Stanowiska

Marketerzy są projektantami wizerunku marki, dlatego muszą być świadomi tych 5 słynnych terminów związanych z phishingiem, które mogą siać spustoszenie w reputacji firmy. Phishing to rodzaj wektora ataku, który polega na tym, że strona internetowa lub wiadomość e-mail wygląda tak, jakby pochodziła od renomowanej organizacji, ale w rzeczywistości została stworzona z zamiarem pozyskania poufnych informacji, takich jak nazwy użytkowników, hasła i dane kart kredytowych (znane również jako dane kart). Ataki phishingowe są powszechne w świecie online.

Kiedy Twoja firma pada ofiarą ataku phishingowego, może to zaszkodzić marce i zaburzyć ranking w wyszukiwarkach lub współczynnik konwersji. Ochrona przed atakami phishingowymi powinna być priorytetem dla marketerów, ponieważ są one bezpośrednim odzwierciedleniem konsekwencji Twojej firmy. Dlatego też, jako marketerzy, musimy postępować z najwyższą ostrożnością, jeśli chodzi o oszustwa phishingowe.

Oszustwa typu phishing są znane od wielu lat. Nie martw się, jeśli nie słyszałeś o tym wcześniej, to nie Twoja wina. Niektórzy twierdzą, że cyberoszustwo narodziło się 10 lat temu, ale phishing oficjalnie stał się przestępstwem w 2004 roku. Ponieważ techniki phishingu wciąż ewoluują, napotkanie nowej wiadomości phishingowej może szybko stać się mylące, a czasami trudno jest stwierdzić, czy wiadomość jest prawdziwa, czy nie. Możesz lepiej chronić siebie i swoją organizację, będąc wyczulonym na te pięć popularnych technik phishingu.

5 popularnych terminów związanych z phishingiem, które musisz znać

1) Email Phishing 

Wiadomości phishingowe są zazwyczaj wysyłane masowo z domeny, która imituje prawdziwą. Firma może mieć adres e-mail [email protected], ale firma wyłudzająca informacje może używać adresu [email protected] Celem jest nakłonienie użytkownika do kliknięcia na złośliwy link lub udostępnienia poufnych informacji poprzez udawanie prawdziwej firmy, z którą prowadzi interesy. Fałszywa domena często wiąże się z podmianą znaków, na przykład z użyciem liter "r" i "n" obok siebie, aby stworzyć "rn" zamiast "m".

Ataki phishingowe stale się rozwijają i z czasem stają się coraz bardziej niewykrywalne. Zagrożenia wykorzystują taktykę inżynierii społecznej do podszywania się pod domeny i wysyłania fałszywych wiadomości e-mail z legalnej domeny w złych celach.

2) Spear Phishing 

Atak typu spear phishing to nowa forma cyberataku, która wykorzystuje fałszywe informacje w celu uzyskania dostępu do kont o podwyższonym poziomie bezpieczeństwa. Profesjonalni napastnicy stawiają sobie za cel skompromitowanie jednej ofiary, a żeby zrealizować ten pomysł, badają profil społeczny firmy oraz nazwiska i role pracowników w tej firmie. W przeciwieństwie do phishingu, Spear phishing jest kampanią skierowaną przeciwko jednej organizacji lub osobie. Kampanie te są starannie konstruowane przez aktorów zagrożeń wyłącznie w celu wycelowania w konkretną osobę (lub osoby), aby uzyskać dostęp do organizacji.

3) Wielorybnictwo

Whaling jest wysoce ukierunkowaną techniką, która może naruszyć pocztę elektroniczną współpracowników wyższego szczebla. Celem, który jest podobny do innych metod phishingu, jest nakłonienie pracowników do kliknięcia na złośliwy link. Jednym z najbardziej niszczycielskich ataków na pocztę elektroniczną, które przeszły przez sieci korporacyjne, jest oszustwo typu whaling. Są to próby osiągnięcia osobistych korzyści przy użyciu siły perswazji w celu obniżenia odporności ofiar, podstępem zmuszając je do przekazania firmowych funduszy. Whaling znany jest również pod nazwą CEO fraud, ponieważ osoby atakujące często podszywają się pod osoby zajmujące autorytarne stanowiska, takie jak dyrektor generalny firmy.

4) Włamanie do służbowej poczty elektronicznej 

Business Email Compromise (BEC) jest formą cyberprzestępczości, która może być niezwykle kosztowna dla firm. Ten rodzaj cyberataku wykorzystuje oszustwa e-mailowe, aby wpłynąć na domeny organizacyjne i skłonić je do udziału w nieuczciwej działalności, co skutkuje narażeniem i kradzieżą poufnych danych. Przykłady BEC mogą obejmować oszustwa związane z fakturami, podszywanie się pod domeny oraz inne formy ataków polegających na podszywaniu się pod inne osoby. Każdego roku przeciętna organizacja może stracić nawet 70 milionów dolarów w wyniku oszustw BEC, dowiedz się więcej o statystykach ataków BEC w 2020 roku. W typowym ataku oszuści celują w konkretne role pracowników w organizacji, wysyłając serię fałszywych wiadomości e-mail, które podają się za wiadomości od starszego kolegi, klienta lub partnera biznesowego. Oszuści mogą polecać odbiorcom dokonanie płatności lub ujawnienie poufnych danych.

5) Phishing wędkarski 

Wiele korporacji ma tysiące klientów i otrzymuje setki skarg dziennie. Poprzez media społecznościowe, firmy są w stanie uciec od swoich ograniczeń i dotrzeć do swoich klientów. Dzięki temu korporacja może być elastyczna i dostosowywać się do wymagań swoich klientów. Phishing wędkarski polega na docieraniu do niezadowolonych klientów za pośrednictwem mediów społecznościowych i udawaniu, że jest się częścią firmy. Oszustwo typu angler phishing jest prostą sztuczką stosowaną w celu oszukania przypadkowych użytkowników mediów społecznościowych, aby myśleli, że firma próbuje zaradzić ich problemom, podczas gdy w rzeczywistości osoba na drugim końcu wykorzystuje ich.

Jak chronić Twoją organizację przed phishingiem i oszustwami e-mailowymi?

Twój dostawca usług poczty elektronicznej może posiadać zintegrowane pakiety bezpieczeństwa jako część swojej usługi. Te jednak działają jak filtry antyspamowe, które oferują ochronę przed przychodzącymi próbami phishingu. Jednak gdy e-mail jest wysyłany przez oszustów używających nazwy Twojej domeny do skrzynek odbiorców, jak w przypadku BEC, whaling i innych form ataków podszywania się wymienionych powyżej, nie będą one służyć celowi. Dlatego właśnie należy skorzystać z rozwiązań uwierzytelniania poczty elektronicznej, takich jak DMARC, natychmiast i przejść na politykę egzekwowania.

  • DMARC uwierzytelnia Twoje e-maile poprzez dostosowanie ich do standardów uwierzytelniania SPF i DKIM.
  • Określa, jak serwery odbiorcze powinny reagować na e-maile, które nie przejdą pomyślnie kontroli uwierzytelniania.
  • Raporty DMARC aggregate (RUA) zapewniają lepszy wgląd w ekosystem poczty elektronicznej i wyniki uwierzytelniania oraz pomagają w łatwy sposób monitorować domeny.
  • Raporty DMARC Forensic (RUF) zapewniają dogłębną analizę wyników awarii DMARC, pomagając szybciej reagować na ataki podszywania się.

Jak PowerDMARC może pomóc Twojej marce?

PowerDMARC to więcej niż tylko dostawca usług DMARC, to platforma SaaS typu multi-tenant, która zapewnia szeroką gamę rozwiązań uwierzytelniania i programów DMARC MSSP. Sprawiamy, że uwierzytelnianie poczty elektronicznej jest łatwe i dostępne dla każdej organizacji, od małych firm po międzynarodowe przedsiębiorstwa.

  • Pomożemy Ci przejść z p=none do p=reject w krótkim czasie, tak aby chronić Twoją markę przed atakami podszywania się, spoofingiem domen i phishingiem.
  • Pomagamy Ci łatwo skonfigurować raportowanie DMARC dla Twoich potrzeb za pomocą wszechstronnych wykresów i tabel oraz widoków raportów RUA w 6 różnych formatach, aby ułatwić obsługę i zwiększyć widoczność.
  • Dbamy o Twoją prywatność, więc możesz zaszyfrować swoje raporty DMARC RUF swoim kluczem prywatnym.
  • Pomagamy w generowaniu zaplanowanych raportów PDF dotyczących wyników uwierzytelniania
  • Dostarczamy dynamiczne rozwiązanie spłaszczające SPF, takie jak PowerSPF, aby nigdy nie przekroczyć limitu 10 odwołań do DNS.
  • Pomagamy wprowadzić obowiązek szyfrowania TLS w SMTP, z MTA-STS, aby chronić domenę przed atakami monitoringu.
  • Dzięki BIMI pomożemy Ci sprawić, że Twoja marka będzie wizualnie rozpoznawalna w skrzynkach odbiorczych Twoich klientów.

Zarejestruj się w PowerDMARC już dziś, aby otrzymać bezpłatną wersję próbną narzędzia do analizy DMARC i przejść od polityki monitorowania do egzekwowania, aby zapewnić swojej domenie maksymalną ochronę przed atakami BEC, phishingiem i spoofingiem.

Poczta elektroniczna służy jako krytyczny kanał dla generowania leadów B2B i komunikacji z klientami, ale jest również jednym z najczęstszych kanałów ataków cybernetycznych i oszustw e-mailowych. Cyberprzestępcy stale unowocześniają swoje ataki, aby wykraść więcej informacji i aktywów finansowych. W miarę jak organizacje starają się bronić za pomocą silniejszych zabezpieczeń, cyberprzestępcy muszą nieustannie ewoluować swoją taktykę i udoskonalać techniki phishingu i spoofingu.

W 2021 r. badacze bezpieczeństwa z całego świata wykryli drastyczny wzrost wykorzystania ataków phishingowych opartych na uczeniu maszynowym (ML) i sztucznej inteligencji (AI), które pozostają niewykryte przez tradycyjne rozwiązania zabezpieczające pocztę elektroniczną. Głównym celem tych ataków jest manipulowanie ludzkim zachowaniem i nakłanianie ludzi do wykonywania nieautoryzowanych działań - takich jak przekazywanie pieniędzy na konta oszustów.

Zagrożenie atakami i oszustwami związanymi z pocztą elektroniczną stale ewoluuje, więc nie zostawaj w tyle. Poznaj trendy w zakresie oszustw e-mailowych, które będą miały miejsce w kolejnych latach w odniesieniu do taktyk, narzędzi i złośliwego oprogramowania stosowanych przez oszustów. W tym wpisie na blogu pokażę Ci, jak cyberprzestępcy rozwijają swoją taktykę i wyjaśnię, jak Twoja firma może zapobiec tego rodzaju atakom e-mailowym.

Rodzaje oszustw e-mailowych, których należy się wystrzegać w 2021 r.

1. Włamania do służbowej poczty elektronicznej (BEC)

COVID-19 zmusił organizacje do wdrożenia środowisk pracy zdalnej i przejścia na wirtualną komunikację między pracownikami, partnerami i klientami. Choć można wymienić kilka korzyści, najbardziej widocznym minusem jest alarmujący wzrost liczby ataków BEC w ciągu ostatniego roku. BEC to szerszy termin odnoszący się do ataków typu email fraud, takich jak email spoofing czy phishing.

Powszechna koncepcja polega na tym, że cyberatakujący wykorzystuje nazwę domeny do wysyłania wiadomości e-mail do partnerów, klientów lub pracowników, próbując wykraść dane uwierzytelniające firmy w celu uzyskania dostępu do poufnych aktywów lub zainicjowania przelewów bankowych. BEC dotknął ponad 70% organizacji w ciągu ostatniego roku i doprowadził do utraty aktywów firmowych o wartości miliardów dolarów.

2. Ewolucyjne ataki phishingowe przez e-mail

Ataki phishingowe za pośrednictwem poczty elektronicznej drastycznie ewoluowały w ciągu ostatnich kilku lat, chociaż motyw pozostał ten sam - jest to medium służące do manipulowania zaufanymi partnerami, pracownikami i klientami w celu skłonienia ich do kliknięcia na złośliwe linki zawarte w wiadomości e-mail, która wydaje się być wysłana od Ciebie, w celu zainicjowania instalacji złośliwego oprogramowania lub kradzieży danych uwierzytelniających. Zaawansowani oszuści e-mailowi wysyłają trudne do wykrycia wiadomości phishingowe. Od pisania nienagannych linii tematycznych i bezbłędnych treści po tworzenie fałszywych stron docelowych z wysokim poziomem dokładności, ręczne śledzenie ich działań staje się coraz trudniejsze w 2021 roku.

3. Man-In-The-Middle

Minęły już czasy, kiedy napastnicy wysyłali źle napisane wiadomości e-mail, które nawet laik mógł zidentyfikować jako fałszywe. Osoby odpowiedzialne za zagrożenia wykorzystują obecnie problemy związane z bezpieczeństwem SMTP, takie jak oportunistyczne szyfrowanie w transakcjach e-mail między dwoma komunikującymi się serwerami pocztowymi, podsłuchując rozmowę po udanym cofnięciu zabezpieczonego połączenia do połączenia nieszyfrowanego. Ataki MITM takie jak SMTP downgrade i DNS spoofing zyskują coraz większą popularność w 2021 roku.

4. Oszustwo prezesa zarządu

Termin "CEO fraud" odnosi się do schematów działania, które są wymierzone w osoby na wysokich stanowiskach kierowniczych w celu uzyskania dostępu do poufnych informacji. Atakujący podszywają się pod rzeczywiste osoby, takie jak dyrektorzy generalni czy dyrektorzy finansowi i wysyłają wiadomości do osób na niższych szczeblach organizacji, partnerów i klientów, nakłaniając ich do przekazania poufnych informacji. Ten typ ataku nazywany jest również Business Email Compromise lub whaling. W środowisku biznesowym, niektórzy przestępcy próbują stworzyć bardziej wiarygodny e-mail, podszywając się pod osoby decyzyjne w organizacji. Dzięki temu mogą poprosić o łatwy przelew pieniędzy lub o poufne informacje na temat firmy.

5. Przynęty szczepionkowe COVID-19

Badacze bezpieczeństwa ujawnili, że hakerzy nadal próbują wykorzystać obawy związane z pandemią wirusa COVID-19. Najnowsze badania rzucają światło na sposób myślenia cyberprzestępców, ujawniając ciągłe zainteresowanie stanem paniki związanym z pandemią COVID-19 oraz wymierny wzrost liczby ataków phishingowych i ataków typu business email compromise (BEC), których celem są liderzy firm. Środkiem służącym do przeprowadzania tych ataków jest fałszywa przynęta w postaci szczepionki COVID-19, która natychmiast wzbudza zainteresowanie odbiorców wiadomości e-mail.

Jak możesz zwiększyć bezpieczeństwo poczty elektronicznej?

  • Skonfiguruj swoją domenę w oparciu o standardy uwierzytelniania poczty elektronicznej takie jak SPF, DKIM i DMARC
  • Przejście z monitorowania DMARC na egzekwowanie DMARC w celu uzyskania maksymalnej ochrony przed BEC, oszustwami CEO i zaawansowanymi atakami phishingowymi
  • Konsekwentnie monitoruj przepływ emaili i wyniki uwierzytelniania od czasu do czasu
  • Wprowadzić obowiązek szyfrowania w SMTP z MTA-STS, aby ograniczyć ataki MITM.
  • Otrzymywanie regularnych powiadomień o problemach z dostarczaniem wiadomości e-mail wraz ze szczegółowymi informacjami na temat ich przyczyn dzięki raportowaniu SMTP TLS (TLS-RPT )
  • Zmniejszanie permerroru SPF poprzez utrzymywanie się poniżej limitu 10 zapytań DNS przez cały czas
  • Pomóż swoim odbiorcom wizualnie zidentyfikować Twoją markę w ich skrzynkach odbiorczych dzięki BIMI

PowerDMARC to Twoja pojedyncza platforma SaaS do uwierzytelniania poczty elektronicznej, która łączy wszystkie protokoły uwierzytelniania poczty elektronicznej takie jak SPF, DKIM, MTA-STS, TLS-RPT i BIMI na jednej szybie. Zarejestruj się już dziś aby otrzymać darmowy analizator DMARC!

Czy wiesz, co jest najgorszym rodzajem oszustwa phishingowego? Taki, którego nie można po prostu zignorować: na przykład CEO Fraud. E-maile rzekomo od rządu, które informują Cię o konieczności uiszczenia zaległej opłaty podatkowej lub ryzykujesz podjęcie kroków prawnych. E-maile, które wyglądają tak, jakby wysłała je Twoja szkoła lub uniwersytet, z prośbą o zapłacenie tego jednego czesnego, które przegapiłeś. Albo nawet wiadomość od Twojego szefa lub dyrektora generalnego, z prośbą o przelanie pieniędzy "w ramach przysługi".

Problem z tego typu mailami polega na tym, że podszywają się one pod autorytet, niezależnie od tego, czy jest to rząd, rada uczelni, czy szef w pracy. Są to ważne osoby, a zignorowanie ich wiadomości prawie na pewno będzie miało poważne konsekwencje. Jesteś więc zmuszony do zapoznania się z nimi, a jeśli wydają się wystarczająco przekonujące, możesz się na nie nabrać.

Przyjrzyjmy się jednak oszustwu CEO. Co to dokładnie jest? Czy może przydarzyć się Tobie? A jeśli tak, co powinieneś zrobić, aby temu zapobiec?

Nie jesteś odporny na oszustwa CEO

Jest tooszustwo warte 2,3 miliarda dolarów rocznie. Możesz się zastanawiać: "Co może sprawić, że firmy stracą tyle pieniędzy na zwykłe oszustwo mailowe?". Ale zdziwilibyście się, jak przekonujące mogą być e-maile z oszustwami CEO.

W 2016 r. firma Mattel prawie straciła 3 miliony dolarów w wyniku ataku phishingowego, gdy pracownik działu finansowego otrzymał e-mail od dyrektora generalnego, instruujący go, jak wysłać płatność do jednego z dostawców w Chinach. Jednak dopiero po późniejszym kontakcie z prezesem firmy zorientowała się, że w ogóle nie wysłał on tego e-maila. Na szczęście, firma współpracowała z organami ścigania w Chinach i USA, aby odzyskać swoje pieniądze kilka dni później, ale to prawie nigdy nie zdarza się w przypadku takich ataków.

Ludzie mają tendencję do wierzenia, że te oszustwa im się nie przydarzą... dopóki im się to nie przytrafi. I to jest ich największy błąd: nieprzygotowanie się na oszustwo CEO.

Oszustwa phishingowe mogą nie tylko kosztować Twoją organizację miliony dolarów, ale mogą mieć trwały wpływ na reputację i wiarygodność Twojej marki. Istnieje ryzyko, że będziesz postrzegany jako firma, która straciła pieniądze w wyniku oszustwa e-mailowego i utracisz zaufanie swoich klientów, których wrażliwe dane osobowe przechowujesz.

Zamiast zajmować się likwidacją szkód po fakcie, warto zabezpieczyć swoje kanały mailowe przed oszustwami typu spear phishing. Oto kilka najlepszych sposobów na to, aby Twoja organizacja nie stała się statystką w raporcie FBI na temat BEC.

Jak zapobiegać oszustwom prezesów: 6 prostych kroków

  1. Szkolić pracowników w zakresie bezpieczeństwa
    Ta kwestia jest absolutnie kluczowa. Pracownicy, a zwłaszcza ci z działu finansowego, muszą zrozumieć, jak działa Business Email Compromise. I nie chodzi tu tylko o nudną, dwugodzinną prezentację o tym, że nie należy zapisywać hasła na karteczce samoprzylepnej. Musisz ich przeszkolić, jak zwracać uwagę na podejrzane znaki wskazujące na to, że wiadomość e-mail jest fałszywa, zwracać uwagę na fałszywe adresy e-mail i nietypowe żądania, które inni pracownicy wydają się zgłaszać za pośrednictwem poczty elektronicznej.
  2. Zwróćuwagę na charakterystyczne oznaki spoofingu
    Oszuści wysyłający wiadomości e-mail stosują różnego rodzaju taktyki, aby skłonić Cię do spełnienia ich żądań. Mogą to być np. pilne prośby/instrukcje dotyczące przelewu pieniędzy, które mają skłonić Cię do szybkiego i bezrefleksyjnego działania, a nawet prośby o dostęp do poufnych informacji dotyczących "tajnego projektu", którymi wyżsi rangą pracownicy nie są jeszcze gotowi się z Tobą podzielić. To są poważne czerwone flagi i musisz sprawdzić dwa i trzy razy, zanim podejmiesz jakiekolwiek działania.
  3. Zapewnij sobie ochronę dzięki DMARC
    Najprostszym sposobem na uniknięcie oszustwa phishingowego jest w ogóle nie otrzymywać wiadomości e-mail. DMARC to protokół uwierzytelniania poczty elektronicznej, który weryfikuje wiadomości e-mail pochodzące z Twojej domeny przed ich dostarczeniem. Kiedy egzekwujesz DMARC w swojej domenie, każdy atakujący podszywający się pod kogoś z Twojej organizacji zostanie wykryty jako nieautoryzowany nadawca, a jego email zostanie zablokowany w Twojej skrzynce odbiorczej. Nie musisz już w ogóle zajmować się spamowanymi mailami.
  4. Uzyskaj wyraźną zgodę na przelewybankowe
    Jest to jeden z najłatwiejszych i najbardziej bezpośrednich sposobów zapobiegania przelewom pieniędzy do niewłaściwych osób. Przed dokonaniem jakiejkolwiek transakcji, wprowadź obowiązek uzyskania wyraźnej zgody od osoby żądającej pieniędzy za pomocą innego kanału niż e-mail. W przypadku większych przelewów, wprowadź obowiązek otrzymania ustnego potwierdzenia.
  5. Flagowanie e-maili z podobnymi rozszerzeniami
    FBI zaleca, aby Twoja organizacja stworzyła reguły systemowe, które automatycznie oznaczają wiadomości e-mail używające rozszerzeń zbyt podobnych do Twoich własnych. Na przykład, jeśli Twoja firma używa rozszerzenia "123-business.com", system może wykrywać i oznaczać e-maile używające rozszerzeń takich jak "123_business.com".
  6. Kupuj podobne nazwy domen
    Atakujący często wykorzystują podobnie wyglądające nazwy domen do wysyłania wiadomości phishingowych. Na przykład, jeśli Twoja organizacja ma w swojej nazwie małą literę "i", mogą oni użyć dużej litery "I" lub zastąpić literę "E" liczbą "3". Dzięki temu zmniejszysz szanse na to, że ktoś użyje bardzo podobnej nazwy domeny, aby wysłać do Ciebie e-mail.