Phishing-as-a-Company: A comercialização do cibercrime e o perigo para a sua organização
Publicados: 2022-01-19
O movimento Software-as-a-Service (SaaS) transformou completamente a forma como trabalhamos e como interagimos em nossa vida individual. Podemos integrar novos vendedores e dimensionar as soluções da empresa por uma fração das taxas e prazos pré-SaaS. Também é provável que dezenas de milhões de pessoas trabalhem remotamente durante a pandemia do COVID-19, graças a essa mudança no provisionamento de suporte. E fora do trabalho, interagimos com aplicativos SaaS dia a dia, transmitindo no Spotify e Netflix, e pegando caronas no Uber e Lyft, e mantendo contato com amigos e familiares via Zoom.
Não impede aí. A SaaSification agora está transformando a maneira como os cibercriminosos se comportam, levando a uma mudança na forma como eles provisionam e iniciam seus ataques.
Com absolutamente todos acessando e-mails de trabalho (e, normalmente, privados) por meio de laptops e unidades móveis conectadas à rede de sua organização, é preciso perceber o que a comercialização do cibercrime indica para você.
O que é Phishing-as-a-Support (PhaaS)?
O PhaaS permite que os cibercriminosos interajam nas interações de 'fornecedor' e 'comprador', tornando possível adquirir todos os aspectos essenciais para um ataque de phishing.
Os chamados 'kits de phishing' são compilados por cibercriminosos experientes e organizados e, em seguida, são disponibilizados para pedidos on-line. Esses kits geralmente incluem tudo o que o comprador precisa para iniciar um ataque de phishing, como modelos de e-mail e página da Web, malware e endereços de e-mail de possíveis alvos. Eles também podem conter instruções de instalação passo a passo para o comprador, tornando-o o mais rápido possível para observar para iniciar seus ataques.
Por que o PhaaS é um problema?
PhaaS reduz os limites financeiros e especializados para entrada de phishing.
A pesquisa atual impressa pela Egress encontrou ilustrações de kits de phishing disponíveis por apenas US $ 40. Também descobrimos soluções de assinatura - como uma pessoa que comercializou um serviço de assinatura de alta qualidade custando $ 499 adiantado e uma taxa mensal de $ 199. Com sua associação, os potenciais compradores podem entrar em um sistema on-line com mais de 20 kits de phishing pré-carregados que visam instituições financeiras e fabricantes de clientes, bem como obter um adicional de 15 novos kits de phishing a cada mês.
Assim como o uso de propósitos de SaaS evitará que organizações genuínas produzam seu pacote de software pessoal, PhaaS indica que um cibercriminoso pode iniciar ataques extras dentro de um período de tempo apresentado e nem sempre possuir todas as habilidades necessárias. Por exemplo, pode tornar significativamente mais simples para uma pessoa com pouca ou nenhuma experiência em HTML colocar as mãos em um e-mail e uma página da Web de phishing muito bem elaborados e convincentes. Embora o trabalho deles possa não ter enganado seu pessoal - possivelmente devido a erros de formatação, ortografia e gramática muito ruins e ilustrações ou fotos de baixa qualidade - essas pessoas menos competentes agora são capazes de pegar carona para obter o trabalho feito de criminosos extra refinados e começar ataques realmente convincentes.
Qual é a chance para sua empresa?
Todo ser humano que trabalha em todas as empresas é qualificado por e-mails de phishing. Atualmente, os e-mails de phishing são, infelizmente, apenas mais um preço para fazer negócios. E esses ataques estão contornando as defesas comuns de perímetro de gateways de correio eletrônico seguros (SEGs) e chegando às caixas de entrada das pessoas. A seção a seguir também é, infelizmente, inevitável. A exploração moderna da Egress descobriu que 73% das empresas foram vítimas de ataques de phishing prósperos nos últimos 12 meses.
Nós simplesmente não podemos culpar as pessoas por se tornarem humanas. A consciência de segurança cibernética melhorou drasticamente nos últimos anos e as pessoas estão realmente descobrindo muito melhor no reconhecimento de e-mail de phishing. Mas eles não são ideais e não podemos depender de indivíduos para detectar cada e-mail de phishing individual todas as vezes - e é isso que exige, principalmente porque apenas uma pessoa cometeu um erro de um ser humano clicando em um URL destrutivo ou abrindo um anexo destrutivo , e isso é tudo que um hacker exige para comprometer seus negócios.
O efeito do PhaaS é uma quantidade ampliada de ataques de phishing específicos direcionados a seus homens e mulheres, por sua vez, aumentando o risco e a probabilidade de que apenas um homem ou mulher em particular caia no alvo. Isso significa que sua empresa quer se proteger contra uma quantidade maior de ataques sutis, que, na maioria das vezes, precisam ter uma modificação em sua solução para suas defesas anti-phishing e proteção contra o vírus.
Como você pode proteger seus homens e mulheres e sua empresa do PhaaS?
Technologies é a melhor maneira de reduzir sua chance de um ataque de phishing bem-sucedido.
“Mas e a instrução de reconhecimento de estabilidade?” Eu escuto você chorar! Preserve aplicativos de pessoas em execução – mas reconheça que eles têm um teto. Comprometemo-nos no ensino de reconhecimento de segurança na Egress para gerenciar nossos credenciamentos de conformidade e para ajudar a ensinar nosso pessoal hoje.
Toda e qualquer aplicação escolar, mesmo assim, tem seus limites. Você precisa ter seus indivíduos ligados e aprendendo ativamente no instante e, em seguida, capazes de lembrar obviamente o que aprenderam dias, meses ou meses depois, quando estiverem em uma situação de phishing de estilo de vida real. E sabemos que os cibercriminosos arquitetam socialmente seus ataques para transferir as pessoas de estilos de ponderação razoáveis, quando conseguem se lembrar e realizar seus estudos, para a construção de conclusões psicológicas e irracionais.
É quando eles precisam de tecnologias para se mover e ajudá-los a operar com segurança.
Já tocamos brevemente nos SEGs anteriormente. Essas são as defesas de segurança clássicas implantadas no perímetro de uma organização para verificar emails de entrada e ameaças de quarentena. Quando eles são excelentes na filtragem de spam e na varredura de vírus conhecidos, há uma alta proporção de ataques de phishing que ignoram o SEG e chegam às caixas de entrada das pessoas. Em primeiro lugar, os SEGs só podem descobrir ameaças reconhecidas e não ataques emergentes. Eles usam know-how estático que não sabe o que não sabe e deixa você exposto a novos ataques e práticas. E os cibercriminosos inteligentes sabem disso – por isso estão planejando seus ataques para evitar a detecção do SEG. Os SEGs verificam as cepas do assunto de ataques conhecidos que os cibercriminosos estão deixando as cepas do assunto em branco. Os SEGs verificam URLs destrutivas reconhecidas que os cibercriminosos estão armando seus links de entrada para envio e entrega de artigos. A lista de verificação continua.
consequentemente, as empresas precisarão procurar alternativas inteligentes de segurança de e-mail em nuvem integradas que possam detectar o dia de trabalho zero e ataques crescentes e possam ser implantadas imediatamente nas caixas de correio das pessoas para mantê-las seguras.
O que você realmente deve procurar em uma solução anti-phishing inteligente?
O primeiro componente é como ele se envolve com suas pessoas. Há momentos de ensino em tempo real no dia de todos – que incluem quando um e-mail de phishing chega à caixa de entrada de uma pessoa.
Ao fornecer um risco neutralizado a um pessoal e apresentar um esclarecimento claro de por que é um e-mail de phishing, eles podem ver as ameaças por si mesmos. Isso ativará seu treinamento de consciência de estabilidade em uma base diária, tornando-o muito mais eficaz para a frase mais longa. Colocar e-mails em quarentena no gateway e, sob nenhuma circunstância, mostrá-los aos seus alvos sugere que quando alguém é confrontado com uma ameaça cibernética na vida cotidiana (por exemplo, um e-mail de phishing enviado para seu e-mail pessoal que está acessando em um operar o laptop), eles não saberão o que procurar e podem cair vítima.
O segundo é o método utilizado para adquirir o aplicativo. Para que uma opção anti-phishing seja definitivamente produtiva, ela precisa ser construída usando uma solução de confiança zero, de modo que examine todos os e-mails recebidos para confirmar se é um risco. A resposta deve usar dispositivos de descoberta e tecnologias normais de processamento de linguagem para permitir que ele tenha uma compreensão do contexto e do material de conteúdo ao chegar à decisão final. A resposta também não deve usar a inovação tecnológica do gráfico social ou atualizar seus algoritmos com base principalmente nos comentários das pessoas, indicando que gurus não cibernéticos simplesmente não podem envenenar suas habilidades de detecção.
Essa estratégia permite que a opção anti-phishing detecte os ataques mais sutis e crescentes, incluindo todos os que são lançados usados comprometidos fornecem contas em cadeia que foram confiáveis anteriormente.
Homens e mulheres são apenas humanos: eles farão problemas e deslizarão para ataques de phishing – mas com as defesas de segurança de e-mail certas, você pode não apenas proteger seu grupo, mas transformar completamente seu pessoal hoje em sua linha de proteção inicial.
Tony Pepper, cofundador, Egress Computer software Technologies