Phishing-as-a-Company : la commercialisation de la cybercriminalité et le danger pour votre organisation
Publié: 2022-01-19
Le mouvement Software-as-a-Services (SaaS) a complètement transformé notre façon de travailler et notre façon d'interagir dans notre vie individuelle. Nous pouvons intégrer de nouveaux vendeurs et faire évoluer les solutions d'entreprise à une fraction des frais et des délais pré-SaaS. Il a également été probable que des dizaines de millions de personnes travaillent à distance au cours de la pandémie de COVID-19 grâce à ce changement dans l'approvisionnement de l'assistance. Et en dehors du travail, nous interagissons avec les applications SaaS au jour le jour, en diffusant sur Spotify et Netflix, en hélant des trajets sur Uber et Lyft, et en restant en contact avec nos amis et notre famille via Zoom.
Ça n'empêche pas là. La SaaSification transforme désormais la façon dont les cybercriminels se comportent, entraînant un changement dans la façon dont ils provisionnent et lancent leurs attaques.
Avec absolument tout le monde accédant à des e-mails performants (et, normalement, privés) via des ordinateurs portables et des unités mobiles connectés au réseau de votre organisation, il est nécessaire de réaliser ce que la commercialisation de la cybercriminalité signifie pour vous.
Qu'est-ce que le Phishing-as-a-Support (PhaaS) ?
PhaaS permet aux cybercriminels d'avoir une interaction dans les interactions « fournisseur » et « acheteur », ce qui permet d'acquérir tous les aspects essentiels à une attaque de phishing.
Les soi-disant «kits de phishing» sont compilés par des cybercriminels bien informés et organisés, puis sont créés et disponibles pour la commande en ligne. Ces kits incluent généralement tout ce dont l'acheteur a besoin pour lancer une attaque de phishing, comme des modèles de courrier électronique et de page Web, des logiciels malveillants et des adresses électroniques de cibles potentielles. Ils peuvent également contenir des instructions d'installation étape par étape pour l'acheteur, ce qui le rend aussi rapide que possible à suivre pour commencer leurs attaques.
Pourquoi PhaaS est-il un problème ?
PhaaS abaisse les limites financières et spécialisées à l'entrée pour le phishing.
Une enquête récente publiée par Egress a trouvé des illustrations de kits de phishing à partir d'aussi peu que 40 $. Nous avons également découvert des solutions d'abonnement - comme une personne qui a commercialisé un service d'adhésion de qualité supérieure coûtant 499 $ à l'avance et des frais mensuels de 199 $. Avec leur adhésion, les acheteurs potentiels peuvent accéder à un système en ligne avec plus de 20 kits de phishing préchargés qui ciblent les banques et les fabricants acheteurs, ainsi que recevoir 15 nouveaux kits de phishing supplémentaires chaque mois.
Tout comme l'utilisation d'objectifs SaaS évitera à de véritables organisations de créer leur propre logiciel, PhaaS indique qu'un cybercriminel peut lancer d'autres attaques dans un délai donné et sans toujours posséder personnellement toutes les capacités nécessaires. Par exemple, il peut être beaucoup plus simple pour une personne ayant peu ou pas d'expertise en HTML de mettre la main sur un courrier électronique et une page Web de phishing très bien conçus et convaincants. Bien que leur travail n'ait peut-être pas trompé votre personnel - peut-être en raison d'un formatage très médiocre, de problèmes d'orthographe et de grammaire, et d'illustrations ou de photos de qualité réduite - ces personnes moins compétentes sont désormais capables de se greffer sur le obtenir le travail fait de criminels raffinés supplémentaires et lancer des attaques vraiment convaincantes.
Quelle est la chance pour votre entreprise?
Chaque être humain travaillant dans chaque entreprise est qualifié par les e-mails de phishing. Ces temps-ci, les e-mails de phishing ne sont malheureusement qu'un prix de plus pour faire des affaires. Et ces attaques contournent les défenses périmétriques communes des passerelles de messagerie électronique sécurisées (SEG) et atterrissent dans les boîtes de réception des utilisateurs. La section suivante est également malheureusement inévitable. L'exploration moderne d'Egress a révélé que 73% des entreprises ont été victimes d'attaques de phishing prospères au cours des 12 derniers mois.
Nous ne pouvons tout simplement pas reprocher aux gens de devenir humains. La conscience de la cybersécurité s'est considérablement améliorée au cours des dernières années et les gens trouvent vraiment beaucoup mieux à reconnaître les e-mails de phishing. Mais ils ne sont pas idéaux et nous ne pouvons pas compter sur des individus pour détecter chaque e-mail de phishing individuel à chaque fois - et c'est ce qu'il faut, principalement parce qu'il suffit qu'une personne fasse un faux pas par un être humain en cliquant sur une URL destructrice ou en ouvrant une pièce jointe destructrice. , et c'est tout ce qu'un pirate demande pour compromettre votre entreprise.
L'effet de PhaaS est une quantité amplifiée d'attaques de phishing spécifiques visant vos hommes et vos femmes, augmentant à son tour le risque et la probabilité qu'un seul homme ou femme en particulier tombe sur la cible. Cela signifie que votre organisation veut se protéger contre un plus grand nombre d'attaques subtiles, qui pour beaucoup, devront avoir une modification dans votre solution de vos défenses anti-hameçonnage et de votre sensibilisation à la protection.
Comment pouvez-vous protéger vos hommes et vos femmes et votre entreprise de PhaaS ?
Les technologies sont le meilleur moyen de réduire vos chances de réussir une attaque de phishing.
"Mais qu'en est-il de l'instruction de reconnaissance de la stabilité ?" Je t'écoute pleurer ! Préservez les applications des personnes en cours d'exécution, mais reconnaissez qu'elles ont un plafond. Nous nous engageons dans l'enseignement de la reconnaissance de la sécurité à Egress pour gérer nos accréditations de conformité et aider à former nos employés aujourd'hui.
Cependant, chaque application scolaire a ses limites. Vous devez faire en sorte que vos individus soient allumés et apprennent activement dans l'instant, puis capables de se souvenir évidemment de ce qu'ils ont appris des jours, des mois ou des mois plus tard lorsqu'ils sont dans une situation de phishing de style de vie réel. Et nous savons que les cybercriminels organisent socialement leurs attaques pour transférer les gens hors des styles de réflexion raisonnables, lorsqu'ils peuvent se souvenir et mener à bien leur scolarité, vers une construction de conclusions psychologique et irrationnelle.
C'est alors qu'ils ont besoin de technologies pour s'installer et les aider à fonctionner en toute sécurité.
Nous avons brièvement abordé les SEG précédemment. Il s'agit des défenses de sécurité classiques déployées au périmètre d'une organisation pour analyser les e-mails entrants et mettre en quarantaine les menaces. Lorsqu'ils sont excellents pour filtrer le spam et rechercher les virus considérés, il y a une forte proportion d'attaques de phishing qui contournent le SEG et atterrissent dans les boîtes de réception des gens. Tout d'abord, les SEG ne peuvent découvrir que les menaces reconnues et non les attaques émergentes. Ils utilisent un savoir-faire statique qui ne sait pas ce qu'il ne sait pas et vous expose à de nouvelles attaques et pratiques. Et les cybercriminels intelligents le savent – ils conçoivent donc leurs attaques pour éviter la détection de SEG. Les SEG recherchent des souches de sujet provenant d'attaques connues. Les cybercriminels laissent les souches de sujet vides. Les SEG recherchent des URL destructrices reconnues, les cybercriminels militarisent leurs liens entrants, l'expédition et la livraison d'articles. La liste de contrôle continue.
Par conséquent, les entreprises devront utiliser des alternatives intelligentes de sécurité de messagerie électronique intégrées dans le cloud, capables de détecter les jours ouvrables zéro et les attaques croissantes, et pouvant être déployées immédiatement dans les boîtes aux lettres des utilisateurs pour les sécuriser.
Que devriez-vous vraiment chercher dans une solution anti-phishing intelligente ?
Le premier élément est la façon dont il s'engage avec vos personnes. Il y a des moments propices à l'apprentissage en temps réel dans la journée de chacun, notamment lorsqu'un e-mail de phishing atterrit dans la boîte de réception d'une personne.
En fournissant un risque neutralisé à un personnel et en expliquant clairement pourquoi il s'agit d'un e-mail de phishing, ils peuvent voir les menaces par eux-mêmes. Cela activera leur entraînement de sensibilisation à la stabilité au quotidien, ce qui le rendra beaucoup plus efficace à long terme. Mettre les e-mails en quarantaine à la passerelle et ne les montrer en aucun cas à leurs cibles suggère que lorsqu'une personne est confrontée à une cyber-menace dans la vie quotidienne grave (par exemple, un e-mail de phishing envoyé sur sa messagerie personnelle à laquelle elle accède sur un utiliser un ordinateur portable), ils ne sauront pas quoi chercher et pourraient en être victimes.
La seconde est la méthode utilisée pour acquérir l'application. Pour qu'une option anti-hameçonnage soit définitivement efficace, elle doit être construite à l'aide d'une solution sans recours, de sorte qu'elle examine chaque e-mail entrant pour confirmer s'il s'agit d'un risque. La réponse doit utiliser des technologies de recherche d'appareils et de traitement du langage normal pour lui permettre de comprendre le contexte et le contenu lors de la prise de décision finale. La réponse ne devrait pas non plus utiliser la technologie des graphes sociaux ou mettre à jour ses algorithmes en fonction des commentaires des gens, indiquant que les gourous non cybernétiques ne peuvent tout simplement pas empoisonner ses capacités de détection.
Cette stratégie permet à l'option anti-hameçonnage de détecter les attaques les plus subtiles et les plus croissantes, y compris toutes celles qui sont lancées à l'aide de comptes de chaîne compromis qui ont été précédemment approuvés.
Les hommes et les femmes ne sont qu'humains : ils créeront des problèmes et glisseront pour des attaques de phishing - mais avec les bonnes défenses de sécurité de messagerie, vous pouvez non seulement protéger votre groupe, mais transformer complètement vos employés aujourd'hui en votre première ligne de protection.
Tony Pepper, co-fondateur, Egress Computer software Technologies