Vefveiðarvitund: Hvernig gerist það og hvernig á að koma í veg fyrir það
Af hverju nota glæpamenn veiðiárás?
Hver er stærsti öryggisveikleikinn í stofnun?
Fólk!
Hvenær sem þeir vilja smita tölvu eða fá aðgang að mikilvægum upplýsingar eins og reikningsnúmer, lykilorð eða PIN-númer, það eina sem þeir þurfa að gera er að spyrja.
Vefveiðar árásir eru algengar vegna þess að þær eru:
- Auðvelt að gera – 6 ára barn gæti framkvæmt phishing árás.
- Scalable – Þær eru allt frá spjótveiðiárásum sem lenda á einum einstaklingi til árása á heila stofnun.
- Mjög áhrifarík - 74% stofnana hafa upplifað árangursríka vefveiðarárás.
- Gmail reikningsskilríki – $80
- Kreditkort pinna - $20
- Netbankaskilríki fyrir reikninga hjá að minnsta kosti $ 100 í þeim - $40
- Bankareikningar með að minnsta kosti $ 2,000 - $120
Þú ert líklega að hugsa: "Vá, reikningarnir mínir fara á lægsta dollarann!"
Og þetta er satt.
Það eru aðrar tegundir reikninga sem fara fyrir miklu hærra verðmiði vegna þess að auðveldara er að halda peningaflutningum nafnlausum.
Reikningar sem geyma dulmál eru gullpottinn fyrir phishing svindlara.
Gildandi verð fyrir dulritunarreikninga eru:
- Myntgrunnur - $610
- Blockchain.com - $310
- Binance - $410
Það eru líka aðrar ófjárhagslegar ástæður fyrir vefveiðum.
Vefveiðarárásir geta verið notaðar af þjóðríkjum til að hakka sig inn í önnur lönd og vinna úr gögnum þeirra.
Árásir geta verið til persónulegra vendetta eða jafnvel til að eyðileggja orðstír fyrirtækja eða pólitískra óvina.
Ástæðurnar fyrir vefveiðaárásum eru endalausar...
Hvernig byrjar veiðiárás?
Vefveiðarárás byrjar venjulega með því að glæpamaðurinn kemur strax út og sendir þér skilaboð.
Þeir gætu hringt í þig, sent tölvupóst, spjallskilaboð eða SMS.
Þeir gætu sagst vera einhver sem er að vinna fyrir banka, annað fyrirtæki sem þú átt viðskipti við, ríkisstofnun eða jafnvel þykjast vera einhver í þínu eigin fyrirtæki.
Vefveiðarpóstur gæti beðið þig um að smella á hlekk eða hlaða niður og keyra skrá.
Þú gætir haldið að þetta séu lögmæt skilaboð, smelltu á hlekkinn í skilaboðunum þeirra og skráðu þig inn á það sem virðist vera vefsíðan frá stofnuninni sem þú treystir.
Á þessum tímapunkti er phishing-svindlið lokið.
Þú hefur afhent árásarmanninum persónulegar upplýsingar þínar.
Hvernig á að koma í veg fyrir vefveiðarárás
Meginstefnan til að forðast vefveiðarárásir er að þjálfa starfsmenn og byggja upp skipulagsvitund.
Margar vefveiðaárásir líta út eins og lögmætur tölvupóstur og geta farið í gegnum ruslpóstsíu eða svipaðar öryggissíur.
Við fyrstu sýn gætu skilaboðin eða vefsíðan litið út fyrir að vera raunveruleg með þekktu lógóútliti osfrv.
Sem betur fer er ekki svo erfitt að greina phishing árásir.
Það fyrsta sem þarf að passa upp á er heimilisfang sendanda.
Ef heimilisfang sendanda er afbrigði af léni vefsíðu sem þú gætir verið vanur gætirðu viljað fara varlega og ekki smella á neitt í meginmáli tölvupóstsins.
Þú getur líka skoðað veffangið sem þér er vísað á ef það eru einhverjir tenglar.
Til öryggis ættir þú að slá inn heimilisfang fyrirtækisins sem þú vilt heimsækja í vafranum eða nota uppáhald vafra.
Passaðu þig á tenglum sem þegar bendilinn er yfir sýna lén sem er ekki það sama og fyrirtækið sem sendir tölvupóstinn.
Lestu innihald skilaboðanna vandlega og vertu efins um öll skilaboð sem biðja þig um að senda inn einkagögn þín eða staðfesta upplýsingar, fylla út eyðublöð eða hlaða niður og keyra skrár.
Láttu heldur ekki innihald skilaboðanna blekkja þig.
Árásarmenn reyna oft að hræða þig til að fá þig til að smella á hlekk eða verðlauna þig fyrir að fá persónulegar upplýsingar þínar.
Á meðan á heimsfaraldri eða neyðartilvikum stendur munu vefveiðar svindlarar nýta sér ótta fólks og nota innihald efnislínunnar eða skilaboðastofunnar til að hræða þig til að grípa til aðgerða og smella á hlekk.
Athugaðu einnig hvort rangar stafsetningar- eða málfræðivillur séu í tölvupóstinum eða vefsíðunni.
Annað sem þarf að hafa í huga er að flest traust fyrirtæki munu venjulega ekki biðja þig um að senda viðkvæm gögn í gegnum vef eða póst.
Þess vegna ættir þú aldrei að smella á grunsamlega tengla eða gefa upp hvers kyns viðkvæm gögn.
Hvað á ég að gera ef ég fæ vefveiðarpóst?
Ef þú færð skilaboð sem virðast eins og vefveiðarárás hefurðu þrjá valkosti.
- Eyddu því.
- Staðfestu innihald skilaboðanna með því að hafa samband við stofnunina í gegnum hefðbundna samskiptaleið hennar.
- Þú getur framsent skilaboðin til upplýsingatækniöryggisdeildar þinnar til frekari greiningar.
Fyrirtækið þitt ætti nú þegar að vera að skima og sía meirihluta grunsamlegra tölvupósta, en hver sem er getur orðið fórnarlamb.
Því miður eru vefveiðar svindl vaxandi ógn á internetinu og vondu kallarnir eru alltaf að þróa nýjar aðferðir til að komast í gegnum pósthólfið þitt.
Hafðu í huga að á endanum ertu síðasta og mikilvægasta vörnin gegn vefveiðum.
Hvernig á að stöðva vefveiðarárás áður en hún gerist
Þar sem vefveiðaárásir treysta á mannleg mistök til að skila árangri er besti kosturinn að þjálfa fólk í fyrirtækinu þínu um hvernig eigi að forðast að taka agnið.
Þetta þýðir ekki að þú þurfir að halda stóran fund eða málstofu um hvernig eigi að forðast vefveiðarárás.
Það eru betri leiðir til að finna eyður í öryggi þínu og bæta mannleg viðbrögð við vefveiðum.
2 skref sem þú getur tekið til að koma í veg fyrir vefveiðar
A phishing hermir er hugbúnaður sem gerir þér kleift að líkja eftir vefveiðaárás á alla meðlimi fyrirtækisins.
Vefveiðahermar eru venjulega með sniðmát til að dulbúa tölvupóstinn sem traustan söluaðila eða líkja eftir innri tölvupóstsniðum.
Vefveiðahermar búa ekki bara til tölvupóstinn, heldur hjálpa þeir til við að setja upp falsa vefsíðuna sem viðtakendur munu á endanum slá inn skilríki sín ef þeir standast ekki prófið.
Frekar en að skamma þá fyrir að falla í gildru er besta leiðin til að takast á við ástandið að veita upplýsingar um hvernig eigi að meta vefveiðar tölvupósta í framtíðinni.
Ef einhver fellur á phishing prófi er best að senda þeim bara lista með ráðum um að koma auga á phishing tölvupóst.
Þú getur jafnvel notað þessa grein sem tilvísun fyrir starfsmenn þína.
Annar stór ávinningur af því að nota góðan vefveiðahermi er að þú getur mælt mannlega ógnina í fyrirtækinu þínu, sem oft er erfitt að spá fyrir um.
Það getur tekið allt að eitt og hálft ár að þjálfa starfsmenn í öruggt mótvægisstig.
Það er mikilvægt að velja rétta phishing-hermunarinnviði fyrir þarfir þínar.
Ef þú ert að gera phishing uppgerð í einu fyrirtæki, þá verður verkefni þitt auðveldara
Ef þú ert MSP eða MSSP gætirðu þurft að keyra phishing próf á mörgum fyrirtækjum og stöðum.
Að velja skýjalausn væri besti kosturinn fyrir notendur sem keyra margar herferðir.
Við hjá Hailbytes höfum stillt upp GoPhish, einn af vinsælustu opnum phishing ramma sem an auðvelt í notkun tilvik á AWS.
Margir phishing hermir koma í hefðbundnu Saas líkaninu og hafa stranga samninga tengda þeim, en GoPhish á AWS er skýjabundin þjónusta þar sem þú borgar á mældu gengi frekar en 1 eða 2 ára samning.
Skref 2. Öryggisvitundarþjálfun
Lykilávinningur af því að gefa starfsmönnum öryggisvitund þjálfun er að vernda þá gegn persónuþjófnaði, bankaþjófnaði og stolnum viðskiptaskilríkjum.
Öryggisvitundarþjálfun er nauðsynleg til að bæta getu starfsmanna til að koma auga á veiðitilraunir.
Námskeið geta hjálpað til við að þjálfa starfsfólk til að greina tilraunir til vefveiða, en aðeins fáein einbeittu sér að litlum fyrirtækjum.
Það getur verið freistandi fyrir þig sem smáfyrirtæki að draga úr kostnaði við námskeið með því að senda nokkur Youtube myndbönd um öryggisvitund...
en starfsfólk man sjaldan svona þjálfun í meira en nokkra daga.
Hailbytes er með námskeið sem hefur blöndu af skjótum myndböndum og skyndiprófum svo þú getir fylgst með framförum starfsmanna þinna, sannað að öryggisráðstafanir séu til staðar og minnkað verulega líkurnar á að þú verðir fyrir vefveiðum.
Þú getur skoðað námskeiðið okkar um Udemy hér eða smellt á námskeiðið hér að neðan:
Ef þú hefur áhuga á að keyra ókeypis phishing uppgerð til að þjálfa starfsmenn þína, farðu á AWS og skoðaðu GoPhish!
Það er auðvelt að byrja og þú getur alltaf leitað til okkar ef þig vantar aðstoð við uppsetningu.
