Phishing-as-a-Company: komercjalizacja cyberprzestępczości i zagrożenie dla Twojej organizacji
Opublikowany: 2022-01-19
Ruch Software-as-a-Services (SaaS) całkowicie zmienił sposób, w jaki pracujemy i wchodzimy w interakcje w naszym indywidualnym życiu. Możemy wdrażać nowych sprzedawców i skalować rozwiązania firmowe za ułamek opłat i ram czasowych przed wprowadzeniem SaaS. Prawdopodobne było również, że dziesiątki milionów osób pracowało zdalnie podczas pandemii COVID-19 dzięki tej zmianie w zapewnianiu wsparcia. Poza pracą codziennie wchodzimy w interakcję z aplikacjami SaaS, przesyłając strumieniowo na Spotify i Netflix, witając przejazdy na Uber i Lyft oraz utrzymując kontakt ze znajomymi i domownikami za pośrednictwem Zoom.
To nie przeszkadza. SaaSification zmienia teraz sposób, w jaki zachowują się cyberprzestępcy, prowadząc do zmiany sposobu, w jaki dostarczają i rozpoczynają ataki.
Ponieważ absolutnie każdy, kto ma dostęp, wykonuje (zwykle prywatnie) pocztę e-mail za pośrednictwem laptopów i urządzeń mobilnych podłączonych do sieci Twojej organizacji, konieczne jest uświadomienie sobie, co oznacza dla Ciebie komercjalizacja cyberprzestępczości.
Co to jest phishing jako wsparcie (PhaaS)?
PhaaS umożliwia cyberprzestępcom interakcję w interakcjach z „dostawcą” i „kupującym”, umożliwiając uzyskanie każdego aspektu niezbędnego do ataku phishingowego.
Tak zwane „zestawy phishingowe” są kompilowane przez dobrze poinformowanych i zaaranżowanych cyberprzestępców, a następnie są dostępne do zamówienia online. Zestawy te zwykle zawierają wszystko, czego nabywca potrzebuje, aby rozpocząć atak phishingowy, na przykład szablony wiadomości e-mail i stron internetowych, złośliwe oprogramowanie i adresy e-mail potencjalnych celów. Mogą również zawierać wskazówki dotyczące instalacji krok po kroku dla kupującego, dzięki czemu można jak najszybciej zaobserwować, jak rozpocząć swoje ataki.
Dlaczego PhaaS stanowi problem?
PhaaS obniża finansowe i wyspecjalizowane granice dostępu do phishingu.
Aktualne śledztwo wydrukowane przez Egress znalazło ilustracje zestawów phishingowych już od 40 dolarów. Odkryliśmy również rozwiązania subskrypcyjne – tego rodzaju jako osoba, która sprzedawała najwyższej jakości usługę członkowską, która kosztuje 499 USD z góry i miesięczną opłatę w wysokości 199 USD. Dzięki członkostwu potencjalni nabywcy mogą wejść do systemu on-line z ponad 20 fabrycznie załadowanymi zestawami phishingowymi, które są skierowane do instytucji finansowych i producentów kupujących, tak skutecznie, jak uzyskanie dodatkowych 15 nowych zestawów phishingowych każdego miesiąca.
Podobnie jak wykorzystanie celów SaaS uchroni prawdziwe organizacje przed tworzeniem ich osobistych pakietów oprogramowania, PhaaS wskazuje, że cyberprzestępca może rozpocząć dodatkowe ataki w przedstawionym czasie i nie zawsze osobiście posiada wszystkie niezbędne umiejętności. Na przykład może to znacznie ułatwić osobie z niewielką lub żadną wiedzą na temat HTML zdobycie bardzo dobrze przygotowanej i przekonującej poczty elektronicznej i strony internetowej służącej do phishingu. Chociaż ich posiadanie może nie oszukać twoich ludzi – prawdopodobnie z powodu bardzo słabego formatowania, błędów ortograficznych i gramatycznych oraz ilustracji lub zdjęć o obniżonej jakości – te znacznie mniej kompetentne osoby są teraz w stanie odkupić robotę wykonaną przez bardziej wyrafinowanych przestępców i rozpocząć naprawdę przekonujące ataki.
Jaka jest szansa dla Twojej firmy?
Każdy człowiek pracujący w każdej firmie jest kwalifikowany przez wiadomości phishingowe. W dzisiejszych czasach phishingowe wiadomości e-mail to niestety tylko kolejna cena prowadzenia przedsięwzięcia. A ataki te omijają powszechne zabezpieczenia obwodowe bezpiecznych bram poczty elektronicznej (SEG) i trafiają do skrzynek odbiorczych użytkowników. Poniższa sekcja jest również niestety nieunikniona. Współczesna eksploracja Egress ujawniła, że 73% korporacji padło ofiarą dobrze prosperujących ataków phishingowych w ciągu ostatnich 12 miesięcy.
Po prostu nie możemy winić ludzi za to, że stają się ludźmi. Świadomość cyberbezpieczeństwa znacznie się poprawiła w ostatnim czasie od dłuższego czasu, a ludzie dzisiaj naprawdę znacznie lepiej rozpoznają wiadomości phishingowe. Ale nie są one idealne i nie możemy polegać na osobach, które wykryją każdą pojedynczą wiadomość phishingową za każdym razem – i tego wymaga, głównie dlatego, że po prostu osoba pomyliła się przez osobę ludzką, klikając niszczycielski adres URL lub otwierając destrukcyjny załącznik. , i to wszystko, czego wymaga haker, aby narazić Twoją firmę na szwank.
Efektem PhaaS jest zwiększona liczba określonych ataków phishingowych wymierzonych w twoich mężczyzn i kobiety, co zwiększa niebezpieczeństwo i prawdopodobieństwo, że tylko jeden konkretny mężczyzna lub kobieta padnie na cel. Oznacza to, że Twoja organizacja chce chronić się przed większą liczbą subtelnych ataków, które w wielu przypadkach będą wymagały modyfikacji w Twoim rozwiązaniu ochrony przed wyłudzaniem informacji i świadomości ochrony.
Jak możesz chronić swoich mężczyzn i kobiety oraz swoją firmę przed PhaaS?
Technologie to najlepszy sposób na zmniejszenie szansy na udany atak phishingowy.
„Ale co z instrukcją rozpoznawania stabilności?” Słucham twojego płaczu! Zachowaj uruchomione aplikacje innych osób — ale potwierdź, że mają limit. Zobowiązujemy się w nauczaniu uznawania bezpieczeństwa w Egress do zarządzania naszymi akredytacjami zgodności i pomagania w nauczaniu naszych pracowników.
Mimo to każda aplikacja edukacyjna ma swoje granice. Musisz sprawić, by twoje osoby były włączone i aktywnie uczyły się w jednej chwili, a następnie w sposób oczywisty przypominać sobie, czego nauczono ich dni, miesiące lub miesiące, gdy znajdą się w sytuacji phishingu w prawdziwym stylu życia. Wiemy, że cyberprzestępcy konstruują swoje ataki społecznie, aby przenieść ludzi z rozsądnych stylów rozważania, kiedy mogą zapamiętać i przeprowadzić edukację, do psychologicznego i irracjonalnego budowania wniosków.
Właśnie wtedy potrzebują technologii, które pomogą im w bezpiecznym działaniu.
Wcześniej poruszyliśmy krótko o SEG-ach. Są to klasyczne zabezpieczenia wdrożone na obrzeżach organizacji w celu skanowania przychodzącej poczty e-mail i kwarantanny. Kiedy doskonale radzą sobie z filtrowaniem spamu i skanowaniem w poszukiwaniu podejrzanych wirusów, istnieje duży odsetek ataków phishingowych, które omijają SEG i trafiają do skrzynek odbiorczych użytkowników. Po pierwsze, grupy SEG mogą wykrywać tylko uznane zagrożenia, a nie pojawiające się ataki. Używają statycznego know-how, które nie wie, czego nie wie, i naraża Cię na nowe ataki i praktyki. Sprytni cyberprzestępcy o tym wiedzą – dlatego opracowują swoje ataki, aby uniknąć wykrycia SEG. Grupy SEG skanują w poszukiwaniu szczepów tematycznych znanych ataków. Cyberprzestępcy pozostawiają szczepy tematyczne puste. SEG skanują w poszukiwaniu rozpoznanych destrukcyjnych adresów URL. Lista kontrolna trwa.
w konsekwencji firmy będą musiały wyglądać na sprytne, wbudowane alternatywy bezpieczeństwa poczty e-mail w chmurze, które mogą wykrywać brak dni roboczych i rosnące ataki, i mogą być natychmiast wdrażane w skrzynkach pocztowych ludzi, aby zapewnić im bezpieczeństwo.
Czego naprawdę powinieneś szukać w inteligentnym rozwiązaniu antyphishingowym?
Pierwszym elementem jest to, jak angażuje się w twoje osoby. Każdy dzień ma czas, w którym można uczyć się w czasie rzeczywistym — na przykład, gdy phishingowa wiadomość e-mail ląduje w skrzynce odbiorczej danej osoby.
Zapewniając zneutralizowane ryzyko osobie i przedstawiając jasne wyjaśnienie, dlaczego jest to wiadomość phishingowa, mogą oni sami zobaczyć zagrożenia. To aktywuje ich trening świadomości stabilności na co dzień, generując o wiele większy sukces dla dłuższej frazy. Poddawanie wiadomości e-mail kwarantannie przy bramce i pod żadnym pozorem nie pokazywanie ich adresatom sugeruje, że gdy ktoś ma do czynienia z cyberzagrożeniem w poważnym codziennym życiu (na przykład phishingowa poczta elektroniczna wysłana na jego osobisty adres e-mail, do którego uzyskuje dostęp na obsługi komputera przenośnego), nie będą wiedzieć, na co zwracać uwagę i mogą upaść ofiara.
Drugi to metoda przyjęta w celu pozyskania aplikacji. Aby opcja antyphishingowa była zdecydowanie produktywna, powinna być skonstruowana przy użyciu rozwiązania „zero polegania na”, tak aby sprawdzała każdy przychodzący e-mail w celu potwierdzenia, czy stanowi zagrożenie. Odpowiedź musi opierać się na wyszukiwaniu urządzeń i normalnych technologiach przetwarzania języka, aby umożliwić zrozumienie kontekstu i treści podczas podejmowania ostatecznej decyzji. Odpowiedź nie powinna również wykorzystywać innowacji technologicznych do wykresów społecznościowych ani aktualizować ich algorytmów opartych głównie na komentarzach ludzi, wskazujących, że guru, którzy nie są cybernetycznymi, po prostu nie mogą zatruć jego zdolności wykrywania.
Ta strategia pozwala opcji antyphishingowej na wykrywanie najbardziej subtelnych i nasilających się ataków, w tym wszystkich, które są uruchamiane przy użyciu zhakowanych kont łańcucha dostaw, którym wcześniej ufano.
Mężczyźni i kobiety są tylko ludźmi: będą sprawiać problemy i ślizgać się w poszukiwaniu ataków typu phishing – ale dzięki odpowiednim zabezpieczeniom poczty e-mail możesz nie tylko chronić swoją grupę, ale także całkowicie przekształcić swoich ludzi dzisiaj w swoją pierwotną linię ochrony.
Tony Pepper, współzałożyciel, Egress Computer Software Technologies