Phishing-as-a-Company: la commercializzazione del crimine informatico e il pericolo per la tua organizzazione
Pubblicato: 2022-01-19
Il movimento Software-as-a-Services (SaaS) ha completamente trasformato il modo in cui lavoriamo e il modo in cui interagiamo nella nostra vita individuale. Siamo in grado di integrare nuovi venditori e ridimensionare le soluzioni aziendali a una frazione delle tariffe e dei tempi pre-SaaS. È anche probabile che decine di milioni di persone lavorino da remoto nel corso della pandemia di COVID-19 grazie a questo spostamento nell'approvvigionamento di supporto. E al di fuori del lavoro, interagiamo con le app SaaS giorno dopo giorno, trasmettendo in streaming su Spotify e Netflix, salutando corse su Uber e Lyft e tenendoci al passo con amici e familiari tramite Zoom.
Non impedisce lì. La SaaSification sta ora trasformando il modo in cui si comportano i criminali informatici, portando a un cambiamento nel modo in cui forniscono e iniziano i loro attacchi.
Dato che tutti accedono alla posta elettronica (e, normalmente, privata) tramite laptop e unità mobili collegate alla rete della tua organizzazione, è necessario capire cosa indica per te la commercializzazione del crimine informatico.
Che cos'è il Phishing-as-a-Support (PhaaS)?
PhaaS consente ai criminali informatici di interagire nelle interazioni "fornitore" e "acquirente", costruendo la possibilità di acquisire ogni singolo aspetto essenziale per un attacco di phishing.
I cosiddetti "kit di phishing" vengono compilati da criminali informatici informati e organizzati e quindi creati disponibili per l'ordine online. Questi kit normalmente includono tutto ciò che l'acquirente richiede per iniziare un attacco di phishing, come modelli di e-mail e pagine Web, malware e indirizzi e-mail di potenziali obiettivi. Possono anche contenere istruzioni di installazione passo passo per l'acquirente, rendendolo il più veloce possibile da osservare per iniziare i loro assalti.
Perché PhaaS è un problema?
PhaaS abbassa i confini finanziari e specializzati all'ingresso per il phishing.
L'attuale indagine stampata da Egress ha trovato illustrazioni di kit di phishing disponibili da un minimo di $ 40. Abbiamo anche scoperto soluzioni di abbonamento, come una persona che ha commercializzato un servizio di abbonamento di alta qualità che costa $ 499 in anticipo e una tariffa mensile di $ 199. Con la loro iscrizione, i potenziali acquirenti possono accedere a un sistema online con più di 20 kit di phishing precaricati destinati a istituti di credito e produttori di acquirenti, così come ottenere 15 nuovi kit di phishing supplementari ogni mese.
Proprio come l'uso di scopi SaaS salverà le organizzazioni autentiche dal produrre il proprio pacchetto software personale, PhaaS indica che un criminale informatico può avviare attacchi aggiuntivi entro un lasso di tempo presentato e senza possedere sempre personalmente tutte le abilità essenziali. Ad esempio, può rendere molto più semplice per una persona con poca o nessuna esperienza HTML mettere le mani su una posta elettronica di phishing molto ben realizzata e convincente e una pagina web. Anche se il loro lavoro potrebbe non aver ingannato la tua gente, probabilmente a causa di errori di formattazione, ortografia e grammatica molto scadenti e illustrazioni o foto di qualità ridotta, queste persone molto meno competenti sono ora in grado di cavalcare lavoro fatto di criminali extra raffinati e iniziare attacchi davvero convincenti.
Qual è la possibilità per la tua azienda?
Ogni essere umano che lavora in ogni azienda è qualificato da e-mail di phishing. In questi tempi, le e-mail di phishing sono purtroppo solo un prezzo in più per portare a termine un'impresa. E questi attacchi aggirano le comuni difese perimetrali dei gateway di posta elettronica sicuri (SEG) e atterrano nelle caselle di posta delle persone. Anche la sezione seguente è purtroppo inevitabile. L'esplorazione moderna di Egress ha scoperto che il 73% delle aziende è stato vittima di prosperi attacchi di phishing negli ultimi 12 mesi.
Semplicemente non possiamo incolpare le persone per essere diventate umane. La consapevolezza della sicurezza informatica è migliorata notevolmente negli ultimi tempi e le persone oggi stanno davvero scoprendo molto meglio nel riconoscere la posta elettronica di phishing. Ma non sono l'ideale e non possiamo dipendere dalle persone per rilevare ogni singola e-mail di phishing ogni volta - ed è ciò che richiede, principalmente perché solo una persona fa un passo falso da parte di una persona umana che fa clic su un URL distruttivo o apre un allegato distruttivo , e questo è tutto ciò che un hacker richiede per compromettere la tua attività.
L'effetto di PhaaS è una quantità amplificata di attacchi di phishing specifici rivolti a uomini e donne, che a loro volta aumentano il pericolo e la probabilità che un solo uomo o donna in particolare cada nel bersaglio. Significa che la tua organizzazione vuole proteggersi in opposizione a un volume migliore di attacchi sottili, che per molti dovranno avere una modifica nella tua soluzione alle tue difese anti-phishing e consapevolezza della protezione.
Come puoi proteggere i tuoi uomini, le tue donne e la tua azienda da PhaaS?
Le tecnologie sono il modo migliore per ridurre le possibilità di un attacco di phishing riuscito.
"Ma che dire delle istruzioni di riconoscimento della stabilità?" Ti ascolto piangere! Conserva le applicazioni delle persone in esecuzione, ma riconosci che hanno un limite. Ci impegniamo nell'insegnamento del riconoscimento della sicurezza presso Egress per gestire i nostri accreditamenti di conformità e per aiutare a insegnare ai nostri dipendenti oggi.
Ogni applicazione scolastica, anche così, ha i suoi limiti. Devi fare in modo che i tuoi individui si accendano e imparino attivamente nell'istante, e quindi siano in grado di ricordare ovviamente ciò che gli è stato insegnato giorni, mesi o mesi dopo quando si trovano in una situazione di phishing di vero stile di vita. E sappiamo che i criminali informatici progettano socialmente i loro attacchi per trasferire le persone da stili di riflessione ragionevoli, quando possono ricordare e portare a termine la loro istruzione, verso la costruzione di conclusioni psicologiche e irrazionali.
È allora che hanno bisogno di tecnologie per entrare e aiutarli a operare in sicurezza.
Abbiamo accennato brevemente ai SEG in precedenza. Queste sono le classiche difese di sicurezza implementate nel perimetro di un'organizzazione per scansionare la posta in entrata e mettere in quarantena le minacce. Quando sono eccellenti nel filtrare lo spam e nella scansione dei virus considerati, c'è un'alta percentuale di attacchi di phishing che aggirano il SEG e finiscono nelle caselle di posta delle persone. Innanzitutto, i SEG possono rilevare solo le minacce riconosciute e non gli attacchi emergenti. Usano un know-how statico che non sa cosa non sa e ti lascia esposto a nuovi attacchi e pratiche. E i criminali informatici intelligenti lo sanno, quindi stanno progettando i loro assalti per tenersi lontani dal rilevamento SEG. I SEG scansionano i ceppi dell'argomento da attacchi noti che i criminali informatici lasciano vuoti i ceppi dell'argomento. I SEG cercano URL distruttivi riconosciuti, i criminali informatici stanno armando i loro collegamenti in entrata, spedizione e consegna di articoli. La lista di controllo continua.
di conseguenza, le aziende dovranno cercare alternative di sicurezza e-mail cloud integrate intelligenti in grado di rilevare la giornata lavorativa zero e le crescenti aggressioni e possono essere implementate immediatamente nelle cassette postali delle persone per tenerle al sicuro.
Cosa dovresti davvero cercare in una soluzione anti-phishing intelligente?
Il primo componente è il modo in cui interagisce con le tue persone. Ci sono momenti insegnabili in tempo reale nella giornata di tutti, che includono quando un'e-mail di phishing arriva nella casella di posta di una persona.
Fornendo un rischio neutralizzato a un personale e fornendo un chiaro chiarimento del motivo per cui si tratta di un'e-mail di phishing, possono vedere le minacce da soli. Ciò attiverà il loro allenamento di consapevolezza della stabilità su base quotidiana, generandolo molto più efficace per la frase più lunga. Mettere in quarantena le e-mail al gateway e non mostrarle in nessun caso ai propri obiettivi suggerisce che quando qualcuno si trova di fronte a una minaccia informatica nella vita di tutti i giorni seria (ad esempio, un'e-mail di phishing inviata alla sua e-mail personale a cui sta accedendo su un utilizzano un computer portatile), non sapranno cosa cercare e potrebbero cadere vittime.
Il secondo è il metodo utilizzato per acquisire l'applicazione. Affinché un'opzione anti-phishing sia decisamente produttiva, desidera essere costruita utilizzando una soluzione che non si affida a zero, in modo che esamini ogni e-mail in entrata per confermare se rappresenta un rischio. La risposta deve utilizzare il rilevamento del dispositivo e le normali tecnologie di elaborazione del linguaggio per consentirgli di comprendere il contesto e il materiale dei contenuti quando si arriva alla decisione finale. La risposta, inoltre, non dovrebbe utilizzare l'innovazione tecnologica del social graph o aggiornare i suoi algoritmi basati principalmente sui commenti delle persone, indicando che i non cyber guru semplicemente non possono avvelenare le sue capacità di rilevamento.
Questa strategia consente all'opzione anti-phishing di rilevare gli attacchi più subdoli e in aumento, inclusi tutti quelli lanciati utilizzati in modo compromesso, fornendo account a catena che sono stati precedentemente considerati attendibili.
Uomini e donne sono solo esseri umani: faranno problemi e scivoleranno per attacchi di phishing, ma con le giuste difese di sicurezza e-mail, non solo puoi proteggere il tuo gruppo, ma trasformare completamente la tua gente oggi nella tua linea di protezione iniziale.
Tony Pepper, co-fondatore, Egress Computer software Technologies