Ghid rapid despre 6 tipuri frecvente de phishing

de | august 19, 2021 | Cum să..., Ghiduri ATTACK Simulator

Phishing-ul este o infracțiune cibernetică care utilizează diferite tactici, cum ar fi e-mailurile frauduloase, site-urile web și mesajele text, în scopul de a obține datele personale ale utilizatorilor. Atacatorii pot folosi informațiile obținute pentru furt de identitate și fraudă.

De la phreaking la phishing

Termenul de phishing își are rădăcinile phreaking-ul din anii ’60 – și se referă la manipularea frauduloasă a semnalelor telefonice. Persoanele care practicau phreaking-ul obișnuiau să fluiere pentru a recrea tonul de 2.600 MHz al semnalului de rutare a telefonului. Tot acest efort pentru a face apeluri telefonice (interurbane!) gratuite! Prin urmare, cuvintele: telefon (phone), gratuit (free) și ciudat (freak) au creat cuvântul phreaking.

Cuvântul „phishing” a fost folosit pentru prima dată în 1996 de către hackerii care încercau să fure conturile și parolele America Online. Asemănător pescuitului la copcă, escrocii „pescuiau” parole și informații financiare din „marea” de utilizatori de internet. Această analogie a dus la inventarea termenului de phishing, înlocuind „f” din „fishing” cu „ph” din „phreaking”.

Cum funcționează phishing-ul?

Imaginați-vă că vă verificați e-mailul și găsiți un mesaj de la bancă. Ați mai primit e-mailuri de la bancă și înainte, dar acesta conține un mesaj dubios, care amenință că vă va închide contul dacă nu răspundeți imediat. Acest mesaj este un exemplu de phishing.

Phisher-ii găsesc o companie drept țintă și reușesc să obțină adresele de e-mail ale clienților acelei companii. După ce și-au găsit victimele, lucrează la metoda de transmitere a mesajului. De cele mai multe ori, aceștia optează pentru o pagină web.

Cel puțin o dată în viață ați primit un mesaj care pare să provină dintr-o sursă de încredere. E-mailul încearcă să vă păcălească să faceți clic pe un link pentru a introduce informații confidențiale sau să rulați un fișier executabil care obține în mod secret acces la computerul dumneavoastră.

Chiar dacă phisherii folosesc diverse metode de fraudare, în principal folosesc manipularea link-urilor și falsificarea site-urilor web, cu scopul de a-și face mesajul mai convingător.

Tipuri de phishing

Atacurile de phishing sunt la fel de vechi ca și internetul. Prin urmare, metodele de phishing s-au îmbunătățit de-a lungul anilor și au devenit din ce în ce mai bune. Iată 6 tipuri de atacuri frecvente de phishing:

Email-ul

Acesta este unul dintre cele mai cunoscute atacuri cibernetice. Phisherii trimit e-mailuri către utilizatori, dându-se drept o companie de încredere și folosesc tactici de inginerie socială pentru a-i convinge pe utilizatori că trebuie neapărat să dea clic sau să descarce un fișier.

Link-urile incluse în e-mail conduc la site-uri web malițioase care fură credențiale sau instalează coduri malițioase pe dispozitivul utilizatorului.

Spear

Atunci când atacul vizează o anumită persoană, o anumită organizație sau o anumită afacere, se numește spear phishing. Această metodă utilizează informații din surse deschise (open source intelligence – OSINT) pentru a strânge date din surse publice, cum ar fi rețelele de socializare sau site-urile web, iar apoi vizează o anumită persoană din cadrul organizației.

Deoarece phisherii folosesc nume reale și funcții reale, destinatarul poate crede că e-mailul provine de la cineva din cadrul companiei. Crezând că este o solicitare internă, persoana respectivă execută acțiunea solicitată în e-mail.

În perioada 2006-2020, SUA au înregistrat 156 atacuri cibernetice semnificative. Prin urmare, este imperativ să vă instruiți angajații în materie de conștientizarea securității.

Whaling

Similar cu spear phishing-ul, whaling-ul folosește OSINT. Atacatorii găsesc numele directorului general al unei anumite organizații-țintă și apoi pretind că sunt persoana respectivă folosind o adresă de e-mail similară. Cu ajutorul e-mailului, atacatorul poate solicita un transfer de bani sau revizuirea unui anumit document.

Vishing

Acesta este un tip de phishing de tip vocal prin care un personaj rău intenționat apelează un număr de telefon și creează impresia unei urgențe, determinând victima să ia o măsură împotriva intereselor sale. Asigurați-vă că atunci când primiți un apel telefonic de la cineva care vă solicită informații personale neobișnuite pentru tipul de apelant!

Smishing

Smishing, cunoscut și sub numele de SMS phishing, este un tip de atac cibernetic efectuat prin intermediul mesajelor text. Din păcate, spre deosebire de phishing-ul prin e-mail, pe care filtrele de securitate îl pot identifica și bloca, Smishing-ul poate ajunge pe telefoanele utilizatorilor în cea mai mare parte fără a fi luat în considerare. Chiar mai rău, acest tip de atac de phishing a evoluat în ultimii ani într-o întreagă gamă de escrocherii și programe malware care vizează dispozitivele mobile ale utilizatorilor.

Angler

Datorită utilizării pe scară largă a rețelelor de socializare, este firesc să apară phishing-ul angler. Similar vishing-ului și smishing-ului, acest tip de atac implică utilizarea notificărilor sau a funcțiilor de mesagerie directă dintr-o aplicație de social media. Prin intermediul notificării, atacatorul trimite un mesaj care solicită utilizatorului să întreprindă o acțiune.

Necesitatea de a conștientiza importanța securității

Deoarece pentru vremuri drastice se impun măsuri drastice, numărul îngrijorător de atacuri de phishing necesită măsuri de prevenire eficiente. Echipa noastră – Attack Simulator – este aici pentru a veni în întâmpinarea nevoilor dumneavoastră cu o serie de servicii concepute pentru a crește gradul de conștientizare a problemelor de securitate.

Vă oferim programe de formare automatizate de conștientizare a securității, pentru a crește vigilența angajaților dumneavoastră în fața atacurilor cibernetice. A preveni este întotdeauna mai bine decât a vindeca, chiar și atunci când se referă la securitatea online.

by Doina Voicu

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.