Φιλοξενία φαλαινών: Φιλερικά κοιτάξτε στο έδαφος ένα μεγάλο αλιευμάτων

Συγγραφέας: Judy Howell
Ημερομηνία Δημιουργίας: 25 Ιούλιος 2021
Ημερομηνία Ενημέρωσης: 21 Ιούνιος 2024
Anonim
Φιλοξενία φαλαινών: Φιλερικά κοιτάξτε στο έδαφος ένα μεγάλο αλιευμάτων - Τεχνολογία
Φιλοξενία φαλαινών: Φιλερικά κοιτάξτε στο έδαφος ένα μεγάλο αλιευμάτων - Τεχνολογία

Περιεχόμενο


Πάρε μακριά:

Η φαλαινοθηρία μπορεί να βυθίσει μια εταιρία, οπότε μέχρι τα ανώτερα στελέχη να εκπαιδεύσουν τους εαυτούς τους για τους κινδύνους και πώς να εμποδίσουν τις εταιρείες τους να γίνουν θύματα.

Οι phishers των Spear δολίζουν τα άγκιστρα για "μεγάλο phish" με πρόσβαση σε πολύτιμες εταιρικές πληροφορίες, μια στρατηγική γνωστή ως φαλαινοθηρία. Λειτουργεί έτσι: Οι χάκερ μετακινούν το Διαδίκτυο, τα κοινωνικά μέσα ενημέρωσης ή ακόμη και τους εταιρικούς ιστότοπους για να συλλέξουν πληροφορίες σχετικά με έναν στόχο υψηλού προφίλ και στη συνέχεια να δημιουργήσουν ένα δελεαστικό για να εξαπατήσουν τον παραλήπτη να πιστέψει ότι προέρχεται από μια αξιόπιστη πηγή. Μόλις γίνει κλικ στο target, εγκαθίσταται συχνά κακόβουλο λογισμικό που επιτρέπει στον hacker να αποκτήσει πρόσβαση στις εσωτερικές λειτουργίες της εταιρείας ή να συλλέξει πληροφορίες από τον στόχο για άλλη επίθεση σε ακόμη μεγαλύτερο phish.

Η φαλαινοθηρία και το phishing δεν είναι καινούργια, αλλά η απειλή δεν συμβαίνει. Αυτός είναι ο λόγος για τον οποίο μέχρι τις εταιρείες να αναλάβουν ηγετικό ρόλο στη μείωση του δικού τους κινδύνου.


Phishing, Spears Phishing και Reeling σε μια Φάλαινα

Οι επιθέσεις ηλεκτρονικού "ψαρέματος" πηγαίνουν πίσω, και αν χρησιμοποιείτε, έχετε μάλλον εκτεθεί σε λίγους εαυτούς. Σε επιθέσεις phishing, οι χάκερ χρησιμοποιούν ή κακόβουλους ιστότοπους για να ζητούν προσωπικά στοιχεία, θέτοντας ως αξιόπιστους οργανισμούς, όπως κυβερνητικές οργανώσεις ή χρηματοπιστωτικά ιδρύματα. Αυτό επιτρέπει στους επιτιθέμενους να ζητούν ευαίσθητες πληροφορίες. Όταν ο χρήστης απαντήσει με τις ζητούμενες πληροφορίες, οι επιτιθέμενοι μπορούν να το χρησιμοποιήσουν για να αποκτήσουν πρόσβαση σε τραπεζικό λογαριασμό χρηστών ή να κλέψουν την ταυτότητά του, μεταξύ άλλων εγκλημάτων.

Τα ηλεκτρονικά ψαρέματα (phishing), σε αντίθεση με το phishing δόνησης και τη φαλαινοθηρία, αποστέλλονται χύμα, συχνά χιλιάδες κάθε φορά. Ως εκ τούτου, απευθύνονται σε ένα γενικό κοινό. Οι κυβερνοεγκληματίες χρησιμοποιούν αυτήν την προσέγγιση μεγάλου όγκου με την ελπίδα ότι μερικοί ατυχείς άνθρωποι θα πάρουν το δόλωμα.


Το phishing των Spear είναι μια πιο στοχευμένη επίθεση phishing. Μπορεί να χρησιμοποιηθεί μόνος του ή ως μέρος μίας καμπάνιας προχωρημένων απειλών (APT). Αντί να εκτοξεύσουν χιλιάδες άτομα με την ελπίδα να βρουν μερικά θύματα, οι phishers στόχων στοχεύουν σε επιλεγμένες ομάδες ανθρώπων με κάτι κοινό - εργάζονται στην ίδια εταιρεία, τράπεζα στο ίδιο χρηματοπιστωτικό ίδρυμα, παρακολουθούν το ίδιο κολέγιο ή παραγγέλλουν εμπορεύματα από τον ίδιο ιστότοπο. Οι φαινομενικά αποστέλλονται από οργανώσεις ή άτομα τα οποία τα πιθανά θύματα κανονικά δέχτηκαν, καθιστώντας τα ακόμη πιο απατηλά. Αυτή η στοχοθετημένη προσέγγιση μπορεί να καταστήσει το δόλωμα phishing πιο αποτελεσματικό και επομένως πιο επιζήμιο για τα θύματά του. (Διαβάστε περισσότερα για το APT και τους κινδύνους που ενέχει στην Advanced Persistent Threats: Πρώτο Salvo στο Coming Cyberwar;)

Η φαλαινοθηρία κάνει τα πράγματα ένα βήμα παραπέρα. Η φαλαινοθηρία είναι μια επίθεση δόλιου phishing που απευθύνεται σε ανώτερα στελέχη επιχειρήσεων και ιδιοκτήτες επιχειρήσεων. Ο επιτιθέμενος μπορεί να διαρκέσει μήνες για να ερευνήσει την εταιρεία και να μάθει όσο το δυνατόν περισσότερο το δυνητικό θύμα για να το κατασκευάσει με τρόπο που να φαίνεται νόμιμος για τον παραλήπτη. Τα ανώτατα στελέχη και οι ιδιοκτήτες επιχειρήσεων στοχεύουν επειδή τείνουν να έχουν πρόσβαση στις πιο ευαίσθητες πληροφορίες μέσα στην εταιρεία. Μόλις ο υπολογιστής τους υποστεί βλάβη, οι επιτιθέμενοι έχουν εικονική λευκή κάρτα. Και για την εταιρεία, αυτό είναι πολύ άσχημα νέα.

Παραδείγματα φαλαινοθηρίας

Ένα παράδειγμα μιας ιδιαίτερα επιτυχημένης εκστρατείας φαλαινοθηρίας πραγματοποιήθηκε το 2008 και περιλάμβανε κλήσεις επίσημης εκτίμησης σε 20.000 ανώτερα στελέχη επιχειρήσεων. Το γεγονός ότι ο παραλήπτης ήταν υποχρεωμένος να εμφανιστεί ενώπιον ομοσπονδιακής κριτικής επιτροπής και περιείχε πλήρες όνομα, εταιρικό τίτλο, αριθμό τηλεφώνου και άλλες σχετικές πληροφορίες για να εξαπατήσει τον παραλήπτη για να θεωρήσει ότι ήταν νόμιμο.

Δούλεψε; περίπου το ένα δέκατο των παραληπτών έκανε κλικ σε έναν σύνδεσμο για να δει ολόκληρο το έγγραφο. Ο σύνδεσμος έφερε τον παραλήπτη σε έναν ιστότοπο που ενημέρωσε το θύμα ότι έπρεπε να εγκαταστήσει ένα πρόσθετο προγράμματος περιήγησης για να δει την κλήτευση. Αντ 'αυτού, ο ιστότοπος κατέβαλε το λογισμικό keylogger το οποίο μπόρεσε να καταγράψει κρυφά τις πληροφορίες σύνδεσης και κωδικού πρόσβασης των στελεχών. Ως αποτέλεσμα, οι εταιρείες υπόκεινται σε πειρατεία, μερικές από τις οποίες προκάλεσαν σημαντική ζημιά. (Για περισσότερες πληροφορίες σχετικά με τους keyloggers, δείτε το μαγικό φανάρι του FBI's Ultimate Keylogger;)

No Bugs, No Stress - Ο οδηγός σας βήμα προς βήμα για τη δημιουργία λογισμικού που αλλάζει τη ζωή χωρίς να καταστρέφει τη ζωή σας

Δεν μπορείτε να βελτιώσετε τις δεξιότητες προγραμματισμού σας όταν κανείς δεν ενδιαφέρεται για την ποιότητα του λογισμικού.

Μια άλλη κοινή στρατηγική για μια επίθεση φαλαινοθηρίας είναι να εκμεταλλευτεί το γνωστό όνομα του Γραφείου Καλύτερης Επιχειρηματικότητας (BBB). Σε αυτή την απάτη, οι επιτιθέμενοι σε ιδιοκτήτες μικρών και μεσαίων επιχειρήσεων ισχυρίζονται ότι προέρχονται από υπάλληλο της BBB σχετικά με καταγγελία που κατατέθηκε εναντίον της εταιρείας. Μια εκδοχή του καλεί τον παραλήπτη να κάνει κλικ σε έναν σύνδεσμο για να δει το παράπονο, αλλά για άλλη μια φορά ο σύνδεσμος κατεβάζει λογισμικό keylogger ή άλλο κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέβει εμπιστευτικές πληροφορίες. Το BBB εκδίδει τακτικά προειδοποιήσεις στις επιχειρήσεις σχετικά με αυτές τις απάτες. Το πρόβλημα είναι, είναι συχνά δύσκολο για τα θύματα να πούμε ότι είναι scammed καθόλου έως ότου είναι πολύ αργά.

Πώς να αποφύγετε ένα Harpoon

Έτσι τι μπορούν να κάνουν οι εταιρείες για να προστατεύσουν τον εαυτό τους; Η φαλαινοθηρία ενέχει σημαντικό κίνδυνο για τις επιχειρήσεις, αλλά τα μέτρα για την πρόληψή της είναι αρκετά απλά. Το κλειδί είναι ότι οι επιχειρήσεις πρέπει να είναι ενεργές και να εξασφαλίζουν ότι οι υπάλληλοί τους ακολουθούν ορισμένους κανόνες κοινής λογικής. Ακολουθούν ορισμένες οδηγίες για τους υπαλλήλους και τα στελέχη που θα ακολουθήσουν.

  • Να είστε ύποπτοι για τα ανεπιθύμητα
    Τα άτομα πρέπει να είναι ύποπτα για ανεπιθύμητα τηλεφωνήματα ή να ρωτούν για υπαλλήλους ή άλλες εσωτερικές πληροφορίες. Εάν ένα άγνωστο πρόσωπο ισχυρίζεται ότι προέρχεται από νόμιμο οργανισμό, η ταυτότητά του πρέπει να επαληθευτεί.
  • Δεν παρέχετε προσωπικές ή εταιρικές πληροφορίες
    Τα άτομα δεν θα πρέπει να παρέχουν προσωπικές ή εταιρικές πληροφορίες, ακόμη και σχετικά με τη δομή ή τα δίκτυα της εταιρείας, εκτός εάν είναι βέβαιοι για την εξουσία των ατόμων να έχουν αυτές τις πληροφορίες.

    Επιπλέον, τα άτομα δεν πρέπει να αποκαλύπτουν προσωπικές ή οικονομικές πληροφορίες σε ένα και δεν θα πρέπει να ανταποκρίνονται στις αιτήσεις για αυτές τις πληροφορίες. Αυτό περιλαμβάνει τους ακόλουθους συνδέσμους που αποστέλλονται στο s.
  • Αποφύγετε την εισαγωγή ευαίσθητων πληροφοριών μέσω του Διαδικτύου
    Σε γενικές γραμμές, ιδιαίτερα ευαίσθητες πληροφορίες δεν πρέπει να αποστέλλονται μέσω ή μέσω διαδικτύου.
  • Δώστε προσοχή στις διευθύνσεις URL
    Οι κακόβουλες τοποθεσίες ιστού ενδέχεται να φαίνονται όμοιες με έναν νόμιμο ιστότοπο, αλλά η διεύθυνση URL μπορεί να χρησιμοποιεί μια παραλλαγή ορθογραφίας ή διαφορετικού τομέα, κάτι που θα μπορούσε να σημάνει μια απόπειρα ηλεκτρονικού "ψαρέματος".
  • Επαληθεύστε τα αιτήματα
    Εάν ένας υπάλληλος λάβει ένα ύποπτο, αυτός ή αυτή θα πρέπει να προσπαθήσει να το επαληθεύσει επικοινωνώντας απευθείας με την εταιρεία από την οποία υποτίθεται ότι έχει αποσταλεί.
  • Να είσαι ενημερωμένος
    Πληροφορίες σχετικά με τις επιθέσεις ηλεκτρονικού "ψαρέματος" και φαλαινοθηρίας είναι επίσης διαθέσιμες σε απευθείας σύνδεση από ομάδες όπως η ομάδα εργασίας για την καταπολέμηση του ηλεκτρονικού ψαρέματος, μια μη κερδοσκοπική βιομηχανία και μια οργάνωση επιβολής του νόμου που εστιάζεται στην εξάλειψη της απάτης, της εγκληματικότητας και της κλοπής ταυτότητας που προέρχονται από ψευδαισθήσεις, φαλαινοθηρίας και ψευδαισθήσεις όλων των τύπων.

Το επόμενο Big Catch

Το οργανωμένο έγκλημα συνεχίζει να δείχνει ενδιαφέρον για το phishing και την φαλαινοθηρία. Όσο οι εγκληματίες μπορούν να κερδίσουν χρήματα, θα συνεχίσουν. Για παράδειγμα, αν και οι απάτες BBB συνεχίζονται για μεγάλο χρονικό διάστημα, συνεχίζουν να συμβαίνουν σε τακτική βάση, κρίνεται από τη συχνότητα των προειδοποιήσεων BBB για το θέμα.

Επιπλέον, το ηλεκτρονικό ψάρεμα και η φαλαινοθηρία έχουν γίνει μια δημοφιλής μέθοδος για προχωρημένες συνεχιζόμενες εκστρατείες απειλής, οι οποίες συχνά ξεκινούν από ομάδες με δεσμούς με ξένες κυβερνήσεις. Έχουν σχεδιαστεί για να διεισδύσουν σε εταιρεία ή πρακτορείο προκειμένου να κλέψουν ευαίσθητες πληροφορίες ή πολύτιμη πνευματική ιδιοκτησία. Αυτοί οι παράγοντες δαπανούν για πολύ καιρό αποφασίζοντας τον πιο αποτελεσματικό τρόπο διείσδυσης ενός οργανισμού. Η στόχευση ανώτερων στελεχών επιχειρήσεων και ιδιοκτητών επιχειρήσεων είναι συχνά το εισιτήριο.

Πάρτε σοφός

Όσο τα άτομα μπορούν να εξαπατηθούν για να ανοίξουν κακόβουλα, η πρακτική της φαλαινοθηρίας θα συνεχιστεί. Εναπόκειται στα ανώτερα στελέχη να εκπαιδεύονται για τους κινδύνους της φαλαινοθηρίας και για το πώς να εμποδίσουν τις επιχειρήσεις τους να γίνουν θύματα.