Menu
Panduan Terbaik Untuk Memahami Pancingan Data Pada 2023
Jadi, apakah itu Phishing?
Pancingan data ialah satu bentuk kejuruteraan sosial yang memperdaya orang supaya mendedahkan kata laluan atau barang berharga mereka maklumat. Serangan pancingan data boleh dalam bentuk e-mel, mesej teks dan panggilan telefon.
Biasanya, serangan ini menyamar sebagai perkhidmatan dan syarikat popular yang dikenali dengan mudah oleh orang ramai.
Apabila pengguna mengklik pautan pancingan data dalam badan e-mel, mereka dihantar ke versi serupa tapak yang mereka percayai. Mereka diminta untuk bukti kelayakan log masuk mereka pada ketika ini dalam penipuan pancingan data. Sebaik sahaja mereka memasukkan maklumat mereka di laman web palsu, penyerang mempunyai apa yang mereka perlukan untuk mengakses akaun sebenar mereka.
Serangan pancingan data boleh mengakibatkan maklumat peribadi, maklumat kewangan atau maklumat kesihatan dicuri. Sebaik sahaja penyerang mendapat akses kepada satu akaun, mereka sama ada menjual akses kepada akaun tersebut atau menggunakan maklumat tersebut untuk menggodam akaun lain mangsa.
Setelah akaun itu dijual, seseorang yang tahu cara untuk mendapat keuntungan daripada akaun tersebut akan membeli bukti kelayakan akaun daripada web gelap dan memanfaatkan data yang dicuri.
Berikut ialah visualisasi untuk membantu anda memahami langkah-langkah dalam serangan pancingan data:
Serangan pancingan data datang dalam pelbagai bentuk. Pancingan data boleh berfungsi daripada panggilan telefon, mesej teks, e-mel atau mesej media sosial.
E-mel pancingan data generik ialah jenis serangan pancingan data yang paling biasa. Serangan seperti ini adalah perkara biasa kerana mereka mengambil sedikit usaha.
Penggodam mengambil senarai alamat e-mel yang dikaitkan dengan Paypal atau akaun media sosial dan menghantar a letupan e-mel pukal kepada bakal mangsa.
Apabila mangsa mengklik pautan dalam e-mel, ia sering membawa mereka ke versi palsu tapak web popular dan meminta mereka log masuk dengan maklumat akaun mereka. Sebaik sahaja mereka menyerahkan maklumat akaun mereka, penggodam mempunyai apa yang mereka perlukan untuk mengakses akaun mereka.
Dari satu segi, pancingan data jenis ini adalah seperti membuang jaring ke dalam kumpulan ikan; manakala bentuk pancingan data lain adalah usaha yang lebih disasarkan.
Spear phishing ialah apabila penyerang menyasarkan individu tertentu dan bukannya menghantar e-mel generik kepada sekumpulan orang.
Serangan pancingan lembing cuba menangani sasaran secara khusus dan menyamar sebagai orang yang mungkin dikenali mangsa.
Serangan ini lebih mudah untuk penipu jika anda mempunyai maklumat yang boleh dikenal pasti secara peribadi di internet. Penyerang dapat menyelidik anda dan rangkaian anda untuk mencipta mesej yang relevan dan meyakinkan.
Disebabkan jumlah pemperibadian yang tinggi, serangan pancingan data lembing jauh lebih sukar untuk dikenal pasti berbanding serangan pancingan data biasa.
Mereka juga kurang biasa, kerana mereka mengambil lebih banyak masa untuk penjenayah berjaya melakukannya.
Soalan: Apakah kadar kejayaan e-mel spearphishing?
Jawapan: E-mel Spearphishing mempunyai purata kadar buka e-mel sebanyak 70% and 50% daripada penerima klik pautan dalam e-mel.
Berbanding dengan serangan pancingan lembing, serangan ikan paus secara drastik lebih disasarkan.
Serangan penangkapan ikan paus mengejar individu dalam organisasi seperti ketua pegawai eksekutif atau ketua pegawai kewangan syarikat.
Salah satu matlamat yang paling biasa dalam serangan penangkapan ikan paus adalah untuk memanipulasi mangsa ke dalam pendawaian sejumlah besar wang kepada penyerang.
Sama seperti pancingan data biasa kerana serangan itu dalam bentuk e-mel, penangkapan ikan paus mungkin menggunakan logo syarikat dan alamat serupa untuk menyamar.
Dalam sesetengah keadaan, penyerang akan menyamar sebagai Ketua Pegawai Eksekutif dan gunakan persona itu untuk meyakinkan pekerja lain untuk mendedahkan data kewangan atau memindahkan wang ke akaun penyerang.
Memandangkan pekerja kurang berkemungkinan menolak permintaan daripada seseorang yang lebih tinggi, serangan ini adalah lebih licik.
Penyerang selalunya akan menghabiskan lebih banyak masa untuk membuat serangan ikan paus kerana mereka cenderung untuk membayar lebih baik.
Nama "penangkapan ikan paus" merujuk kepada fakta bahawa sasaran mempunyai lebih banyak kuasa kewangan (CEO).
Pancingan data pemancing adalah agak jenis serangan pancingan data baharu dan wujud di media sosial.
Mereka tidak mengikuti format e-mel tradisional serangan pancingan data.
Sebaliknya, mereka menyamar sebagai wakil perkhidmatan pelanggan syarikat dan menipu orang ramai supaya menghantar maklumat kepada mereka melalui mesej langsung.
Penipuan biasa ialah menghantar orang ke tapak web sokongan pelanggan palsu yang akan memuat turun perisian hasad atau dengan kata lain ransomware ke peranti mangsa.
Serangan vishing ialah apabila penipu menghubungi anda untuk cuba mengumpul maklumat peribadi daripada anda.
Penipu biasanya berpura-pura menjadi perniagaan atau organisasi yang bereputasi seperti Microsoft, IRS, atau bank anda.
Mereka menggunakan taktik ketakutan untuk membuat anda mendedahkan data akaun penting.
Ini membolehkan mereka mengakses akaun penting anda secara langsung atau tidak.
Serangan Vishing adalah rumit.
Penyerang boleh dengan mudah menyamar sebagai orang yang anda percayai.
Tonton Pengasas Hailbytes David McHale bercakap tentang cara panggilan robo akan hilang dengan teknologi masa hadapan.
Kebanyakan serangan pancingan data berlaku melalui e-mel, tetapi terdapat cara untuk mengenal pasti kesahihannya.
Apabila anda membuka e-mel semak untuk melihat sama ada ia daripada domain e-mel awam atau tidak (iaitu @gmail.com).
Jika ia daripada domain e-mel awam, kemungkinan besar ia adalah serangan pancingan data kerana organisasi tidak menggunakan domain awam.
Sebaliknya, domain mereka adalah unik untuk perniagaan mereka (mis. domain e-mel Google ialah @google.com).
Walau bagaimanapun, terdapat serangan pancingan data yang lebih rumit yang menggunakan domain unik.
Adalah berguna untuk melakukan carian pantas syarikat dan menyemak kesahihannya.
Serangan pancingan data sentiasa cuba untuk berkawan dengan anda dengan ucapan atau empati yang baik.
Sebagai contoh, dalam spam saya tidak lama dahulu, saya menemui e-mel pancingan data dengan ucapan "Rakan yang dihormati".
Saya sudah tahu ini adalah e-mel pancingan data kerana dalam baris subjek tertulis, "BERITA BAIK TENTANG DANA ANDA 21/06/2020".
Melihat jenis sapaan tersebut sepatutnya menjadi tanda merah segera jika anda tidak pernah berinteraksi dengan kenalan itu.
Kandungan e-mel pancingan data adalah sangat penting dan anda akan melihat beberapa ciri tersendiri yang membentuk kebanyakannya.
Jika kandungannya terdengar tidak masuk akal, kemungkinan besar ia adalah satu penipuan.
Sebagai contoh, jika baris subjek berkata, "Anda memenangi Loteri $1000000" dan anda tidak ingat untuk mengambil bahagian maka itu adalah bendera merah.
Apabila kandungan menimbulkan rasa mendesak seperti "ia bergantung kepada anda" dan ia membawa kepada mengklik pautan yang mencurigakan maka kemungkinan besar ia adalah satu penipuan.
E-mel pancingan data sentiasa mempunyai pautan atau fail yang mencurigakan dilampirkan padanya.
Cara yang baik untuk menyemak sama ada pautan mempunyai virus adalah dengan menggunakan VirusTotal, tapak web yang menyemak fail atau pautan untuk perisian hasad.
Contoh E-mel Phishing:
Dalam contoh, Google menunjukkan bahawa e-mel itu boleh berpotensi berbahaya.
Ia menyedari bahawa kandungannya sepadan dengan e-mel pancingan data lain yang serupa.
Jika e-mel memenuhi kebanyakan kriteria di atas, maka anda disyorkan untuk melaporkannya kepada reportphishing@apwg.org atau phishing-report@us-cert.gov supaya ia disekat.
Jika anda menggunakan Gmail terdapat pilihan untuk melaporkan e-mel untuk pancingan data.
Walaupun serangan pancingan data ditujukan kepada pengguna rawak, mereka sering menyasarkan pekerja syarikat.
Bagaimanapun penyerang tidak selalu mengejar wang syarikat tetapi datanya.
Dari segi perniagaan, data jauh lebih berharga daripada wang dan ia boleh memberi kesan yang teruk kepada syarikat.
Penyerang boleh menggunakan data yang bocor untuk mempengaruhi orang ramai dengan menjejaskan kepercayaan pengguna dan mencemarkan nama syarikat.
Tetapi itu bukan satu-satunya akibat yang boleh terhasil daripada itu.
Akibat lain termasuk kesan negatif terhadap kepercayaan pelabur, mengganggu perniagaan dan menghasut denda kawal selia di bawah Peraturan Perlindungan Data Umum (GDPR).
Melatih pekerja anda untuk menangani masalah ini disyorkan untuk mengurangkan serangan pancingan data yang berjaya.
Cara untuk melatih pekerja secara amnya adalah dengan menunjukkan kepada mereka contoh e-mel pancingan data dan cara untuk mengesannya.
Satu lagi cara yang baik untuk menunjukkan pancingan data kepada pekerja ialah melalui simulasi.
Simulasi pancingan data pada dasarnya adalah serangan palsu yang direka untuk membantu pekerja mengenali pancingan data secara langsung tanpa sebarang kesan negatif.
Kami kini akan berkongsi langkah yang perlu anda ambil untuk menjalankan kempen pancingan data yang berjaya.
Pancingan data kekal sebagai ancaman keselamatan teratas menurut laporan keadaan keselamatan siber WIPRO 2020.
Salah satu cara terbaik untuk mengumpul data dan mendidik pekerja ialah menjalankan kempen pancingan data dalaman.
Ia boleh menjadi cukup mudah untuk membuat e-mel pancingan data dengan platform pancingan data, tetapi terdapat lebih banyak lagi daripada menekan hantar.
Kami akan membincangkan cara mengendalikan ujian pancingan data dengan komunikasi dalaman.
Kemudian, kami akan membincangkan cara anda menganalisis dan menggunakan data yang anda kumpulkan.
Kempen pancingan data bukan tentang menghukum orang jika mereka jatuh untuk penipuan. Simulasi pancingan data adalah tentang mengajar pekerja cara membalas e-mel pancingan data. Anda ingin memastikan bahawa anda bersikap telus tentang melakukan latihan pancingan data di syarikat anda. Utamakan memaklumkan pemimpin syarikat tentang kempen pancingan data anda dan terangkan matlamat kempen tersebut.
Selepas anda menghantar ujian e-mel pancingan data asas pertama anda, anda boleh membuat pengumuman seluruh syarikat kepada semua pekerja.
Aspek penting komunikasi dalaman adalah untuk memastikan mesej itu konsisten. Jika anda melakukan ujian pancingan data anda sendiri, maka adalah idea yang baik untuk menghasilkan jenama buatan untuk bahan latihan anda.
Menghasilkan nama untuk program anda akan membantu pekerja mengenali kandungan pendidikan anda dalam peti masuk mereka.
Jika anda menggunakan perkhidmatan ujian pancingan data terurus, maka mereka mungkin akan dilindungi. Kandungan pendidikan harus dihasilkan lebih awal supaya anda boleh mendapatkan susulan segera selepas kempen anda.
Beri pekerja anda arahan dan maklumat tentang protokol e-mel pancingan data dalaman anda selepas ujian garis dasar anda.
Anda ingin memberi peluang kepada rakan sekerja anda untuk bertindak balas dengan betul kepada latihan.
Melihat bilangan orang yang mengesan dan melaporkan e-mel dengan betul adalah maklumat penting untuk diperoleh daripada ujian pancingan data.
Apakah yang harus menjadi keutamaan anda untuk kempen anda?
Pertunangan.
Anda boleh cuba untuk mendasarkan keputusan anda pada bilangan kejayaan dan kegagalan, tetapi angka tersebut tidak semestinya membantu anda dengan tujuan anda.
Jika anda menjalankan simulasi ujian pancingan data dan tiada siapa yang mengklik pada pautan, adakah itu bermakna ujian anda berjaya?
Jawapan ringkasnya ialah "tidak".
Mempunyai kadar kejayaan 100% tidak diterjemahkan sebagai kejayaan.
Ini boleh bermakna bahawa ujian pancingan data anda terlalu mudah dikesan.
Sebaliknya, jika anda mendapat kadar kegagalan yang besar dengan ujian pancingan data anda, ini mungkin bermakna sesuatu yang berbeza sama sekali.
Ini mungkin bermakna pekerja anda masih belum dapat mengesan serangan pancingan data.
Apabila anda mendapat kadar klik yang tinggi untuk kempen anda, terdapat kemungkinan besar anda perlu mengurangkan kesukaran e-mel pancingan data anda.
Ambil lebih banyak masa untuk melatih orang pada tahap semasa mereka.
Anda akhirnya mahu mengurangkan kadar klik pautan pancingan data.
Anda mungkin tertanya-tanya apakah kadar klik yang baik atau buruk dengan simulasi pancingan data.
Menurut sans.org, anda simulasi pancingan data pertama mungkin menghasilkan kadar klik purata 25-30%.
Itu kelihatan seperti angka yang sangat tinggi.
Nasib baik, mereka melaporkannya selepas 9-18 bulan latihan pancingan data, kadar klik untuk ujian pancingan data ialah di bawah 5%.
Nombor ini boleh membantu sebagai anggaran kasar hasil yang anda inginkan daripada latihan pancingan data.
Untuk memulakan simulasi e-mel pancingan data pertama anda, pastikan anda menyenarai putih alamat IP alat ujian.
Ini memastikan bahawa pekerja akan menerima e-mel.
Apabila membuat e-mel pancingan data simulasi pertama anda, jangan jadikan ia terlalu mudah atau terlalu sukar.
Anda juga harus ingat penonton anda.
Jika rakan sekerja anda bukan pengguna tegar media sosial, maka mungkin bukan idea yang baik untuk menggunakan e-mel pancingan data tetapan semula kata laluan LinkedIn palsu. E-mel penguji mesti mempunyai daya tarikan yang cukup luas sehingga semua orang dalam syarikat anda mempunyai sebab untuk mengklik.
Beberapa contoh e-mel pancingan data dengan daya tarikan yang luas mungkin:
Ingatlah psikologi bagaimana mesej itu akan diambil oleh khalayak anda sebelum menekan hantar.
Teruskan menghantar e-mel latihan pancingan data kepada pekerja anda. Pastikan anda perlahan-lahan meningkatkan kesukaran dari semasa ke semasa untuk meningkatkan tahap kemahiran orang.
Adalah disyorkan untuk melakukan penghantaran e-mel bulanan. Jika anda "memancing" organisasi anda terlalu kerap, mereka berkemungkinan terlalu cepat menangkapnya.
Menangkap pekerja anda, sedikit lengah adalah cara terbaik untuk mendapatkan hasil yang lebih realistik.
Jika anda menghantar jenis e-mel "pancingan data" yang sama setiap kali, anda tidak akan mengajar pekerja anda cara bertindak balas terhadap penipuan yang berbeza.
Anda boleh mencuba beberapa sudut yang berbeza termasuk:
Semasa anda menghantar kempen baharu, sentiasa pastikan anda menyesuaikan dengan baik perkaitan mesej kepada khalayak anda.
Jika anda menghantar e-mel pancingan data yang tidak berkaitan dengan sesuatu yang menarik, anda mungkin tidak mendapat banyak respons daripada kempen anda.
Selepas menghantar kempen yang berbeza kepada pekerja anda, muat semula beberapa kempen lama yang menipu orang pada kali pertama dan lakukan putaran baharu pada kempen tersebut.
Anda akan dapat memberitahu keberkesanan latihan anda jika anda melihat orang ramai sedang belajar dan bertambah baik.
Dari situ anda akan dapat mengetahui sama ada mereka memerlukan pendidikan lanjut tentang cara mengesan jenis e-mel pancingan data tertentu.
Terdapat 3 faktor dalam menentukan sama ada anda akan membuat program latihan pancingan data anda sendiri atau penyumberan luar program tersebut.
Jika anda seorang jurutera keselamatan atau mempunyai satu dalam syarikat anda, anda boleh menghasilkan pelayan pancingan data dengan mudah menggunakan platform pancingan data yang sedia ada untuk membuat kempen anda.
Jika anda tidak mempunyai jurutera keselamatan, mencipta program pancingan data anda sendiri mungkin tidak dapat dipertikaikan.
Anda mungkin mempunyai jurutera keselamatan dalam organisasi anda, tetapi mereka mungkin tidak berpengalaman dengan ujian kejuruteraan sosial atau pancingan data.
Jika anda mempunyai seseorang yang berpengalaman, maka mereka boleh dipercayai untuk mencipta program pancingan data mereka sendiri.
Ini adalah faktor yang sangat besar untuk syarikat kecil hingga sederhana.
Jika pasukan anda kecil, mungkin tidak sesuai untuk menambah tugasan lain pada pasukan keselamatan anda.
Adalah lebih mudah untuk meminta pasukan berpengalaman lain melakukan kerja untuk anda.
Anda telah melalui keseluruhan panduan ini untuk mengetahui cara anda boleh melatih pekerja anda dan anda bersedia untuk mula melindungi organisasi anda melalui latihan pancingan data.
Apa sekarang?
Jika anda seorang jurutera keselamatan dan ingin mula menjalankan kempen pancingan data pertama anda sekarang, pergi ke sini untuk mengetahui lebih lanjut tentang alat simulasi pancingan data yang boleh anda gunakan untuk bermula hari ini.
Atau ...
Jika anda berminat untuk mengetahui tentang perkhidmatan terurus untuk menjalankan kempen pancingan data untuk anda, ketahui lebih lanjut di sini tentang cara anda boleh memulakan percubaan percuma latihan pancingan data anda.
Gunakan senarai semak untuk mengenal pasti e-mel luar biasa dan jika ia pancingan data, laporkannya.
Walaupun terdapat penapis pancingan data di luar sana yang boleh melindungi anda, ia bukan 100%.
E-mel pancingan data sentiasa berkembang dan tidak pernah sama.
Untuk melindungi syarikat anda daripada serangan pancingan data yang anda boleh sertai simulasi pancingan data untuk mengurangkan peluang serangan pancingan data yang berjaya.
Kami berharap bahawa anda telah belajar secukupnya daripada panduan ini untuk mengetahui perkara yang perlu anda lakukan seterusnya untuk mengurangkan peluang serangan pancingan data pada perniagaan anda.
Sila tinggalkan komen jika anda mempunyai sebarang soalan untuk kami atau jika anda ingin berkongsi sebarang pengetahuan atau pengalaman anda dengan kempen pancingan data.
Jangan lupa kongsikan panduan ini dan sebarkan!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-mel: info@hailbytes.com
