Ang mga pag-atake sa phishing, na mga pag-atake sa social engineering na naglalayong magnakaw ng data ng user, ay nakakaranas ng rebolusyon. Ang kamakailang mabilis na pag-unlad ng AI ay higit pa sa pagbubukas ng mga bagong pathway para sa mga lehitimong negosyo: Ginagamit na ngayon ang ChatGPT para magsagawa ng mga phishing scam.
Alamin kung paano makakatulong ang LayerX sa iyong security team
Ano ang Phishing Attacks?
Halos kasingtagal ng internet ang phishing. Sinamantala ng mga maagang pag-atake ang panimulang email na seguridad na nagpapahintulot sa mga umaatake na mag-scrape ng mga email address at shotgun-blast ng mga nakakahamak na mensahe sa buong airwaves. Ang figurehead ng maagang pag-atake ng phishing ay ang Nigerian Prince scam. Dito, isang miyembro ng mistulang Nigerian royal family ang makikipag-ugnayan sa mga potensyal na biktima na nag-aalok ng malaking halaga ng pera. Dahil sa kanilang kawalan ng katiyakan sa pananalapi, ang mga mahihinang indibidwal ay ipapangako sa halaga kapag naipadala na nila ang isang "bayad sa pagproseso".
Ang mga modernong pag-atake ay kinuha ang template na ito at lumago at umunlad nang higit pa sa typo-laden na panlilinlang. Salamat sa napakaraming impormasyong pinangangasiwaan ng mga online na account ngayon, nilalayon na ngayon ng mga umaatake na mangolekta ng anuman mula sa mga detalye ng bank account hanggang sa mga username at password. Sa ilalim ng pagkukunwari ng isang lehitimong at kagalang-galang na pinagmulan, sinusubukan ng isang umaatake na kunin ang impormasyon nang may nakakaakit o nakakaalarmang kahilingan.
Sa isang kamakailang patunay ng konsepto – sa kabila ng babala ng tool tungkol sa isang potensyal na paglabag sa patakaran sa nilalaman nito – hiniling ng mga mananaliksik ang tool na magpanggap bilang isang email mula sa isang kumpanyang nagho-host. Lumikha ito ng magandang unang draft. Sa pag-ulit sa unang pagtatangka na ito, humingi sila ng variation na kumukumbinsi sa target na mag-download ng dokumento ng Trojan Excel.
Ito ang naging resulta:
Ang mga mananaliksik ay nagpatuloy pa: gamit ang Open AI's Codex program – ginamit upang i-convert ang text sa code – nakagawa sila ng excel document na awtomatikong nagsimulang mag-download ng malisyosong code sa pagbubukas. Sa kabila ng mga limitasyong inilagay sa mga AI system na ito, nabigo ang Codex na tukuyin ang malisyosong layunin sa loob ng kahilingan. Katulad ng phishing email ng ChatGPT, ang paunang code ay may mga depekto, ngunit pagkatapos ng ilang mga pag-ulit, nag-aalok ng isang perpektong gumaganang nakakahamak na script.
Habang umuunlad ang mga pag-atake ng phishing, mahalaga na ang iyong organisasyon ay manatiling isang hakbang sa unahan.
Paano Gumagana ang Phishing
Ang ubod ng anumang pag-atake sa phishing ay isang mensahe. Ito ay maaaring sa pamamagitan ng email, sa pamamagitan ng social media, o sa telepono. Ang patuloy na koneksyon ng mga modernong smartphone at device ang bumubuo sa pinakamalaking attack surface sa kasaysayan ng cyber.
Ang isang phishing attacker ay madalas na gumagamit ng pampublikong impormasyon – ito man ay impormasyong na-post sa mga social media account, o mga nakaraang paglabas na dinanas ng mga pangunahing tagakolekta ng data. Tinutulungan sila ng background na impormasyong ito na lumikha ng profile ng biktima, kabilang ang pangalan, personal na interes, at karanasan sa trabaho ng tatanggap. Ang lahat ng data na ito ay inilalagay sa isang pag-atake upang lumikha ng isang mapagkakatiwalaang nakakumbinsi na mensahe. Ang mga tatanggap ng mga modernong pag-atake sa phishing ay nakukuha mula sa milyun-milyong email address na kasangkot sa mga paglabag sa data bawat taon. Nalaman ng kamakailang pag-aaral ng Cost of Data Breach ng IBM at Ponemon na ang mga paglabag sa data ay nagkakahalaga na ngayon ng isang average ng halos $4 milyon, na may hanggang 90% ng mga negosyo na dumanas ng paglabag sa buong nakaraang taon. Ang na-leak na impormasyon sa pakikipag-ugnayan ay ipinagpapalit sa pamamagitan ng mga underground na merkado, na naka-package sa mga magagamit na database para sa malawakang mga kampanya sa phishing.
Ang email na lumalabas sa inbox ng biktima ay madalas na magtatangka na itago ang sarili bilang lehitimo: ang mga kampanyang ito ay maaaring suportahan ng mga nakakahamak na attachment at sumusuporta sa mga website, na idinisenyo upang makakuha ng higit pang personal na data mula sa kanilang mga biktima.
Mga Uri ng Pag-atake sa Phishing
Mayroong iba't ibang mga channel na ginagamit ng mga umaatake upang makipag-ugnayan sa kanilang mga biktima. Ang mga pag-atake sa phishing na ito ay kumakatawan sa iba't ibang uri ng mga kompromiso, na ang bawat uri ay umaasa sa ilang partikular na lakas ng medium nito.
Email Phishing
Isa sa mga pinakaluma at pinakamatagumpay na paraan ng phishing: ang mga umaatake ay madalas na nagrerehistro sa ilalim ng mga domain name na malapit na mga spoof sa lehitimong bersyon nito. Ang mga ito ay maaaring mula sa ganap na baguhan – kung pipiliin ng mga umaatake na sadyang i-target ang mga nag-skim-read na mga email – o mga spoofed na domain ng email na mukhang halos magkapareho sa kanilang mga lehitimong bersyon. Ang pagpapalit o pagdaragdag ng mga espesyal na character ay isa sa mga pinakakaraniwang diskarte (paglilipat ng mybank sa aking-bangko, halimbawa.) Gamit ang isang solidong spoof, pagkatapos ay magsisimula silang mag-spam ng mga pag-atake ng phishing sa libu-libong potensyal na biktima.
Paninigarilyo
Habang ang mga tradisyonal na pag-atake sa phishing ay umaasa sa email, ang mga smartphone ay nagbukas ng isang ganap na bagong diskarte sa mga pag-atake sa nakalipas na dekada. Sinasamantala ng mga mapanlinlang na mensaheng SMS ang mas maluwag na mga protocol ng seguridad na ginagamit ng mga mobile device (at ang kanilang mga user). Ang mga mensaheng ito ay madalas na nagli-link sa isang site na nahawaan ng malware na kinokontrol ng umaatake, na may mga pinaikling URL at kakulangan ng mouse hover na nagpapahintulot sa mga umaatake na mas mataas.
sibat phishing
Bilang tugon sa spray-and-pray na diskarte na lalong nagiging hindi epektibo, ang mga umaatake ay bumaling sa isang mas makapangyarihang paraan ng pag-atake: spear phishing. Pinagsasama nito ang mga pagsisikap ng mga umaatake sa mas maliit na bilang ng mga biktima, na nagta-target ng ilang partikular. Nakikinabang ang mga pag-atakeng ito mula sa buong puwersa ng atensyon ng umaatake, kasama ang paggamit ng buong lawak ng impormasyong inilatag sa mga pampublikong profile sa Facebook at LinkedIn.
Pagnanasa
Katulad ng smishing, ang mga umaatake ay sabik din na gumamit ng iba pang mga diskarte: ang voice phishing, o vishing, ay gumagamit ng mas direktang ugnayan sa pagitan ng isang tumatawag at biktima. Ginagawa nitong mas malakas ang ilang aspeto ng mga pag-atake sa phishing – gaya ng sapilitan na pagkaapurahan at pagbabanta. Dito, ang mga umaatake ay gumagamit ng parehong panlilinlang na diskarte, madalas na nagpapanggap bilang isang pangkat ng pagsisiyasat ng scam mula sa bangko ng biktima. Mula doon, madalas na humihingi ang mga kriminal ng impormasyon ng credit card ng biktima upang ma-verify ang kanilang pagkakakilanlan. Ang vishing ay maaari ding maging awtomatiko, gayunpaman: ang mga robo-call na ito ay madalas na humihiling sa end-user na mag-type ng mga personal na detalye sa keypad.
Angler Phishing
Bagama't maraming mga umaatake ang aktibong hinahabol ang kanilang mga potensyal na biktima, ang angler phishing ay gumagamit ng ibang diskarte, sa halip ay naghihintay na sila ay makipag-ugnayan. Sa pamamagitan ng pagtatago sa likod ng harapan ng isang pekeng social media account para sa isang tunay na kilalang organisasyon, maaari ding isama ng umaatake ang larawan sa profile ng tunay na account. Kasabay ng isang nakakumbinsi na pekeng hawakan, sinasamantala ng mga mangingisdang phisher ang lumalaking trend ng mga reklamo ng consumer na pinangangasiwaan sa pamamagitan ng mga social media channel. Habang ginagamit ito ng mga customer para humingi ng tulong, ang mga umaatake ay malayang manipulahin ang pag-uusap patungo sa kanilang sariling mga layunin sa pagkuha ng data.
Paano Matukoy ang Mga Palatandaan ng Phishing?
Habang ang social engineering ay isang pangunahing bahagi sa mga nakakahamak na email, mayroong ilang magandang balita: ang mga umaatake ay madalas na umaasa sa ilang pangunahing paraan sa kanilang pagmemensahe. Ang mga ito ay sapat na paulit-ulit na - sa pamamagitan lamang ng pagbabantay - nagiging posible na makita ang mababang pagsisikap na pag-atake ng phishing bago mag-click ng isang malisyosong link o dokumento.
Negatibo, Apurahang Bunga
Anumang mensahe na nagbabanta o naglalagay ng partikular na diin sa mga negatibong kahihinatnan ay dapat isaalang-alang nang may matinding pag-iingat. Ito ay dahil ang implikasyon ng pagbabanta ay nagpapalitaw ng tugon ng cortisol ng utak. Habang ang puso ay tumibok nang mas mabilis at ang dugo ay dumadaloy sa mga kalamnan bilang direktang tugon sa stress hormone na ito, inaagaw ng umaatake ang biological na tugon na ito. Isa itong dahilan kung bakit ang mga pekeng email sa pag-reset ng password ay napakabisang tool sa arsenal ng umaatake: sa pamamagitan ng pagtatago sa ilalim ng banta ng kompromiso sa account, nagagawa ng mga umaatake na lampasan ang mga proseso ng kritikal na pag-iisip na kadalasang nagpapanatili sa iyo na protektado. Kapag ipinares sa isang kagyat na tono, ang mga biktima ay napakahilig sa pagsunod sa bawat kahilingan ng umaatake.
Hindi Pangkaraniwang Tono
Ang isa pang tampok ng mga mensahe ng phishing na dapat mag-trigger ng agarang alarma sa loob ng tatanggap ay isang hindi naaangkop o hindi inaasahang tono. Ang bentahe na hawak ng mga biktima ay simple: alam mo kung ilan sa iyong mga kasamahan, kaibigan, at pamilya ang nakikipag-usap. Ang kamalayan na ito ay naglalagay sa iyo sa mas malakas na katayuan upang makita ang mga pagkakataon ng abnormal na komunikasyon. Kung ang isang malapit na kaibigan ay nagpadala ng isang mensahe na may kasamang pormal na wika, o ang isang kasamahan ay nagsimulang gumamit ng labis na palakaibigan na mga termino, maaari itong maging unang tagapagpahiwatig na nagbibigay-daan sa iyong protektahan ang iyong sarili.
Mga Hindi Inaasahang Kahilingan
Katulad ng tono ng email – ang mga kahilingang binuo sa isang phishing na email ay maaaring magbigay ng isa pang insight sa tunay na intensyon ng nagpadala. Kung bigla kang hiniling na magsagawa ng pagkilos na wala sa iyong karaniwang mga tungkulin, sulit na maglaan ng karagdagang segundo para mag-double check. Maaaring samantalahin nito ang mas malawak na pag-unawa sa konteksto na magagamit ng mga biktima: halimbawa, kung ang iyong organisasyon ay may sentral na IT team na namamahala sa pag-install ng software, alam mong ituring ang anumang email na humihiling ng pag-download ng software nang may matinding pag-iingat.
Paano Protektahan ang Iyong Enterprise mula sa Mga Pag-atake sa Phishing
Bagama't posible para sa mga indibidwal na maging lubhang maingat sa phish, nananatili ang katotohanan na ang enterprise-wide phishing ay isang laro lamang ng mga istatistika: isang tao, sa isang lugar, ay nagmamadali, at magbubukas ng pinto para sa mga umaatake. Proteksyon sa buong negosyo nangangailangan ng isang halo ng nakakaengganyo at nakatutok sa ugali na pagsasanay, at ang mga solusyon na mas mahusay na sumusuporta sa mga empleyado ay nananatiling protektado.
Pagsasanay sa Kamalayan ng Empleyado
Ang pundasyon ng solidong proteksyon sa phishing magsisimula ang mga plano sa biktima: sa pamamagitan ng pag-aarmas sa mga empleyado ng napapanahon at may-katuturang impormasyon sa uri ng mga pag-atake ngayon, ang mga pag-atake sa social engineering ay nagiging mas mahirap na matagumpay na gawin. Ginagawa nitong pagsasanay ng empleyado ang isa sa pinakamahalagang paraan ng pagtatanggol sa negosyo. Kailangang maunawaan ng mga empleyado ang mga layunin at diskarte ng mga cutting-edge na pag-atake sa phishing, at malaman kung saang mga miyembro ng team iuulat ang mga kahina-hinalang insidente. Sa ganitong paraan, hindi lamang sinusuportahan ng organisasyon ang mga empleyado, ngunit nagsasagawa ng isang proactive na paninindigan sa cybersecurity na umaangkop at nagbabago sa mga umaatake.
Kasabay nito, dapat hikayatin ang mga empleyado na bantayan ang mga positibong tagapagpahiwatig ng seguridad: ang mga trust badge mula sa mga mapagkakatiwalaang solusyon sa antivirus ay nag-aalok ng mabilis at naa-access na tagapagpahiwatig ng kaligtasan ng site at application.
Limitahan ang Access
Habang pinapabuti ng mga user ang kanilang sariling proteksyon sa phishing, maaaring suportahan ng mga patakaran sa buong kumpanya ang mga pagsisikap na ito. Ang mga privileged user account ay isa sa mga pinakamataas na target para sa mga may kasalanan, salamat sa mas malawak na blast radius na ibinibigay sa isang matagumpay na pag-atake. Ang prinsipyo ng hindi bababa sa pribilehiyo ay nagbibigay-daan para sa mga empleyado na ma-access pa rin ang data na kailangan nila, habang pinapaliit ang panganib na maging isang target.
Subukan ang Katatagan Bago Tumama ang Mga Pag-atake
Sa pagkakaroon ng pagsasanay at imprastraktura, nagsisimula nang mabuo ang katatagan ng iyong organisasyon sa phishing. Gayunpaman, ang halaga ng mga paglabag sa data ngayon ay masyadong mataas para makipagsapalaran, kaya naman ang mga security team at end-user ay lubos na nakikinabang mula sa semi-regular na phishing attack simulation. Mula sa mga user na nagiging pamilyar sa mga modernong diskarte sa pag-atake, hanggang sa pagbibigay ng macro view kung gaano kahusay ang pagtatanggol ng isang kumpanya, ang mga pagsubok na ito ay isang ace card para sa proactive na proteksyon sa phishing.
Pag-iwas sa Phishing gamit ang LayerX Browser Security Platform
Ang huling piraso ng anti-phishing na palaisipan ay isang layer ng mga mekanismong pang-iwas na humaharang sa ganap na mga bagong pag-atake. Gumagana ang mga tradisyunal na solusyon sa anti-phishing sa pamamagitan ng pagharang sa mga kilalang URL na ginagamit na ng mga umaatake. Bagama't epektibo laban sa mas matanda at mas matatag na mga aktor ng pagbabanta, ang diskarteng ito ay ganap na reaktibo: mapipigilan lamang nito ang mga pag-atake kung ang kanilang URL na pinili ay na-flag at naiulat. Ang mga umaatake, sa kabilang banda, ay patuloy na makakalipat mula sa URL patungo sa URL, na nagreresulta sa karamihan ng arkitektura ng phishing na natitira sa labas ng saklaw ng proteksyong ito.
Nag-aalok ang LayerX ng mataas na katumpakan na pagtuklas ng pagbabanta nang walang pag-asa sa dating kaalaman. Sa halip na isang simpleng listahan ng mga naka-blacklist na URL, nagsasagawa ang LayerX ng Pagkilala sa mga kahina-hinalang site batay sa pagsusuri ng inaasahang aktibidad ng website. Ginagawa ng aming independiyenteng ML engine ang pagsusuring ito sa real-time sa pamamagitan ng isang madaling pag-install ng extension ng browser, na may zero latency. Sa ganitong paraan, matutuklasan ang malisyosong layunin bago kumonekta ang device ng end-user sa web server na kinokontrol ng attacker. Sa isang proactive na diskarte sa phishing, ang iyong organisasyon ay maaaring manatiling nangunguna sa sinumang umaatake - AI o tao.