Wszystkie rodzaje ataków phishingowych

Opublikowany: 2022-07-27

Phishing to jedno z najczęstszych zagrożeń cybernetycznych, z jakimi borykają się dziś firmy.

Ponieważ jest to tak powszechne, dość zaskakujące jest to, że tak wiele osób nie zdaje sobie sprawy z tego, czym dokładnie jest i co oznacza phishing, a także z wszystkich istniejących odmian ataków phishingowych.

Nawet ci, którzy wiedzą, czym jest phishing, nadal są wyławiani. Według niedawnego raportu z 2021 r. ponad 80% organizacji padło ofiarą ataków phishingowych w zeszłym roku.

Właśnie dlatego zespół Data Connect pomaga w podnoszeniu świadomości niektórych rodzajów ataków phishingowych za pomocą tego przydatnego przewodnika.

Poniżej wymienione są tylko niektóre z najczęstszych typów.

Wpływ ataków phishingowych

quiz o phishingu w Google
Obraz: Google

Organizacje, które padły ofiarą ataku phishingowego, muszą radzić sobie z wieloma konsekwencjami.

Ponieważ cyberataki rosną z roku na rok, przy znacznie bardziej złożonych podejściach, członkowie organizacji muszą być świadomi ryzyka i wpływu ataków phishingowych nie tylko na ich bezpieczeństwo cybernetyczne, ale na całą firmę.

Według danych firmy Tessian najczęstsze skutki ataku phishingowego to:

  • Utrata danych
  • Naruszone dane uwierzytelniające i/lub konta
  • Organizacje zainfekowane oprogramowaniem ransomware
  • Infekcja złośliwym oprogramowaniem
  • Straty finansowe

Ataki phishingowe nie tylko tworzą skomplikowane scenariusze, które organizacje muszą przezwyciężyć, ale także narażają firmę na grzywny, zakłócenia, utratę działalności i dochody.

Ponadto koszt naprawienia szkód spowodowanych atakiem może być często bardzo kosztowny. Dlatego ważne jest, aby zrozumieć ataki phishingowe i mieć świadomość ich różnych typów.

Oto sześć najczęstszych technik phishingowych stosowanych przez cyberprzestępców w tym roku.

Wyłudzanie wiadomości e-mail

logo gmaila
Obraz: KnowTechie

Najczęstszym i najbardziej rozpowszechnionym stylem phishingu jest phishing e-mailowy. Jeśli wiesz tylko trochę o atakach phishingowych, z pewnością spotkasz się z atakiem za pośrednictwem poczty e-mail.

Do ataku dochodzi, gdy do osób fizycznych wysyłana jest złośliwa wiadomość e-mail, często podszywająca się pod autentyczną organizację.

Za pomocą prostego kliknięcia łącza cyberprzestępcy mogą zainfekować Twoje urządzenie złośliwym oprogramowaniem lub dalej manipulować Tobą w celu ujawnienia Twoich danych osobowych.

Niedawny raport Cisco o cyberbezpieczeństwie wykazał, że co najmniej jedna osoba kliknęła łącze phishingowe w około 86% organizacji w 2021 roku. Pokazuje, jak bardzo rozpowszechnione są te ataki i jakie stwarzają ryzyko.

Spear phishing

Spear phishing to termin używany do opisania rodzaju ataku phishingowego, w którym cyberprzestępca atakuje osobę fizyczną, a nie ogólną, masową bazę użytkowników.

Jeśli chodzi o wskaźnik „sukcesu”, ataki te działają ze względu na legalne fałszowanie treści (imitowanie prawdziwych wiadomości e-mail).

Wiadomość e-mail może zawierać imię i nazwisko odbiorcy oraz szczegółowe informacje, takie jak jego rola, numer telefonu i inne szczegóły, aby było to jak najbardziej wiarygodne.

Może również obejmować zaufane marki, z którymi atakujący wie, że dana osoba jest zaangażowana. Jest to jeden z najczęstszych powodów, dla których ludzie co roku padają ofiarą oszustw phishingowych.

Wielorybnictwo

Wielorybnictwo to specyficzny rodzaj ataku phishingowego, którego celem są osoby wysokiego szczebla, najczęściej prezesi i dyrektorzy organizacji.

Sprawca ataku oszuka osobę za pomocą fałszywych wiadomości e-mail, aby uzyskać dostęp do swoich danych uwierzytelniających, zainstalować złośliwe oprogramowanie na swoich komputerach lub zmusić ją do przesyłania pieniędzy.

Dyrektorzy są często celem ataków ze względu na ich autorytet w firmie i prawdopodobieństwo, że będą mieli dostęp do bardziej wrażliwych informacji.

Przykładem tego jest wysyłanie od nich wiadomości e-mail do innych osób w organizacji w celu zdobycia ich zaufania i dalszego dostępu do danych firmy.

Smishing i vishing

przykład ataku miażdżącego
Obraz: KnowTechie

Są to dwa style ataków phishingowych wykorzystujących alternatywne formy komunikacji, odchodzące od e-maili.

Smishing odnosi się do phishingu SMS, polegającego na wysyłaniu wiadomości tekstowej w celu zwabienia ofiar.

Często przestępcy podszywają się pod legalne firmy i wykorzystują techniki socjotechniki, takie jak żądanie pilności, aby manipulować ofiarami w celu zaangażowania.

Według Tessian 56% pracowników otrzymało oszukańczą wiadomość tekstową, a 32% spełniło żądania.

Często te teksty zachęcają odbiorcę do wykonania jednego z kilku kroków, w tym:

  • Otwarcie linku do fałszywej witryny
  • Kontaktowanie się z osobą
  • Pobieranie załącznika lub aplikacji

Statystyki sugerują, że ten styl ataków phishingowych rośnie, a liczba otrzymywanych SMS-ów prawie potroiła się w latach 2019-2020.

Być może otrzymałeś oszukańczą wiadomość tekstową w następstwie pandemii COVID-19, w której przestępcy wykorzystali trwającą sytuację, aby atakować osoby narażone.

Vishing oznacza „phishing głosowy” i jest dostarczany przez telefon, aby zmusić ofiary do dzielenia się poufnymi informacjami. Większość ludzi jest już świadoma tego typu phishingu.

Oznacza to, że stał się on bardziej wyrafinowany i często nie jest pierwszym etapem ataku (np. najpierw zbadanie ofiary lub firmy).

Phishing w mediach społecznościowych

Obraz: bandt.com.au

Phishing w mediach społecznościowych jest dokładnie tym, co sugeruje nazwa, atakiem przeprowadzanym za pośrednictwem platform mediów społecznościowych. Obejmuje to popularne platformy, takie jak Facebook, Twitter, LinkedIn i Instagram.

Zwykle będzie to wykorzystywane do przejęcia kontroli nad kontem w mediach społecznościowych, jednak w przypadku firm ta metoda może również umożliwić złośliwym podmiotom uzyskanie danych i poświadczeń za pośrednictwem profili poszczególnych pracowników.

Dzięki LinkedIn przestępcom jest teraz jeszcze łatwiej znaleźć informacje potrzebne do przeprowadzenia takich ataków.

Jeśli chodzi o ochronę siebie i swojej organizacji przed atakami typu phishing, kilka ważnych kroków, które należy podjąć, to:

  • Trenuj swoje zespoły w zakresie rozpoznawania wiadomości phishingowych dzięki symulacjom i szkoleniom phishingu
  • Pomóż stworzyć kulturę, w której pracownicy czują się mile widziani, aby zadawać pytania zabezpieczające i zgłaszać podejrzane działania lub błędy
  • Ogranicz ilość szkód, które może wyrządzić złośliwe oprogramowanie, ograniczając dostęp administratora tylko do tych, którzy wymagają go ze względu na swoją rolę
  • Użyj uwierzytelniania wieloskładnikowego (MFA) dla wszystkich kont

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

  • OpenSea ostrzega użytkowników przed próbami phishingu NFT po wycieku wiadomości e-mail
  • Ochrona małej firmy przed atakami typu phishing
  • Rodzaje ataków phishingowych, przed którymi należy chronić
  • Rozwiązania antyphishingowe – potrzebujesz?