞雷爾,MD 20723
電話:(732) 771-9995
郵箱:info@hailbytes.com
