Marketerzy są projektantami wizerunku marki, dlatego muszą być świadomi tych 5 słynnych terminów związanych z phishingiem, które mogą siać spustoszenie w reputacji firmy. Phishing to rodzaj wektora ataku, który polega na tym, że strona internetowa lub wiadomość e-mail wygląda tak, jakby pochodziła od renomowanej organizacji, ale w rzeczywistości została stworzona z zamiarem pozyskania poufnych informacji, takich jak nazwy użytkowników, hasła i dane kart kredytowych (znane również jako dane kart). Ataki phishingowe są powszechne w świecie online.
Kiedy Twoja firma pada ofiarą ataku phishingowego, może to zaszkodzić marce i zaburzyć ranking w wyszukiwarkach lub współczynnik konwersji. Ochrona przed atakami phishingowymi powinna być priorytetem dla marketerów, ponieważ są one bezpośrednim odzwierciedleniem konsekwencji Twojej firmy. Dlatego też, jako marketerzy, musimy postępować z najwyższą ostrożnością, jeśli chodzi o oszustwa phishingowe.
Oszustwa phishingowe są znane od wielu lat. Nie martw się, jeśli nie słyszałeś o nich wcześniej, to nie twoja wina. Niektórzy twierdzą, że cyberoszustwo narodziło się 10 lat temu, ale phishing oficjalnie stał się przestępstwem w 2004 roku. Ponieważ techniki phishingu wciąż ewoluują, napotkanie nowej wiadomości phishingowej może szybko stać się mylące, a czasami trudno jest stwierdzić, czy wiadomość jest legalna, czy nie. Możesz lepiej chronić siebie i swoją organizację, zwracając uwagę na te pięć powszechnych technik phishingu.
5 popularnych terminów związanych z phishingiem, które musisz znać
1) Email Phishing
Wiadomości phishingowe są zazwyczaj wysyłane masowo z domeny, która imituje prawdziwą. Firma może mieć adres e-mail account@company.com, ale firma wyłudzająca informacje może używać adresu acocunt@company.com. Celem jest nakłonienie użytkownika do kliknięcia na złośliwy link lub udostępnienia poufnych informacji poprzez udawanie prawdziwej firmy, z którą prowadzi interesy. Fałszywa domena często wiąże się z podmianą znaków, na przykład z użyciem liter "r" i "n" obok siebie, aby stworzyć "rn" zamiast "m".
Ataki phishingowe stale się rozwijają i z czasem stają się coraz bardziej niewykrywalne. Zagrożenia wykorzystują taktykę inżynierii społecznej do podszywania się pod domeny i wysyłania fałszywych wiadomości e-mail z legalnej domeny w złych celach.
2) Spear Phishing
Atak typu spear phishing to nowa forma cyberataku, która wykorzystuje fałszywe informacje w celu uzyskania dostępu do kont o podwyższonym poziomie bezpieczeństwa. Profesjonalni napastnicy stawiają sobie za cel skompromitowanie jednej ofiary, a żeby zrealizować ten pomysł, badają profil społeczny firmy oraz nazwiska i role pracowników w tej firmie. W przeciwieństwie do phishingu, Spear phishing jest kampanią skierowaną przeciwko jednej organizacji lub osobie. Kampanie te są starannie konstruowane przez aktorów zagrożeń wyłącznie w celu wycelowania w konkretną osobę (lub osoby), aby uzyskać dostęp do organizacji.
3) Wielorybnictwo
Whaling jest wysoce ukierunkowaną techniką, która może naruszyć pocztę elektroniczną współpracowników wyższego szczebla. Celem, który jest podobny do innych metod phishingu, jest nakłonienie pracowników do kliknięcia na złośliwy link. Jednym z najbardziej niszczycielskich ataków na pocztę elektroniczną, które przeszły przez sieci korporacyjne, jest oszustwo typu whaling. Są to próby osiągnięcia osobistych korzyści przy użyciu siły perswazji w celu obniżenia odporności ofiar, podstępem zmuszając je do przekazania firmowych funduszy. Whaling znany jest również pod nazwą CEO fraud, ponieważ osoby atakujące często podszywają się pod osoby zajmujące autorytarne stanowiska, takie jak dyrektor generalny firmy.
4) Włamanie do służbowej poczty elektronicznej
Business Email Compromise (BEC) jest formą cyberprzestępczości, która może być niezwykle kosztowna dla firm. Ten rodzaj cyberataku wykorzystuje oszustwa e-mailowe, aby wpłynąć na domeny organizacyjne i skłonić je do udziału w nieuczciwej działalności, co skutkuje narażeniem i kradzieżą poufnych danych. Przykłady BEC mogą obejmować oszustwa związane z fakturami, podszywanie się pod domeny oraz inne formy ataków polegających na podszywaniu się pod inne osoby. Każdego roku przeciętna organizacja może stracić nawet 70 milionów dolarów w wyniku oszustw BEC, dowiedz się więcej o statystykach ataków BEC w 2020 roku. W typowym ataku oszuści celują w konkretne role pracowników w organizacji, wysyłając serię fałszywych wiadomości e-mail, które podają się za wiadomości od starszego kolegi, klienta lub partnera biznesowego. Oszuści mogą polecać odbiorcom dokonanie płatności lub ujawnienie poufnych danych.
5) Phishing wędkarski
Wiele korporacji ma tysiące klientów i otrzymuje setki skarg dziennie. Dzięki mediom społecznościowym firmy są w stanie uciec od swoich ograniczeń i dotrzeć do swoich klientów. W tym celu korporacje często korzystają z narzędzi do zarządzania społecznością i zarządzania reputacją online. Dzięki temu korporacja może być elastyczna i dostosowywać się do wymagań swoich klientów. Phishing wędkarski to działanie polegające na docieraniu do niezadowolonych klientów za pośrednictwem mediów społecznościowych i udawanie, że jest się częścią firmy. Oszustwo typu angler phishing jest prostą sztuczką stosowaną w celu oszukania przypadkowych użytkowników mediów społecznościowych, aby myśleli, że firma próbuje zaradzić ich problemom, podczas gdy w rzeczywistości osoba na drugim końcu wykorzystuje ich.
Jak chronić Twoją organizację przed phishingiem i oszustwami e-mailowymi?
Twój dostawca usług poczty elektronicznej może posiadać zintegrowane pakiety bezpieczeństwa jako część swojej usługi. Te jednak działają jak filtry antyspamowe, które oferują ochronę przed przychodzącymi próbami phishingu. Jednak gdy e-mail jest wysyłany przez oszustów używających nazwy Twojej domeny do skrzynek odbiorców, jak w przypadku BEC, whaling i innych form ataków podszywania się wymienionych powyżej, nie będą one służyć celowi. Dlatego właśnie należy skorzystać z rozwiązań uwierzytelniania poczty elektronicznej, takich jak DMARC, natychmiast i przejść na politykę egzekwowania.
- DMARC uwierzytelnia wiadomości e-mail, dostosowując je do standardów uwierzytelniania SPF i DKIM.
- Określa, jak serwery odbiorcze powinny reagować na e-maile, które nie przejdą pomyślnie kontroli uwierzytelniania.
- Raporty DMARC aggregate (RUA) zapewniają lepszy wgląd w ekosystem poczty elektronicznej i wyniki uwierzytelniania oraz pomagają w łatwy sposób monitorować domeny.
- Raporty DMARC Forensic (RUF) zapewniają dogłębną analizę wyników awarii DMARC, pomagając szybciej reagować na ataki podszywania się.
Jak PowerDMARC może pomóc Twojej marce?
PowerDMARC to coś więcej niż tylko dostawca usług DMARC, to platforma SaaS typu multi-tenant, która zapewnia szeroką gamę rozwiązań uwierzytelniających i programów DMARC MSSP. Sprawiamy, że uwierzytelnianie poczty elektronicznej jest łatwe i dostępne dla każdej organizacji, od małych firm po międzynarodowe przedsiębiorstwa.
- Pomożemy Ci przejść z p=none do p=reject w krótkim czasie, tak aby chronić Twoją markę przed atakami podszywania się, spoofingiem domen i phishingiem.
- Pomagamy łatwo skonfigurować raportowanie DMARC za pomocą kompleksowych wykresów i tabel oraz widoków raportów RUA w 6 różnych formatach dla łatwości użytkowania i lepszej widoczności.
- Dbamy o Twoją prywatność, więc możesz zaszyfrować swoje raporty DMARC RUF swoim kluczem prywatnym.
- Pomagamy w generowaniu zaplanowanych raportów PDF dotyczących wyników uwierzytelniania
- Dostarczamy dynamiczne rozwiązanie spłaszczające SPF, takie jak PowerSPF, aby nigdy nie przekroczyć limitu 10 odwołań do DNS.
- Pomagamy wprowadzić obowiązkowe szyfrowanie TLS w SMTP, z MTA-STS, aby chronić domenę przed wszechobecnymi atakami monitorującymi.
- Dzięki BIMI pomożemy Ci sprawić, że Twoja marka będzie wizualnie rozpoznawalna w skrzynkach odbiorczych Twoich klientów.
Zarejestruj się w PowerDMARC już dziś, aby otrzymać bezpłatną wersję próbną narzędzia do analizy DMARC i przejść od polityki monitorowania do egzekwowania, aby zapewnić swojej domenie maksymalną ochronę przed atakami BEC, phishingiem i spoofingiem.
