Kesedaran Phishing: Bagaimana Ia Berlaku Dan Cara Mencegahnya
Mengapa Penjenayah Menggunakan Serangan Phishing?
Apakah kelemahan keselamatan terbesar dalam organisasi?
Orang!
Bila-bila masa mereka mahu menjangkiti komputer atau mendapatkan akses kepada yang penting maklumat seperti nombor akaun, kata laluan atau nombor PIN, mereka hanya perlu bertanya.
phishing serangan adalah perkara biasa kerana ia adalah:
- Mudah dilakukan – Kanak-kanak berumur 6 tahun boleh melakukan serangan pancingan data.
- Boleh skala – Ia terdiri daripada serangan spear-phishing yang melanda satu orang kepada serangan ke atas keseluruhan organisasi.
- Sangat berkesan - 74% organisasi telah mengalami serangan pancingan data yang berjaya.
- Bukti kelayakan akaun Gmail - $80
- Pin kad kredit - $20
- Bukti kelayakan bank dalam talian untuk akaun dengan sekurang-kurangnya $ 100 dalam mereka - $40
- Akaun bank dengan sekurang-kurangnya $ 2,000 - $120
Anda mungkin berfikir, "Wah, akaun saya mencecah nilai dolar terendah!"
Dan ini benar.
Terdapat jenis akaun lain yang menggunakan tanda harga yang jauh lebih tinggi kerana lebih mudah untuk memastikan pemindahan wang tanpa nama.
Akaun yang memegang crypto adalah jackpot untuk penipu pancingan data.
Kadar yang akan berlaku untuk akaun crypto ialah:
- Coinbase – $610
- Blockchain.com – $310
- Binance - $410
Terdapat juga sebab bukan kewangan lain untuk serangan pancingan data.
Serangan pancingan data boleh digunakan oleh negara bangsa untuk menggodam negara lain dan melombong data mereka.
Serangan boleh untuk membalas dendam peribadi atau bahkan untuk memusnahkan reputasi syarikat atau musuh politik.
Sebab serangan pancingan data tidak berkesudahan…
Bagaimana Serangan Phishing Bermula?
Serangan pancingan data biasanya bermula dengan penjenayah keluar dan menghantar mesej kepada anda.
Mereka mungkin memberi anda panggilan telefon, e-mel, mesej segera atau SMS.
Mereka boleh mendakwa sebagai seseorang yang bekerja untuk bank, syarikat lain yang anda berurusan dengan perniagaan, agensi kerajaan, atau malah berpura-pura menjadi seseorang dalam organisasi anda sendiri.
E-mel pancingan data mungkin meminta anda mengklik pada pautan atau memuat turun dan melaksanakan fail.
Anda mungkin fikir ia adalah mesej yang sah, klik pautan di dalam mesej mereka dan log masuk ke laman web yang kelihatan seperti tapak web daripada organisasi yang anda percayai.
Pada ketika ini penipuan pancingan data telah selesai.
Anda telah menyerahkan maklumat peribadi anda kepada penyerang.
Cara Mencegah Serangan Phishing
Strategi utama untuk mengelakkan serangan pancingan data adalah untuk melatih pekerja dan membina kesedaran organisasi.
Banyak serangan pancingan data kelihatan seperti e-mel yang sah dan boleh melalui penapis spam atau penapis keselamatan yang serupa.
Pada pandangan pertama, mesej atau tapak web mungkin kelihatan nyata menggunakan reka letak logo yang diketahui, dsb.
Nasib baik, mengesan serangan pancingan data tidak begitu sukar.
Perkara pertama yang perlu diperhatikan ialah alamat pengirim.
Jika alamat pengirim adalah variasi pada domain tapak web yang mungkin anda gunakan, anda mungkin mahu meneruskan dengan berhati-hati dan tidak mengklik apa-apa dalam badan e-mel.
Anda juga boleh melihat alamat tapak web tempat anda diubah hala jika terdapat sebarang pautan.
Untuk selamat, anda harus menaip alamat organisasi yang ingin anda lawati dalam penyemak imbas atau menggunakan kegemaran penyemak imbas.
Berhati-hati untuk pautan yang apabila dilegarkan menunjukkan domain yang tidak sama dengan syarikat yang menghantar e-mel.
Baca kandungan mesej dengan teliti dan ragu-ragu terhadap semua mesej yang meminta anda menyerahkan data peribadi anda atau mengesahkan maklumat, mengisi borang atau memuat turun dan menjalankan fail.
Juga, jangan biarkan kandungan mesej menipu anda.
Penyerang sering cuba menakut-nakutkan anda supaya anda mengklik pautan atau memberi ganjaran kepada anda untuk mendapatkan data peribadi anda.
Semasa pandemik atau kecemasan negara, penipu pancingan data akan mengambil kesempatan daripada ketakutan orang ramai dan menggunakan kandungan baris subjek atau badan mesej untuk menakutkan anda supaya mengambil tindakan dan mengklik pautan.
Juga, semak kesalahan ejaan atau tatabahasa yang buruk dalam mesej e-mel atau tapak web.
Perkara lain yang perlu diingat ialah kebanyakan syarikat yang dipercayai biasanya tidak akan meminta anda menghantar data sensitif melalui web atau mel.
Itulah sebabnya anda tidak boleh mengklik pautan yang mencurigakan atau memberikan apa-apa jenis data sensitif.
Apa Yang Saya Lakukan Jika Saya Menerima E-mel Phishing?
Jika anda menerima mesej yang kelihatan seperti serangan pancingan data, anda mempunyai tiga pilihan.
- Padamkannya.
- Sahkan kandungan mesej dengan menghubungi organisasi melalui saluran komunikasi tradisionalnya.
- Anda boleh memajukan mesej kepada jabatan keselamatan IT anda untuk analisis lanjut.
Syarikat anda sepatutnya sudah menapis dan menapis kebanyakan e-mel yang mencurigakan, tetapi sesiapa sahaja boleh menjadi mangsa.
Malangnya, penipuan pancingan data adalah ancaman yang semakin meningkat di internet dan orang jahat sentiasa membangunkan taktik baharu untuk masuk ke peti masuk anda.
Perlu diingat bahawa pada akhirnya, anda adalah lapisan pertahanan terakhir dan paling penting terhadap percubaan pancingan data.
Cara Menghentikan Serangan Phishing Sebelum Ia Berlaku
Memandangkan serangan pancingan data bergantung pada kesilapan manusia untuk menjadi berkesan, pilihan terbaik ialah melatih orang dalam perniagaan anda tentang cara mengelak daripada mengambil umpan.
Ini tidak bermakna anda perlu mengadakan mesyuarat atau seminar besar tentang cara mengelakkan serangan pancingan data.
Terdapat cara yang lebih baik untuk mencari jurang dalam keselamatan anda dan meningkatkan tindak balas manusia anda terhadap pancingan data.
2 Langkah Yang Anda Boleh Ambil Untuk Mencegah Penipuan Phishing
A simulator pancingan data ialah perisian yang membolehkan anda mensimulasikan serangan pancingan data ke atas semua ahli organisasi anda.
Simulator pancingan data biasanya disertakan dengan templat untuk membantu menyamarkan e-mel sebagai vendor yang dipercayai atau meniru format e-mel dalaman.
Simulator pancingan data bukan sahaja mencipta e-mel, tetapi ia membantu menyediakan tapak web palsu yang akhirnya penerima akan memasukkan bukti kelayakan mereka jika mereka tidak lulus ujian.
Daripada memarahi mereka kerana terjebak dalam perangkap, cara terbaik untuk menangani situasi ini adalah dengan memberikan maklumat tentang cara menilai e-mel pancingan data pada masa hadapan.
Jika seseorang gagal dalam ujian pancingan data, sebaiknya hantarkan sahaja senarai petua untuk mengesan e-mel pancingan data.
Anda juga boleh menggunakan artikel ini sebagai rujukan untuk pekerja anda.
Satu lagi faedah utama menggunakan simulator pancingan data yang baik ialah anda boleh mengukur ancaman manusia dalam organisasi anda, yang selalunya sukar untuk diramalkan.
Ia boleh mengambil masa sehingga satu setengah tahun untuk melatih pekerja ke tahap mitigasi yang selamat.
Adalah penting untuk memilih infrastruktur simulasi pancingan data yang betul untuk keperluan anda.
Jika anda melakukan simulasi pancingan data merentasi satu perniagaan, maka tugas anda akan menjadi lebih mudah
Jika anda seorang MSP atau MSSP, anda mungkin perlu menjalankan ujian pancingan data merentas berbilang perniagaan dan lokasi.
Memilih penyelesaian berasaskan awan akan menjadi pilihan terbaik untuk pengguna yang menjalankan berbilang kempen.
Di Hailbytes, kami telah mengkonfigurasi GoPhish, salah satu Rangka Kerja pancingan data sumber terbuka yang paling popular sebagai contoh yang mudah digunakan pada AWS.
Banyak simulator pancingan data datang dalam model Saas tradisional dan mempunyai kontrak ketat yang dikaitkan dengannya, tetapi GoPhish pada AWS ialah perkhidmatan berasaskan awan yang mana anda membayar pada kadar bermeter dan bukannya kontrak 1 atau 2 tahun.
Langkah 2. Latihan Kesedaran Keselamatan
Faedah utama memberi pekerja kesedaran Keselamatan latihan melindungi mereka daripada kecurian identiti, kecurian bank dan bukti kelayakan perniagaan yang dicuri.
Latihan kesedaran keselamatan adalah penting untuk meningkatkan keupayaan pekerja mengesan percubaan pancingan data.
Kursus boleh membantu melatih kakitangan untuk mengesan percubaan pancingan data, tetapi hanya sedikit yang menumpukan pada perniagaan kecil.
Anda sebagai pemilik perniagaan kecil boleh menggoda untuk mengurangkan kos kursus dengan menghantar beberapa video Youtube tentang kesedaran keselamatan…
tetapi kakitangan jarang ingat jenis latihan selama lebih daripada beberapa hari.
Hailbytes mempunyai kursus yang mempunyai gabungan video pantas dan kuiz supaya anda boleh menjejaki kemajuan pekerja anda, membuktikan bahawa langkah keselamatan telah disediakan dan secara besar-besaran mengurangkan peluang anda mengalami penipuan pancingan data.
Anda boleh menyemak kursus kami di Udemy di sini atau klik pada kursus di bawah:
Jika anda berminat untuk menjalankan simulasi pancingan data percuma untuk melatih pekerja anda, pergi ke AWS dan lihat GoPhish!
Mudah untuk bermula dan anda sentiasa boleh menghubungi kami jika anda memerlukan bantuan untuk menyediakan.
