Menu
Pandhuan Paling Apik Kanggo Ngerteni Phishing Ing 2023
Dadi, ana apa phishing?
Phishing minangka wangun rekayasa sosial sing ngapusi wong supaya mbukak sandhi utawa barang berharga Alexa. Serangan phishing bisa awujud email, pesen teks, lan telpon.
Biasane, serangan kasebut minangka layanan lan perusahaan populer sing gampang dingerteni wong.
Nalika pangguna ngeklik link phishing ing awak email, bakal dikirim menyang versi mirip situs sing dipercaya. Dheweke dijaluk kredensial login ing titik iki ing scam phishing. Sawise ngetik informasi ing situs web palsu, panyerang duwe apa sing dibutuhake kanggo ngakses akun asline.
Serangan phishing bisa nyebabake informasi pribadhi, informasi finansial, utawa informasi kesehatan sing dicolong. Sawise panyerang entuk akses menyang siji akun, dheweke bisa ngedol akses menyang akun kasebut utawa nggunakake informasi kasebut kanggo hack akun korban liyane.
Sawise akun kasebut didol, wong sing ngerti carane entuk bathi saka akun kasebut bakal tuku kredensial akun saka web peteng, lan nggunakake data sing dicolong.
Iki minangka visualisasi kanggo mbantu sampeyan ngerti langkah-langkah ing serangan phishing:
Serangan phishing teka ing macem-macem formulir. Phishing bisa digunakake saka telpon, pesen teks, email, utawa pesen media sosial.
Email phishing umum minangka jinis serangan phishing sing paling umum. Serangan kaya iki umum amarga njupuk gaweyan paling sithik.
Peretas njupuk dhaptar alamat email sing digandhengake karo Paypal utawa akun media sosial lan ngirim a jeblugan email akeh kanggo korban potensial.
Nalika korban ngeklik link ing email kasebut, dheweke asring nggawa menyang versi palsu saka situs web populer lan njaluk dheweke mlebu karo info akun. Sanalika ngirim info akun, peretas duwe apa sing dibutuhake kanggo ngakses akun kasebut.
Ing pangertèn, jinis phishing iki kaya mbuwang jala menyang sekolah iwak; déné wangun liya saka phishing luwih diangkah efforts .
Spear phishing iku nalika panyerang target individu tartamtu tinimbang ngirim email umum menyang klompok wong.
Serangan phishing tumbak nyoba ngarahake target lan nyamar dadi wong sing bisa dingerteni korban.
Serangan iki luwih gampang kanggo scammer yen sampeyan duwe informasi sing bisa dingerteni ing internet. Penyerang bisa nliti sampeyan lan jaringan kanggo nggawe pesen sing cocog lan ngyakinake.
Amarga jumlah personalisasi sing dhuwur, serangan phishing tumbak luwih angel diidentifikasi dibandhingake karo serangan phishing biasa.
Padha uga kurang umum, amarga padha njupuk liyane wektu kanggo kriminal kanggo narik wong mati kasil.
Pitakonan: Apa tingkat sukses email spearphishing?
Wangsulan: Email Spearphishing duwe tingkat mbukak email rata-rata 70% lan 50% saka panampa klik link ing email.
Dibandhingake karo serangan phishing tombak, serangan paus luwih ditargetake.
Serangan perburuan paus ditindakake dening individu ing organisasi kayata pejabat eksekutif utawa kepala pejabat keuangan perusahaan.
Salah sawijining tujuan sing paling umum saka serangan perburuan paus yaiku ngapusi korban supaya bisa ngirim dhuwit akeh menyang penyerang.
Kaya phishing biasa amarga serangan kasebut ana ing bentuk email, perburuan paus bisa nggunakake logo perusahaan lan alamat sing padha kanggo nyamarake awake dhewe.
Ing sawetara kasus, panyerang bakal niru CEO lan nggunakake persona kasebut kanggo gawe uwong yakin pegawe liyane kanggo mbukak data financial utawa transfer dhuwit menyang akun panyerang.
Amarga karyawan cenderung nolak panjaluk saka wong sing luwih dhuwur, serangan kasebut luwih licik.
Penyerang bakal kerep nglampahi wektu luwih akeh kanggo nggawe serangan paus amarga padha mbayar luwih apik.
Jeneng "perburuan paus" nuduhake kasunyatan manawa target duwe kekuwatan finansial (CEO).
Angler phishing punika relatif jinis anyar saka serangan phishing lan ana ing media sosial.
Dheweke ora ngetutake format email tradisional serangan phishing.
Nanging, dheweke nyamar dadi perwakilan layanan pelanggan perusahaan lan ngapusi wong supaya ngirim informasi liwat pesen langsung.
Penipuan umum yaiku ngirim wong menyang situs web dhukungan pelanggan palsu sing bakal ndownload malware utawa kanthi tembung liya ransomware menyang piranti korban.
Serangan vishing yaiku nalika scammer nelpon sampeyan kanggo nyoba ngumpulake informasi pribadhi saka sampeyan.
Scammers biasane nyamar dadi bisnis utawa organisasi sing biso dipercoyo kayata Microsoft, IRS, utawa malah bank sampeyan.
Dheweke nggunakake taktik wedi supaya sampeyan mbukak data akun penting.
Iki ngidini dheweke ngakses langsung utawa ora langsung menyang akun penting sampeyan.
Serangan Vishing angel.
Penyerang bisa kanthi gampang niru wong sing dipercaya.
Tonton Pendiri Hailbytes David McHale ngomong babagan carane robocalls bakal ilang karo teknologi mangsa ngarep.
Umume serangan phishing dumadi liwat email, nanging ana cara kanggo ngenali legitimasi.
Nalika sampeyan mbukak email priksa manawa saka domain email umum utawa ora (yaiku. @gmail.com).
Yen saka domain email umum, kemungkinan serangan phishing amarga organisasi ora nggunakake domain umum.
Nanging, domain kasebut bakal unik kanggo bisnise (yaiku. domain email Google yaiku @google.com).
Nanging, ana serangan phishing sing luwih rumit sing nggunakake domain unik.
Iku migunani kanggo nindakake panelusuran cepet perusahaan lan mriksa legitimasi sawijining.
Serangan phishing tansah nyoba kekancan karo sampeyan kanthi salam utawa empati sing apik.
Contone, ing spam aku durung suwe aku nemokake email phishing kanthi salam saka "Kanca sing daktresnani".
Aku wis ngerti iki email phishing kaya ing baris subyek ngandika, "KABAR BAIK TENTANG DANA 21/06/2020".
Ndeleng jinis-jinis salam kasebut kudu dadi bendera abang sing cepet yen sampeyan durung tau sesambungan karo kontak kasebut.
Isi email phishing penting banget, lan sampeyan bakal weruh sawetara fitur khas sing paling akeh.
Yen isi muni absurd, banjur paling kamungkinan iku scam.
Contone, yen baris subyek ngandika, "Sampeyan menang Lotre $ 1000000" lan sampeyan ora duwe elinga melu banjur sing gendéra abang.
Nalika isi nggawe rasa urgensi kaya "iku gumantung saka sampeyan" lan ndadékaké ngeklik link sing curiga, mula kemungkinan kasebut minangka penipuan.
Email phishing mesthi duwe link utawa file sing curiga.
Cara sing apik kanggo mriksa manawa link duwe virus yaiku nggunakake VirusTotal, situs web sing mriksa file utawa link kanggo malware.
Tuladha Email Phishing:
Ing conto kasebut, Google nuduhake manawa email kasebut bisa mbebayani.
Iki ngerteni manawa isine cocog karo email phishing liyane sing padha.
Yen email cocog karo kritéria ing ndhuwur, mula disaranake lapor menyang reportphishing@apwg.org utawa phishing-report@us-cert.gov supaya diblokir.
Yen sampeyan nggunakake Gmail ana opsi kanggo nglaporake email kanggo phishing.
Sanajan serangan phishing ditujokake kanggo pangguna acak, nanging asring target karyawan perusahaan.
Nanging panyerang ora mesthi ngupayakake dhuwit perusahaan nanging data.
Ing babagan bisnis, data luwih larang tinimbang dhuwit lan bisa nyebabake perusahaan.
Penyerang bisa nggunakake data sing bocor kanggo pengaruhe masarakat kanthi mengaruhi kepercayaan konsumen lan ngrusak jeneng perusahaan.
Nanging ora mung iki akibat sing bisa kedadeyan.
Konsekuensi liyane kalebu pengaruh negatif marang kapercayan investor, ngganggu bisnis, lan nyebabake denda peraturan miturut Peraturan Perlindungan Data Umum (GDPR).
Latihan karyawan sampeyan kanggo ngatasi masalah iki dianjurake kanggo nyuda serangan phishing sing sukses.
Cara kanggo nglatih karyawan umume yaiku nuduhake conto email phishing lan cara kanggo ngerteni.
Cara liya sing apik kanggo nuduhake phishing karyawan yaiku liwat simulasi.
Simulasi phishing sejatine minangka serangan palsu sing dirancang kanggo mbantu karyawan ngerteni phishing kanthi langsung tanpa efek negatif.
Saiki kita bakal nuduhake langkah-langkah sing kudu ditindakake kanggo mbukak kampanye phishing sing sukses.
Phishing tetep dadi ancaman keamanan paling dhuwur miturut laporan keamanan siber WIPRO 2020.
Salah sawijining cara paling apik kanggo ngumpulake data lan ngajari karyawan yaiku mbukak kampanye phishing internal.
Sampeyan bisa uga cukup gampang kanggo nggawe email phishing kanthi platform phishing, nanging ana luwih akeh tinimbang ngeklik send.
Kita bakal ngrembug babagan cara nangani tes phishing kanthi komunikasi internal.
Banjur, kita bakal ngrembug babagan cara nganalisa lan nggunakake data sing diklumpukake.
Kampanye phishing dudu babagan ngukum wong yen padha ngapusi. Simulasi phishing yaiku babagan mulang karyawan babagan cara nanggapi email phishing. Sampeyan pengin nggawe manawa sampeyan transparan babagan latihan phishing ing perusahaan sampeyan. Prioritas menehi informasi marang pimpinan perusahaan babagan kampanye phishing lan jelasake tujuan kampanye kasebut.
Sawise sampeyan ngirim tes email phishing baseline pisanan, sampeyan bisa nggawe woro-woro ing saindhenging perusahaan kanggo kabeh karyawan.
Aspek penting saka komunikasi internal yaiku supaya pesen tetep konsisten. Yen sampeyan nindakake tes phishing dhewe, luwih becik nggawe merek digawe kanggo materi latihan sampeyan.
Nggawe jeneng kanggo program sampeyan bakal mbantu karyawan ngerteni konten pendidikan sampeyan ing kothak mlebu.
Yen sampeyan nggunakake layanan tes phishing sing dikelola, mesthine bakal ditutupi. Konten pendhidhikan kudu diprodhuksi luwih dhisik supaya sampeyan bisa langsung tindakake sawise kampanye.
Menehi instruksi lan informasi karyawan babagan protokol email phishing internal sawise tes baseline.
Sampeyan pengin menehi rekan kerja kesempatan kanggo nanggapi kanthi bener babagan latihan kasebut.
Deleng jumlah wong sing ndeleng lan nglaporake email kanthi bener minangka informasi penting kanggo entuk saka tes phishing.
Apa sing kudu dadi prioritas utama kanggo kampanye sampeyan?
Engagement
Sampeyan bisa nyoba kanggo basis asil ing nomer sukses lan gagal, nanging nomer sing ora kudu bantuan kanggo tujuan sampeyan.
Yen sampeyan nindakake simulasi tes phishing lan ora ana sing ngeklik link kasebut, apa tegese tes sampeyan sukses?
Jawaban singkat "ora".
Nduwe tingkat sukses 100% ora nerjemahake minangka sukses.
Iki bisa ateges tes phishing sampeyan gampang banget ditemokake.
Ing sisih liya, yen sampeyan entuk tingkat kegagalan sing luar biasa karo tes phishing, bisa uga beda-beda.
Iki bisa uga ateges karyawan sampeyan durung bisa ngerteni serangan phishing.
Yen sampeyan entuk tingkat klik sing dhuwur kanggo kampanye sampeyan, ana kemungkinan gedhe sampeyan kudu nyuda kesulitan email phishing.
Njupuk luwih akeh wektu kanggo nglatih wong ing tingkat sing saiki.
Sampeyan pungkasane pengin nyuda tingkat klik link phishing.
Sampeyan bisa uga mikir babagan tingkat klik sing apik utawa ala kanthi simulasi phishing.
Miturut sans.org, sampeyan simulasi phishing pisanan bisa ngasilake tingkat klik rata-rata 25-30%.
Iku misale jek kaya nomer dhuwur banget.
Untunge, dheweke nglaporake sawise 9-18 wulan latihan phishing, tingkat klik kanggo tes phishing yaiku ngisor 5%.
Angka kasebut bisa mbantu minangka perkiraan kasar babagan asil sing dikarepake saka latihan phishing.
Kanggo miwiti simulasi email phishing sing kapisan, priksa alamat IP alat tes kasebut ing daftar putih.
Iki nggawe manawa karyawan bakal nampa email kasebut.
Nalika nggawe email phishing simulasi pisanan, aja gampang banget utawa angel banget.
Sampeyan uga kudu ngelingi pamirsa.
Yen rekan kerja sampeyan ora akeh pangguna media sosial, mesthine ora becik nggunakake email phishing reset sandi LinkedIn palsu. Email panguji kudu nduweni daya tarik sing cukup amba supaya saben wong ing perusahaan sampeyan duwe alasan kanggo ngeklik.
Sawetara conto email phishing kanthi daya tarik sing amba bisa uga:
Cukup elinga psikologi babagan carane pesen bakal dijupuk dening pamirsa sadurunge mencet send.
Terusake ngirim email latihan phishing menyang karyawan sampeyan. Priksa manawa sampeyan alon-alon nambah kangelan saka wektu kanggo nambah tingkat skill wong.
Disaranake ngirim email saben wulan. Yen sampeyan "phish" organisasi sampeyan kerep banget, mesthine bakal cepet banget.
Nyekel karyawan sampeyan, rada ora njaga minangka cara paling apik kanggo entuk asil sing luwih nyata.
Yen sampeyan ngirim email "phishing" sing padha saben wektu, sampeyan ora bakal ngajari karyawan sampeyan carane nanggepi macem-macem penipuan.
Sampeyan bisa nyoba sawetara sudut sing beda kalebu:
Nalika sampeyan ngirim kampanye anyar, priksa manawa sampeyan wis nyetel relevansi pesen menyang pamirsa.
Yen sampeyan ngirim email phishing sing ora ana hubungane karo perkara sing menarik, sampeyan bisa uga ora entuk akeh tanggapan saka kampanye sampeyan.
Sawise ngirim kampanye sing beda-beda menyang karyawan sampeyan, refresh sawetara kampanye lawas sing ngapusi wong sepisanan lan nggawe spin anyar ing kampanye kasebut.
Sampeyan bakal bisa nyritakake efektifitas latihan sampeyan yen sampeyan ndeleng manawa wong sinau lan nambah.
Saka ing kono sampeyan bakal bisa ngerti yen dheweke butuh pendhidhikan luwih akeh babagan carane nemokake jinis email phishing tartamtu.
Ana 3 faktor kanggo nemtokake manawa sampeyan arep nggawe program latihan phishing dhewe utawa outsource program kasebut.
Yen sampeyan insinyur keamanan utawa duwe siji ing perusahaan sampeyan, sampeyan bisa kanthi gampang nggawe server phishing nggunakake platform phishing sing wis ana kanggo nggawe kampanye sampeyan.
Yen sampeyan ora duwe insinyur keamanan, nggawe program phishing sampeyan bisa uga ora ana masalah.
Sampeyan bisa uga duwe insinyur keamanan ing organisasi sampeyan, nanging bisa uga ora duwe pengalaman karo teknik sosial utawa tes phishing.
Yen sampeyan duwe wong sing duwe pengalaman, mula bisa dipercaya kanggo nggawe program phishing dhewe.
Iki minangka faktor gedhe banget kanggo perusahaan cilik nganti pertengahan.
Yen tim sampeyan cilik, bisa uga ora trep kanggo nambah tugas liyane menyang tim keamanan sampeyan.
Luwih trep yen tim liyane sing berpengalaman nindakake pakaryan kanggo sampeyan.
Sampeyan wis maca kabeh pandhuan iki kanggo mangerteni carane sampeyan bisa nglatih karyawan lan sampeyan siyap miwiti nglindhungi organisasi liwat latihan phishing.
Apa saiki?
Yen sampeyan insinyur keamanan lan pengin miwiti kampanye phishing pisanan sampeyan saiki, bukak kene kanggo sinau luwih lengkap babagan alat simulasi phishing sing bisa digunakake kanggo miwiti dina iki.
Utawa…
Yen sampeyan kepengin sinau babagan layanan sing dikelola kanggo mbukak kampanye phishing kanggo sampeyan, Sinau luwih lengkap babagan carane sampeyan bisa miwiti nyoba latihan phishing gratis.
Gunakake dhaptar mriksa kanggo ngenali email sing ora biasa lan yen phishing banjur laporake.
Sanajan ana saringan phishing sing bisa nglindhungi sampeyan, ora 100%.
Email phishing terus berkembang lan ora bakal padha.
Kanggo nglindhungi perusahaan sampeyan saka serangan phishing sampeyan bisa melu simulasi phishing kanggo nyuda kemungkinan serangan phishing sing sukses.
Muga-muga sampeyan sinau cukup saka pandhuan iki kanggo ngerteni apa sing kudu ditindakake sabanjure kanggo nyuda kemungkinan serangan phishing ing bisnis sampeyan.
Mangga ninggalake komentar yen sampeyan duwe pitakon kanggo kita utawa yen sampeyan pengin nuduhake kawruh utawa pengalaman babagan kampanye phishing.
Aja lali nuduhake pandhuan iki lan nyebarake tembung!
Hailbytes
9511 Ratu Pengawal Ct.
Laurel, MD 20723
Phone: (732) 771-9995
Email: info@hailbytes.com
