Hacks Internet: Phishing dan spearphishing dijelaskan

phishing

Phishing, menangkap ikan, adalah teknik kejuruteraan sosial yang direka untuk mencuri kata laluan, butiran kad kredit, dan maklumat sensitif yang lain. Matlamat utama adalah menggunakan kelayakan ini untuk mendapatkan akses kepada lebih banyak maklumat, seperti media sosial dan akaun bank.

Serangan phishing boleh dilakukan melalui e-mel, telefon, atau mesej teks dan biasanya mengandungi pautan ke tapak yang dikawal oleh penyerang yang akan meminta anda memasukkan butiran masuk anda. E-mel mungkin direka untuk kelihatan seperti e-mel Dropbox biasa atau Facebook, contohnya, dan pautan ke tapak palsu yang kelihatan sama seperti Dropbox atau Facebook. Anda boleh mendapatkan banyak contoh di sini.

Facebook Phishing dan Serangan Lain

E-mel Phishing sering mengandungi kandungan berbunyi yang tidak bersalah, seperti “seseorang yang menyebut anda di Facebook” atau “Saya berkongsi dokumen dengan anda di Dropbox.” Penyerang menjangka anda mengklik pautan ini tanpa mengesahkan kesahihannya dan kemudian masukkan kelayakan anda. Selalunya laman web pancingan data akan mengalihkan anda semula ke laman log masuk tapak sebenar, di mana anda akan diminta untuk memasuki kelayakan lagi, kali ini secara sah. Seperti yang anda kini masuk ke dalam laman web sebenar, harapan adalah bahawa semua syak wasangka akan hilang.

Sementara itu, penyerang telah mengumpulkan dan menyimpan nama pengguna dan kata laluan anda dan boleh menggunakannya mengikut kehendak. Jika mereka telah mendapat akses ke akaun e-mel anda, mereka boleh menetapkan semula kata laluan setiap akaun yang dipautkan ke alamat e-mel anda, kemudian mengendalikannya juga.

Lebih buruk lagi, maklumat yang terdapat di dalam peti masuk e-mel anda mungkin membenarkan penyerang merancang masa yang sesuai untuk datang selepas akaun kewangan anda, seperti semasa sakit atau penerbangan panjang.

Alamat Spoofing dan Phishing Emails

Attackers terutamanya menggunakan dua helah teknologi untuk berjaya menipu orang – e-mel spoofing atau panggilan telefon; segala-galanya berputar di sekitar penggunaan masa yang baik, bahasa yang boleh dipercayai, dan reka bentuk yang sangat baik.

Alamat e-mel dan nombor telefon sangat mudah ditipu, jadi anda tidak boleh bergantung pada alamat e-mel yang mendakwa datang dari [email protected] untuk benar-benar telah dihantar oleh Facebook. Banyak perkhidmatan e-mel akan memeriksa tandatangan kriptografi yang membuktikan e-mel telah dihantar dari domain tertentu, tetapi tandatangan ini masih tidak standard di seluruh web, jadi ketiadaan mereka bukan bukti mesej palsu.

Begitu juga, panggilan daripada nombor yang diketahui, contohnya dari bank anda, mungkin tiba di telefon anda. Tetapi tidak ada bukti bahawa panggilan ini benar-benar berasal dari nombor ini. Apabila ragu tentang nombor palsu atau alamat e-mel, tulis atau panggil balik dan tunggu jawapan.

URL palsu dan Laman Web Phishing

Sebagai tambahan kepada spoofing alamat e-mel, penyerang akan mendaftarkan URL yang meniru laman web yang sah. Mereka sering melakukan ini dengan sedikit menggantikan urutan huruf, seperti goolge.com. Taktik lain adalah mendaftarkan domain yang tidak bersalah dan menggunakan domain yang sah-sah seperti subdomain, seperti facebook.com.importantsecurityreview.co.

Oleh kerana penyerang benar-benar adalah pemilik subdomain ini, mereka boleh mendapatkan sijil keselamatan HTTPS untuk itu, menjadikan tapak kelihatan sah.

contoh-contoh phishingPenyerang akan memancing untuk data anda.

Perbezaan antara Phishing dan Spearphishing

Spearphishing adalah serangan phishing yang ditujukan terutamanya kepada anda, daripada menyebarkan seperti spam ke alamat e-mel apa yang mereka dapat cari. Serangan phishing ini telah terbukti sangat bermanfaat, kerana e-mel mungkin secara langsung diarahkan dan disesuaikan dengan konteks tertentu, atau sering disesuaikan dengan serangan yang lebih besar, canggih.

Untuk menggunakan analogi penangkapan ikan: bukannya menjatuhkan umpan anda ke laut dan menunggu seekor ikan yang digigit, meletus tepat di sekeliling ikan tunggal dan menyerangnya secara individu.

Contohnya, jika anda seorang freelancer, anda mungkin mencari permintaan untuk perkhidmatan anda dalam peti masuk anda. Ia mungkin meminta anda untuk memuat naik surat rujukan anda ke folder Dropbox, dan bukannya memaut ke folder ini secara langsung, anda diarahkan ke tapak pancingan data. Selepas anda menaip kata laluan anda di tapak pancingan data, anda mungkin diarahkan ke folder Dropbox yang sebenar, dan tidak pernah mengesyaki sebarang permainan busuk.

Serangan spearphishing sangat umum dalam organisasi besar, di mana perusahaan, pesaing, dan kerajaan mungkin mensasarkan pekerja, yang sering dijumpai di LinkedIn, untuk mengumpulkan kepintaran tentang organisasi dan mencari tempat yang lemah dalam rangkaian.

Mengesan Perlindungan Serangan dan Phishing

Pengesahan dua faktor boleh menawarkan perlindungan terhadap beberapa serangan pancingan data, kerana ia menyulitkan penyerang untuk berulang kali mengakses akaun anda. Tetapi serangan phishing yang canggih tidak akan hanya menyimpan kelayakan anda, tetapi log masuk ke akaun anda pada masa yang sama. Dengan cara ini, penyerang boleh mengetahui dengan segera jika bukti yang dikumpulkan berfungsi, dan jika tidak, tanyakan sekali lagi untuk kata laluan.

Sekiranya penyerang menghadapi Pengesahan kapten atau Dua faktor, mereka akan meminta anda memasukkan kod ke dalam tetingkap di tapak palsu mereka dan kemudian menggunakannya untuk log masuk ke akaun sebenar anda.

Facebook dan beberapa syarikat lain membolehkan anda memuat naik kunci PGP ke pelayan mereka. Selepas melakukannya, semua e-mel yang anda terima dari Facebook akan disulitkan dan ditandatangani, menjadikannya lebih mudah untuk anda mengesahkan keasliannya. Selain itu, jika seseorang boleh mendapat akses ke akaun e-mel anda, mereka tidak akan dapat membaca pemberitahuan atau menetapkan semula kata laluan Facebook anda.

Malangnya, satu-satunya perlindungan tahan terhadap serangan pancingan data adalah keraguan yang sihat, ketekunan wajar, dan kesedaran yang kuat. Banyak organisasi kerap menguji pekerja mereka atas keupayaan mereka untuk mengesan dan mengelakkan penipuan pancingan data. Di syarikat-syarikat di mana keselamatan siber adalah yang paling penting, berulang kali jatuh untuk ujian pancingan seperti itu adalah alasan untuk penamatan pekerjaan.

Imej yang dipilih: Foto / Foto Deposit
Phishing: alexandragl / Deposit Foto