Phishing-angrep, som er sosiale ingeniørangrep som tar sikte på å stjele brukerdata, opplever en revolusjon. Den siste raske utviklingen av AI har gjort mer enn å åpne nye veier for legitime virksomheter: ChatGPT brukes nå til å utføre phishing-svindel.
Finn ut hvordan LayerX kan hjelpe sikkerhetsteamet ditt
Hva er phishing-angrep?
Phishing har eksistert nesten like lenge som internett. Tidlige angrep utnyttet rudimentær e-postsikkerhet som gjorde det mulig for angripere å skrape e-postadresser og hagle-sprenge ondsinnede meldinger over eteren. Galionsfiguren for tidlige phishing-angrep var den nigerianske Prince-svindel. I dette ville et medlem av den tilsynelatende nigerianske kongefamilien nå ut til potensielle ofre og tilby en iøynefallende sum penger. Ved å spille på deres økonomiske usikkerhet, vil sårbare individer bli lovet summen når de har sendt over et "behandlingsgebyr".
Moderne angrep har tatt denne malen og vokst og blomstret langt utover triksing med skrivefeil. Takket være den store mengden informasjon som håndteres av nettkontoer i dag, har angripere nå som mål å samle inn alt fra bankkontodetaljer til brukernavn og passord. Under dekke av en legitim og anerkjent kilde forsøker en angriper å trekke ut informasjon med en fristende eller alarmerende forespørsel.
I et nylig proof of concept – til tross for verktøyets advarsel om et potensielt brudd på innholdspolitikken – ba forskere verktøyet om å etterligne en e-post fra et vertsselskap. Dette skapte et godt førsteutkast. De gjentok dette første forsøket, og ba deretter om en variant som overbeviser målet om å laste ned et trojansk Excel-dokument.
Dette ble resultatet:
Forskerne gikk videre: med Open AIs Codex-program – brukt til å konvertere tekst til kode – var de i stand til å lage et excel-dokument som automatisk begynte å laste ned ondsinnet kode ved åpning. Til tross for begrensningene på disse AI-systemene, klarte ikke Codex å identifisere den ondsinnede hensikten i forespørselen. På samme måte som ChatGPTs phishing-e-post, hadde den første koden mangler, men etter noen gjentakelser tilbød den et perfekt funksjonelt ondsinnet skript.
Etter hvert som phishing-angrep utvikler seg, er det viktig at organisasjonen ligger et skritt foran.
Hvordan phishing fungerer
Kjernen i ethvert phishing-angrep er en melding. Dette kan være via e-post, gjennom sosiale medier eller over telefon. Den konstante tilkoblingen av moderne smarttelefoner og enheter utgjør den største angrepsflaten i cyberhistorien.
En phishing-angriper bruker ofte offentlig informasjon – enten det er informasjon som er lagt ut på sosiale medier-kontoer, eller tidligere lekkasjer fra store datainnsamlere. Denne bakgrunnsinformasjonen hjelper dem med å opprette en offerprofil, inkludert navn, personlige interesser og arbeidserfaring til mottakeren. Alle disse dataene mates inn i et angrep for å skape en pålitelig overbevisende melding. Mottakerne av moderne phishing-angrep hentes fra millioner av e-postadresser som er involvert i datainnbrudd hvert år. IBM og Ponemons nylige Cost of Data Breach-studie fant at datainnbrudd nå koster gjennomsnittlig nesten 4 millioner dollar, med opptil 90 % av virksomhetene har hatt et brudd i løpet av det siste året. Den lekkede kontaktinformasjonen utveksles via underjordiske markeder, pakket inn i brukbare databaser for utbredte phishing-kampanjer.
E-posten som vises i et offers innboks vil ofte forsøke å forkle seg som legitim: disse kampanjene kan støttes med ondsinnede vedlegg og støttende nettsteder, designet for å samle inn enda mer personlig data fra ofrene.
Typer phishing-angrep
Det finnes ulike kanaler angripere bruker for å kontakte ofrene sine. Disse phishing-angrepene representerer et bredt utvalg av kompromisser, der hver type er avhengig av visse styrker ved sitt medium.
E-postfisking
En av de eldste og mest vellykkede formene for phishing: Angripere registrerer seg ofte under domenenavn som er nære forfalskninger til den legitime versjonen av dem. Disse kan variere fra fullstendig amatør – hvis angriperne velger å bevisst målrette mot de som skumlest e-poster – eller falske e-postdomener som virker nesten identiske med deres legitime versjoner. Å erstatte eller legge til spesialtegn er en av de vanligste tilnærmingene (for eksempel å bytte mybank til min-bank.) Med en solid forfalskning begynner de deretter å spamme phishing-angrep på tusenvis av potensielle ofre.
smishing
Mens tradisjonelle phishing-angrep er avhengige av e-post, har smarttelefoner åpnet for en helt ny tilnærming til angrep i løpet av det siste tiåret. Uredelige SMS-meldinger drar full nytte av de løsere sikkerhetsprotokollene som mobile enheter (og deres brukere) bruker. Disse meldingene lenker ofte til et malware-infisert nettsted kontrollert av angriperen, med forkortede URL-er og mangel på musepeker som gir angripere overtaket.
Spyd phishing
Som svar på at spray-and-pray-tilnærmingen ble stadig mindre effektiv, vendte angriperne seg til en mer potent form for angrep: spyd-phishing. Dette kondenserer innsatsen til angriperne til et mindre antall ofre, rettet mot noen få. Disse angrepene drar nytte av den fulle kraften av angriperens oppmerksomhet, i tillegg til å utnytte hele omfanget av informasjon lagt ut i offentlige Facebook- og LinkedIn-profiler.
vishing
Ligner på smishing, angripere er også ivrige etter å bruke andre tilnærminger: stemme phishing, eller vishing, gjør bruk av det mer direkte forholdet mellom en som ringer og et offer. Dette gjør visse aspekter ved phishing-angrep – som indusert haster og trusler – spesielt potente. Her bruker angripere den samme luremetoden, og utgir seg ofte for å være et svindeletterforskningsteam fra offerets bank. Derfra ber kriminelle ofte om offerets kredittkortinformasjon for å bekrefte identiteten deres. Vishing kan imidlertid også automatiseres: disse robo-samtalene ber ofte sluttbrukeren om å skrive inn personlige detaljer på tastaturet.
Fiskerfiske
Mens mange angripere aktivt forfølger sine potensielle ofre, tar phishing en annen tilnærming, i stedet venter på at de skal nå ut. Ved å gjemme seg bak fasaden til en falsk sosial mediekonto for en ekte kjent organisasjon, kan angriperen også inkludere profilbildet til den ekte kontoen. Ved siden av et overbevisende falskt håndtak, drar fiskefiskere fordel av den økende trenden med forbrukerklager som håndteres via sosiale mediekanaler. Mens kunder bruker disse til å be om hjelp, står angripere fritt til å manipulere samtalen mot sine egne datainnsamlingsmål.
Hvordan identifisere tegn på phishing?
Mens sosial teknikk er en viktig komponent i ondsinnede e-poster, det er noen gode nyheter: Angripere er ofte avhengige av noen få nøkkeltilnærminger i meldingene sine. Disse er tilbakevendende nok til at det – bare ved å holde et øye – blir mulig å oppdage phishing-angrep med lav innsats før en ondsinnet lenke eller dokument klikkes.
Negative, presserende konsekvenser
Ethvert budskap som truer eller legger særlig vekt på negative konsekvenser bør vurderes med ekstrem forsiktighet. Dette er fordi implikasjonen av trussel utløser hjernens kortisolrespons. Mens hjertet slår raskere og blod strømmer til musklene som direkte respons på dette stresshormonet, kaprer angriperen denne biologiske responsen. Det er en grunn til at falske tilbakestillings-e-poster er et så potent verktøy i angriperens arsenal: ved å gjemme seg under trusselen om kontokompromittering, kan angripere omgå kritiske tenkningsprosesser som vanligvis holder deg beskyttet. Når de kobles sammen med en presserende tone, er ofrene svært tilbøyelige til å etterkomme angriperens krav.
Uvanlig tone
En annen funksjon ved phishing-meldinger som bør utløse umiddelbar alarm hos mottakeren er en upassende eller uventet tone. Fordelen til ofrene er enkel: du vet hvor mange av dine kolleger, venner og familie som kommuniserer. Denne bevisstheten setter deg på et sterkere fotfeste for å oppdage tilfeller av unormal kommunikasjon. Hvis en nær venn sender en melding med formelt språk, eller en kollega begynner å bruke altfor vennlige ord, kan det være den første indikatoren som lar deg beskytte deg selv.
Uventede forespørsler
I likhet med tonen i e-posten – forespørsler innebygd i en phishing-e-post kan gi en annen innsikt i avsenderens sanne intensjon. Hvis du plutselig blir bedt om å utføre en handling som ikke er innenfor dine vanlige plikter, er det verdt å ta et ekstra sekund til å dobbeltsjekke. Dette kan dra nytte av den større kontekstuelle forståelsen som er tilgjengelig for ofre: for eksempel, hvis organisasjonen din har et sentralt IT-team som administrerer programvareinstallasjon, vet du å behandle enhver e-post som ber om programvarenedlasting med ekstrem forsiktighet.
Slik beskytter du bedriften din mot phishing-angrep
Selv om det er mulig for enkeltpersoner å bli utrolig phish-varsomme, er det fortsatt et faktum at phishing for hele bedriften ganske enkelt er et statistikkspill: noen, et sted, vil ha det travelt og åpne døren for angripere. Bedriftsomfattende beskyttelse krever en blanding av engasjerende og vanefokusert opplæring, og løsninger som bedre støtter ansatte forbli beskyttet.
Opplæring av ansattes bevissthet
Grunnlaget for solid phishing-beskyttelse Planer starter med offeret: ved å bevæpne ansatte med oppdatert og relevant informasjon om arten av dagens angrep, blir angrep fra sosiale ingeniører mye vanskeligere å begå. Dette gjør opplæring av ansatte til en av de viktigste formene for bedriftsforsvar. Ansatte må forstå målene og teknikkene for banebrytende phishing-angrep, og vite hvilke teammedlemmer de skal rapportere mistenkelige hendelser til. På denne måten støtter organisasjonen ikke bare ansatte, men inntar en proaktiv cybersikkerhetsholdning som tilpasser seg og utvikler seg med angripere.
Ved siden av dette bør ansatte oppmuntres til å holde øye med positive indikatorer på sikkerhet: tillitsmerker fra anerkjente antivirusløsninger gir en rask og tilgjengelig indikator på nettsted- og applikasjonssikkerhet.
Begrens tilgang
Mens brukere forbedrer sin egen phishing-beskyttelse, kan bedriftsomfattende retningslinjer støtte denne innsatsen. Privilegerte brukerkontoer er et av de høyeste målene for gjerningsmenn, takket være den større eksplosjonsradiusen som er gitt for et vellykket angrep. Prinsippet om minste privilegium gjør at ansatte fortsatt kan få tilgang til dataene de trenger, samtidig som risikoen for å bli et mål minimeres.
Test motstandskraft før angrep rammes
Med opplæring og infrastruktur på plass, begynner organisasjonens motstandskraft mot phishing allerede å ta form. Imidlertid er kostnadene for datainnbrudd i dag for høye til å ta sjanser, og det er grunnen til at både sikkerhetsteam og sluttbrukere drar enorm nytte av semi-vanlige phishing-angrepssimuleringer. Fra brukere som utvikler kjennskap til moderne angrepsteknikker, til å gi et makrobilde av hvor godt forsvart et selskap virkelig er, er disse testene et ess-kort for proaktiv phishing-beskyttelse.
Forebygging av phishing med LayerX Browser Security Platform
Den siste biten i anti-phishing-puslespillet er et lag med forebyggende mekanismer som blokkerer helt nye angrep. Tradisjonelle anti-phishing-løsninger fungerer ved å blokkere kjente URL-er som allerede er i bruk av angripere. Selv om den er effektiv mot eldre og mer etablerte trusselaktører, er denne tilnærmingen fullstendig reaktiv: den kan bare forhindre angrep hvis URL-adressen deres er flagget og rapportert. Angripere, på den annen side, er i stand til hele tiden å hoppe fra URL til URL, noe som resulterer i at det store flertallet av phishing-arkitekturen forblir utenfor omfanget av denne beskyttelsen.
LayerX tilbyr trusseldeteksjon med høy presisjon uten å stole på forkunnskaper. I stedet for en enkel liste over svartelistede URL-er, utfører LayerX identifisering av mistenkelige nettsteder basert på analyse av nettstedets anslåtte aktivitet. Vår uavhengige ML-motor utfører denne analysen i sanntid via en nettleserutvidelse som er enkel å installere, med null latens. På denne måten kan ondsinnet hensikt oppdages før sluttbrukerens enhet kobles til den angriperkontrollerte webserveren. Med en proaktiv tilnærming til phishing kan organisasjonen din ligge i forkant av enhver angriper – AI eller menneskelig.