Phishing-as-a-Company: Die Kommerzialisierung der Cyberkriminalität und die Gefahr für Ihr Unternehmen
Veröffentlicht: 2022-01-19
Die Software-as-a-Services (SaaS)-Bewegung hat die Art und Weise, wie wir arbeiten und wie wir in unserem individuellen Leben interagieren, vollständig verändert. Wir können neue Verkäufer an Bord holen und Unternehmenslösungen zu einem Bruchteil der Gebühren und Zeitskalen vor SaaS skalieren. Dank dieser Verschiebung der Unterstützungsbereitstellung war es auch wahrscheinlich, dass im Zuge der COVID-19-Pandemie mehrere zehn Millionen Menschen aus der Ferne arbeiten. Und außerhalb der Arbeit interagieren wir Tag für Tag mit SaaS-Apps, streamen auf Spotify und Netflix, rufen Fahrten bei Uber und Lyft an und halten uns über Zoom mit Freunden und Familie in Verbindung.
Da hindert es nicht. Die SaaSifizierung verändert nun das Verhalten von Cyberkriminellen und führt zu einer veränderten Art und Weise, wie sie ihre Angriffe bereitstellen und starten.
Da praktisch jeder über Laptops und mobile Geräte, die mit dem Netzwerk Ihres Unternehmens verbunden sind, auf geschäftliche (und normalerweise private) E-Mails zugreift, müssen Sie sich darüber im Klaren sein, was die Kommerzialisierung der Cyberkriminalität für Sie bedeutet.
Was ist Phishing-as-a-Support (PhaaS)?
PhaaS ermöglicht Cyberkriminellen Interaktionen zwischen „Anbietern“ und „Käufern“, wodurch es möglich wird, jeden einzelnen Aspekt zu erfassen, der für einen Phishing-Angriff wesentlich ist.
Sogenannte „Phishing-Kits“ werden von sachkundigen und arrangierten Cyberkriminellen zusammengestellt und dann zur Online-Bestellung erstellt. Diese Kits enthalten normalerweise alles, was der Käufer benötigt, um einen Phishing-Angriff zu starten, wie E-Mail- und Webseitenvorlagen, Malware und E-Mail-Adressen potenzieller Ziele. Sie können auch Schritt-für-Schritt-Installationsanweisungen für den Käufer enthalten, sodass er so schnell wie möglich nachsehen kann, um seine Angriffe zu starten.
Warum ist PhaaS ein Problem?
PhaaS senkt die finanziellen und fachlichen Grenzen für den Eintritt von Phishing.
Eine aktuelle Untersuchung von Egress fand Abbildungen von Phishing-Kits ab einem Mindestpreis von 40 US-Dollar. Wir haben auch Abonnementlösungen gefunden – etwa als Person, die einen erstklassigen Mitgliedschaftsdienst für 499 US-Dollar im Voraus und eine monatliche Gebühr von 199 US-Dollar vermarktet. Mit ihrer Mitgliedschaft können potenzielle Käufer auf ein Online-System mit mehr als 20 vorinstallierten Phishing-Kits zugreifen, die auf Finanzinstitute und Käuferhersteller abzielen, und erhalten jeden Monat zusätzlich 15 neue Phishing-Kits.
So wie die Verwendung von SaaS-Zwecken echte Unternehmen davon abhält, ihr persönliches Softwarepaket zu erstellen, zeigt PhaaS an, dass ein Cyberkrimineller innerhalb eines vorgegebenen Zeitrahmens zusätzliche Angriffe starten kann, ohne immer persönlich über alle erforderlichen Fähigkeiten zu verfügen. Beispielsweise kann es für eine Person mit wenig bis gar keinen HTML-Kenntnissen erheblich einfacher werden, eine sehr gut gestaltete und überzeugende Phishing-E-Mail und -Webseite in die Hände zu bekommen. Auch wenn ihre Besitzer die Arbeit erledigen, haben sie Ihre Leute möglicherweise nicht getäuscht – möglicherweise aufgrund von sehr schlechter Formatierung, Rechtschreib- und Grammatikfehlern und qualitativ reduzierten Illustrationen oder Fotos –, aber diese viel weniger kompetenten Personen sind jetzt in der Lage, dies zu tun Arbeit von raffinierteren Kriminellen erledigt und wirklich überzeugende Angriffe starten.
Welche Chance hat Ihr Unternehmen?
Jeder Mitarbeiter in jedem Unternehmen wird durch Phishing-E-Mails qualifiziert. Heutzutage sind Phishing-E-Mails leider nur ein weiterer Preis für die Durchführung von Unternehmen. Und diese Angriffe umgehen die übliche Perimeterabwehr sicherer Gateways für elektronische Post (SEGs) und landen in den Posteingängen der Benutzer. Auch der folgende Abschnitt ist leider unausweichlich. Die moderne Untersuchung von Egress hat ergeben, dass 73 % der Unternehmen in den letzten 12 Monaten Opfer erfolgreicher Phishing-Angriffe geworden sind.
Wir können den Menschen einfach nicht vorwerfen, dass sie menschlich geworden sind. Das Bewusstsein für Cybersicherheit hat sich in letzter Zeit dramatisch verbessert, und die Menschen finden es heute wirklich viel besser, Phishing-E-Mails zu erkennen. Aber sie sind nicht ideal, und wir können uns nicht darauf verlassen, dass Einzelpersonen jede einzelne Phishing-E-Mail jedes Mal erkennen – und das ist es, was es erfordert, hauptsächlich weil eine Person von einer Person einen Fehler macht, indem sie auf eine destruktive URL klickt oder einen destruktiven Anhang öffnet , und das ist alles, was ein Hacker verlangt, um Ihr Unternehmen zu kompromittieren.
Die Wirkung von PhaaS ist eine verstärkte Menge spezifischer Phishing-Angriffe, die auf Ihre Männer und Frauen abzielen, was wiederum die Gefahr und Wahrscheinlichkeit erhöht, dass nur ein bestimmter Mann oder eine bestimmte Frau zum Ziel wird. Es bedeutet, dass Ihr Unternehmen sich vor einem größeren Volumen subtiler Angriffe schützen möchte, die für viele eine Änderung Ihrer Lösung für Ihre Anti-Phishing-Abwehr und Ihr Schutzbewusstsein erfordern.
Wie können Sie Ihre Mitarbeiter und Ihr Unternehmen vor PhaaS schützen?
Technologien sind der beste Weg, um Ihre Chance auf einen erfolgreichen Phishing-Angriff zu verringern.
„Aber was ist mit dem Stabilitätserkennungsunterricht?“ Ich höre dich weinen! Sorgen Sie dafür, dass Personenanwendungen weiterhin ausgeführt werden – aber erkennen Sie an, dass sie eine Obergrenze haben. Wir verpflichten uns zur Sicherheitsanerkennungslehre bei Egress, um unsere Compliance-Akkreditierungen zu verwalten und unsere Mitarbeiter heute zu unterrichten.
Jede Schulanwendung hat jedoch ihre Grenzen. Sie müssen dafür sorgen, dass Ihre Mitarbeiter sofort eingeschaltet sind und aktiv lernen und sich dann offensichtlich daran erinnern können, was ihnen Tage, Monate oder Monate später beigebracht wurde, wenn sie sich in einer echten Phishing-Situation befinden. Und wir wissen, dass Cyberkriminelle ihre Angriffe sozial manipulieren, um Menschen aus vernünftigen Denkstilen, wenn sie sich erinnern und ihre Schulung durchführen können, in psychologische und irrationale Schlussfolgerungen zu versetzen.
Dann brauchen sie Technologien, die ihnen beim Einzug helfen und ihnen helfen, sicher zu arbeiten.
Wir haben zuvor kurz auf SEGs eingegangen. Dies sind die klassischen Sicherheitsmaßnahmen, die am Perimeter einer Organisation eingesetzt werden, um eingehende E-Mails zu scannen und Bedrohungen zu isolieren. Wenn sie hervorragend Spam filtern und nach angesehenen Viren suchen, gibt es einen hohen Anteil an Phishing-Angriffen, die das SEG umgehen und in den Posteingängen der Benutzer landen. Zunächst einmal können SEGs nur anerkannte Bedrohungen erkennen und keine neuen Angriffe. Sie verwenden statisches Know-how, das nicht weiß, was es nicht weiß, und setzen Sie neuen Angriffen und Praktiken aus. Und clevere Cyberkriminelle wissen das – also entwickeln sie ihre Angriffe so, dass sie der SEG-Erkennung entgehen. SEGs scannen nach Themenstämmen bekannter Angriffe, Cyberkriminelle lassen Themenstämme leer. SEGs scannen nach erkannten destruktiven URLs, die von Cyberkriminellen als Waffe für den Versand und die Zustellung eingehender Links genutzt werden. Die Checkliste geht weiter.
Unternehmen müssen daher clevere integrierte Cloud-E-Mail-Sicherheitsalternativen finden, die Zero-Working-Day- und zunehmende Angriffe erkennen und sofort in den Postfächern der Benutzer bereitgestellt werden können, um sie zu schützen.
Worauf sollten Sie bei einer intelligenten Anti-Phishing-Lösung wirklich achten?
Die erste Komponente ist, wie es mit Ihren Personen interagiert. Es gibt jeden Tag lehrbare Zeiten, in denen eine Phishing-E-Mail im Posteingang einer Person landet.
Durch die Bereitstellung eines neutralisierten Risikos für eine Person und eine klare Erläuterung, warum es sich um eine Phishing-E-Mail handelt, können sie die Bedrohungen selbst erkennen. Dies wird ihr Stabilitätsbewusstseinstraining auf einer täglichen Basis aktivieren und es für die längere Phrase viel erfolgreicher machen. E-Mails am Gateway unter Quarantäne zu stellen und sie unter keinen Umständen ihren Zielen zu zeigen, deutet darauf hin, dass, wenn jemand im ernsthaften Alltag mit einer Cyberbedrohung konfrontiert wird (z einen Laptop bedienen), wissen sie nicht, wonach sie suchen sollen, und könnten zum Opfer fallen.
Die zweite ist die Methode, mit der die Anwendung erworben wird. Damit eine Anti-Phishing-Option definitiv produktiv ist, muss sie mit einer Zero-Rely-on-Lösung erstellt werden, sodass jede eingehende E-Mail überprüft wird, um zu bestätigen, ob es sich um ein Risiko handelt. Die Antwort muss Geräteerkennungs- und normale Sprachverarbeitungstechnologien verwenden, um es ihr zu ermöglichen, den Kontext und das Inhaltsmaterial zu verstehen, wenn sie zu ihrer endgültigen Entscheidung gelangt. Die Antwort sollte auch keine technologische Innovation von Social Graphs verwenden oder ihre Algorithmen hauptsächlich auf der Grundlage von Kommentaren von Menschen aktualisieren, was darauf hinweist, dass Nicht-Cyber-Gurus ihre Erkennungsfähigkeiten einfach nicht vergiften können.
Diese Strategie ermöglicht es der Anti-Phishing-Option, die subtilsten und aufstrebendsten Angriffe zu erkennen, einschließlich aller Angriffe, die über kompromittierte Kettenkonten gestartet werden, denen zuvor vertraut wurde.
Männer und Frauen sind nur Menschen: Sie machen Probleme und rutschen für Phishing-Angriffe ab – aber mit der richtigen E-Mail-Sicherheitsabwehr können Sie nicht nur Ihr Unternehmen schützen, sondern Ihre Mitarbeiter heute vollständig in Ihre anfängliche Schutzlinie verwandeln.
Tony Pepper, Mitbegründer von Egress Computer Software Technologies