Meny
Den ultimata guiden för att förstå nätfiske 2023
Så, vad är det Nätfiske?
Nätfiske är en form av social ingenjörskonst som lurar människor att avslöja sina lösenord eller värdefulla informationen. Nätfiskeattacker kan vara i form av e-postmeddelanden, textmeddelanden och telefonsamtal.
Vanligtvis framstår dessa attacker som populära tjänster och företag som folk lätt känner igen.
När användare klickar på en nätfiske-länk i brödtexten i ett e-postmeddelande skickas de till en lookalike-version av en webbplats som de litar på. De blir tillfrågade om sina inloggningsuppgifter vid denna tidpunkt i nätfiske-bluffen. När de väl anger sin information på den falska webbplatsen har angriparen vad de behöver för att komma åt sitt riktiga konto.
Nätfiskeattacker kan resultera i stulen personlig information, ekonomisk information eller hälsoinformation. När angriparen väl får tillgång till ett konto säljer de antingen åtkomsten till kontot eller använder den informationen för att hacka offrets andra konton.
När kontot är sålt kommer någon som vet hur man tjänar på kontot köpa kontouppgifterna från den mörka webben och dra nytta av den stulna informationen.
Här är en visualisering som hjälper dig att förstå stegen i en nätfiskeattack:
Nätfiskeattacker kommer i olika former. Nätfiske kan fungera från ett telefonsamtal, textmeddelande, e-post eller sociala medier.
Generiska nätfiske-e-postmeddelanden är den vanligaste typen av nätfiskeattacker. Attacker som dessa är vanliga eftersom de kräver minsta möjliga ansträngning.
Hackare tar en lista över e-postadresser som är kopplade till Paypal- eller sociala medier-konton och skickar en massutskick av e-post till potentiella offer.
När offret klickar på länken i e-postmeddelandet tar det dem ofta till en falsk version av en populär webbplats och ber dem att logga in med sin kontoinformation. Så snart de skickar in sin kontoinformation har hackaren vad de behöver för att komma åt sitt konto.
På sätt och vis är den här typen av nätfiske som att kasta ut ett nät i ett fiskstim; medan andra former av nätfiske är mer riktade insatser.
Spjutfiske är när en angripare riktar sig mot en specifik individ istället för att skicka ett allmänt e-postmeddelande till en grupp människor.
Spear phishing-attacker försöker specifikt rikta sig mot målet och maskera sig som en person som offret kan känna.
Dessa attacker är lättare för en bedragare om du har personligt identifierbar information på internet. Angriparen kan undersöka dig och ditt nätverk för att skapa ett meddelande som är relevant och övertygande.
På grund av den stora mängden anpassning är spear phishing-attacker mycket svårare att identifiera jämfört med vanliga phishing-attacker.
De är också mindre vanliga, eftersom det tar längre tid för brottslingar att få bukt med dem.
Fråga: Vilken är framgångsfrekvensen för ett spearphishing-e-postmeddelande?
Svar: Spearphishing-e-postmeddelanden har en genomsnittlig öppningshastighet för e-post på 70% och 50% av mottagarna klickar på en länk i e-postmeddelandet.
Jämfört med spjutfiskeattacker är valfångsattacker drastiskt mer riktade.
Valfångsattacker går efter individer i en organisation som t.ex. ett företags verkställande direktör eller finanschef.
Ett av de vanligaste målen med valfångsattacker är att manipulera offret till att koppla stora summor pengar till angriparen.
I likhet med vanligt nätfiske genom att attacken sker i form av e-post, kan valfångst använda företagslogotyper och liknande adresser för att dölja sig.
I vissa fall kommer angriparen att utge sig för att vara VD och använd den personan för att övertyga en annan anställd att avslöja ekonomisk data eller överföra pengar till angriparens konto.
Eftersom anställda är mindre benägna att tacka nej till en begäran från någon högre upp är dessa attacker mycket mer löjliga.
Angripare lägger ofta mer tid på att skapa en valfångsattack eftersom de tenderar att ge bättre resultat.
Namnet "valfångst" syftar på det faktum att mål har mer finansiell makt (VD).
Angler phishing är ett relativt ny typ av nätfiskeattacker och finns på sociala medier.
De följer inte det traditionella e-postformatet för nätfiskeattacker.
Istället maskerar de sig som kundtjänstrepresentanter för företag och lurar folk att skicka information till dem genom direktmeddelanden.
En vanlig bluff är att skicka folk till en falsk kundsupportwebbplats som laddar ner skadlig programvara eller med andra ord Ransomware på offrets enhet.
En vishing attack är när en bedragare ringer dig att försöka samla in personlig information från dig.
Bedragare utger sig vanligtvis för att vara ett välrenommerat företag eller en organisation som Microsoft, IRS eller till och med din bank.
De använder rädslataktik för att få dig att avslöja viktig kontodata.
Detta tillåter dem att direkt eller indirekt komma åt dina viktiga konton.
Vishing attacker är knepiga.
Angripare kan lätt imitera personer som du litar på.
Se Hailbytes grundare David McHale prata om hur robotsamtal kommer att försvinna med framtida teknik.
De flesta nätfiskeattacker sker via e-post, men det finns sätt att identifiera deras legitimitet.
När du öppnar ett mejl kontrollera om det kommer från en offentlig e-postdomän eller inte (dvs. @gmail.com).
Om det är från en offentlig e-postdomän är det med största sannolikhet en nätfiskeattack eftersom organisationer inte använder offentliga domäner.
Snarare skulle deras domäner vara unika för deras verksamhet (dvs. Googles e-postdomän är @google.com).
Det finns dock knepigare nätfiskeattacker som använder en unik domän.
Det är användbart att göra en snabb sökning av företaget och kontrollera dess legitimitet.
Nätfiskeattacker försöker alltid bli vän med dig med en trevlig hälsning eller empati.
Till exempel, i min spam för inte så länge sedan hittade jag ett nätfiskemail med hälsningen "Kära vän".
Jag visste redan att detta var ett nätfiskemeddelande eftersom det i ämnesraden stod "GODA NYHETER OM DINA MEDEL 21/06/2020".
Att se dessa typer av hälsningar bör vara omedelbara röda flaggor om du aldrig har interagerat med den kontakten.
Innehållet i ett nätfiske-e-postmeddelande är mycket viktigt, och du kommer att se några utmärkande egenskaper som utgör det mesta.
Om innehållet låter absurt är det troligtvis en bluff.
Till exempel, om ämnesraden sa "Du vann lotteriet $1000000" och du inte har något minne av att ha deltagit så är det en röd flagga.
När innehållet skapar en känsla av brådska som "det beror på dig" och det leder till att du klickar på en misstänkt länk är det troligen en bluff.
Nätfiske-e-postmeddelanden har alltid en misstänkt länk eller fil bifogad.
Ett bra sätt att kontrollera om en länk har ett virus är att använda VirusTotal, en webbplats som kontrollerar filer eller länkar för skadlig programvara.
Exempel på nätfiske-e-post:
I exemplet påpekar Google att mejlet kan vara potentiellt farligt.
Den känner igen att dess innehåll matchar andra liknande nätfiske-e-postmeddelanden.
Om ett e-postmeddelande uppfyller de flesta av kriterierna ovan, rekommenderar vi att du rapporterar det till reportphishing@apwg.org eller phishing-report@us-cert.gov så att det blockeras.
Om du använder Gmail finns det ett alternativ att rapportera e-postmeddelandet för nätfiske.
Även om nätfiskeattacker är inriktade på slumpmässiga användare, riktar de sig ofta mot anställda på ett företag.
Men angripare är inte alltid ute efter ett företags pengar utan dess data.
När det gäller affärer är data mycket mer värdefull än pengar och det kan allvarligt påverka ett företag.
Angripare kan använda läckt data för att påverka allmänheten genom att påverka konsumenternas förtroende och smutskasta företagets namn.
Men det är inte de enda konsekvenserna som kan bli följden av det.
Andra konsekvenser inkluderar negativ påverkan på investerares förtroende, stör affärer och uppmuntrar till böter enligt den allmänna dataskyddsförordningen (GDPR).
Att träna dina anställda för att hantera detta problem rekommenderas för att minska framgångsrika nätfiskeattacker.
Sätt att utbilda anställda i allmänhet är att visa dem exempel på nätfiske-e-postmeddelanden och sätten att upptäcka dem.
Ett annat bra sätt att visa anställda nätfiske är genom simulering.
Nätfiske-simuleringar är i princip falska attacker som är utformade för att hjälpa anställda att känna igen nätfiske utan några negativa effekter.
Vi kommer nu att dela stegen du behöver ta för att köra en framgångsrik nätfiskekampanj.
Nätfiske är fortfarande det största säkerhetshotet enligt WIPROs rapport om cybersäkerhet 2020.
Ett av de bästa sätten att samla in data och utbilda anställda är att driva en intern nätfiskekampanj.
Det kan vara enkelt nog att skapa ett nätfiske-e-postmeddelande med en nätfiskeplattform, men det finns mycket mer än att trycka på skicka.
Vi kommer att diskutera hur man hanterar nätfisketester med intern kommunikation.
Sedan går vi igenom hur du analyserar och använder den data som du samlar in.
En nätfiskekampanj handlar inte om att straffa människor om de faller för en bluff. En nätfiske-simulering handlar om att lära anställda hur de ska svara på nätfiske-e-postmeddelanden. Du vill vara säker på att du är transparent när det gäller att träna nätfiske i ditt företag. Prioritera att informera företagsledare om din nätfiskekampanj och beskriv kampanjens mål.
När du har skickat ditt första baslinjetest för nätfiske via e-post kan du göra ett företagsomfattande meddelande till alla anställda.
En viktig aspekt av intern kommunikation är att hålla budskapet konsekvent. Om du gör dina egna nätfiske-tester är det en bra idé att komma på ett påhittat varumärke för ditt träningsmaterial.
Att komma på ett namn för ditt program hjälper medarbetarna att känna igen ditt utbildningsinnehåll i sin inkorg.
Om du använder en testtjänst för hanterad nätfiske kommer de troligen att täcka detta. Utbildningsinnehåll bör produceras i förväg så att du kan få en omedelbar uppföljning efter din kampanj.
Ge dina anställda instruktioner och information om ditt interna nätfiske-e-postprotokoll efter ditt baslinjetest.
Du vill ge dina medarbetare möjlighet att svara rätt på utbildningen.
Att se antalet personer som korrekt upptäcker och rapporterar e-postmeddelandet är viktig information att få från nätfisketestet.
Vad bör vara din högsta prioritet för din kampanj?
Engagemang.
Du kan försöka basera dina resultat på antalet framgångar och misslyckanden, men dessa siffror hjälper dig inte nödvändigtvis med ditt syfte.
Om du kör en nätfisketestsimulering och ingen klickar på länken, betyder det att ditt test var framgångsrikt?
Det korta svaret är "nej".
Att ha 100 % framgång översätts inte som en framgång.
Det kan betyda att ditt nätfisketest helt enkelt var för lätt att upptäcka.
Å andra sidan, om du får en enorm felfrekvens med ditt nätfisketest kan det betyda något helt annat.
Det kan betyda att dina anställda inte kan upptäcka nätfiskeattacker ännu.
När du får en hög klickfrekvens för din kampanj, finns det en god chans att du behöver minska svårighetsgraden på dina nätfiske-e-postmeddelanden.
Ta mer tid att utbilda människor på deras nuvarande nivå.
Du vill i slutändan minska antalet klick på nätfiskelänkar.
Du kanske undrar vad en bra eller dålig klickfrekvens är med en nätfiske-simulering.
Enligt sans.org, din första nätfiske-simuleringen kan ge en genomsnittlig klickfrekvens på 25-30 %.
Det verkar vara en riktigt hög siffra.
Lyckligtvis rapporterade de det efter 9-18 månaders nätfisketräning var klickfrekvensen för ett nätfisketest under 5%.
Dessa siffror kan hjälpa som en grov uppskattning av dina önskade resultat från nätfisketräning.
För att starta din första nätfiske-e-postsimulering, se till att vitlista testverktygets IP-adress.
Detta säkerställer att anställda får e-postmeddelandet.
När du skapar ditt första simulerade nätfiske-e-postmeddelande, gör det inte för lätt eller för svårt.
Du bör också komma ihåg din publik.
Om dina medarbetare inte är storanvändare av sociala medier, skulle det förmodligen inte vara en bra idé att använda ett falskt nätfiske-e-postmeddelande för återställning av lösenord för LinkedIn. Testarens e-postmeddelande måste ha tillräckligt bred dragningskraft för att alla i ditt företag skulle ha en anledning att klicka.
Några exempel på nätfiske-e-postmeddelanden med bred tilltalande kan vara:
Kom bara ihåg psykologin för hur meddelandet kommer att tas av din publik innan du trycker på skicka.
Fortsätt att skicka e-postmeddelanden om nätfiskeutbildning till dina anställda. Se till att du sakta ökar svårigheten över tid för att öka människors kompetensnivåer.
Det rekommenderas att skicka e-post varje månad. Om du "fiskar" din organisation för ofta, kommer de sannolikt att fånga upp lite för snabbt.
Att fånga dina anställda, lite oaktsamt är det bästa sättet att få mer realistiska resultat.
Om du skickar samma typ av "phishing"-e-postmeddelanden varje gång, kommer du inte att lära dina anställda hur de ska reagera på olika bedrägerier.
Du kan prova flera olika vinklar inklusive:
När du skickar nya kampanjer, se alltid till att du finjusterar budskapets relevans för din publik.
Om du skickar ett nätfiske-e-postmeddelande som inte är relaterat till något av intresse, kanske du inte får mycket svar från din kampanj.
Efter att ha skickat olika kampanjer till dina anställda, uppdatera några av de gamla kampanjerna som lurade folk första gången och gör en ny snurr på den kampanjen.
Du kommer att kunna se effektiviteten av din träning om du ser att människor antingen lär sig och förbättras.
Därifrån kommer du att kunna se om de behöver mer utbildning om hur man upptäcker en viss typ av nätfiske-e-post.
Det finns tre faktorer som avgör om du ska skapa ditt eget nätfiske-träningsprogram eller lägga ut programmet på entreprenad.
Om du är säkerhetsingenjör eller har en i ditt företag kan du enkelt skapa en nätfiskeserver med hjälp av en redan existerande nätfiskeplattform för att skapa dina kampanjer.
Om du inte har några säkerhetsingenjörer kan det vara uteslutet att skapa ett eget nätfiskeprogram.
Du kanske har en säkerhetsingenjör i din organisation, men de kanske inte har erfarenhet av social ingenjörskonst eller nätfiske-tester.
Om du har någon som är erfaren, skulle de vara pålitliga nog att skapa sitt eget nätfiskeprogram.
Den här är en riktigt stor faktor för små till medelstora företag.
Om ditt team är litet kanske det inte är bekvämt att lägga till ytterligare en uppgift till ditt säkerhetsteam.
Det är mycket bekvämare att låta ett annat erfaret team göra jobbet åt dig.
Du har gått igenom hela den här guiden för att ta reda på hur du kan utbilda dina anställda och du är redo att börja skydda din organisation genom nätfiskeutbildning.
Vad nu?
Om du är säkerhetsingenjör och vill börja köra dina första nätfiskekampanjer nu, gå hit för att lära dig mer om ett nätfiske-simuleringsverktyg som du kan använda för att komma igång idag.
Eller…
Om du är intresserad av att lära dig mer om hanterade tjänster för att köra nätfiskekampanjer åt dig, läs mer här om hur du kan börja din kostnadsfria provperiod på nätfisketräning.
Använd checklistan för att identifiera ovanliga e-postmeddelanden och rapportera dem om de är nätfiske.
Även om det finns nätfiskefilter där ute som kan skydda dig, är det inte 100 %.
Nätfiske-e-postmeddelanden utvecklas ständigt och är aldrig sig likt.
Till skydda ditt företag från nätfiskeattacker du kan delta i nätfiske-simuleringar för att minska chanserna för framgångsrika nätfiskeattacker.
Vi hoppas att du har lärt dig tillräckligt av den här guiden för att ta reda på vad du behöver göra härnäst för att minska dina chanser för ett nätfiskeattack mot ditt företag.
Lämna en kommentar om du har några frågor till oss eller om du vill dela med dig av din kunskap eller erfarenhet av nätfiskekampanjer.
Glöm inte att dela denna guide och sprida ordet!
Hagelbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-post: info@hailbytes.com
