Menu
Phishinga ulertzeko azken gida 2023an
Beraz, zer da Phishing?
Phishing-a ingeniaritza sozialaren modu bat da, jendea engainatzen duena bere pasahitzak edo baliotsuak agertzera informazio. Phishing erasoak mezu elektronikoak, testu-mezuak eta telefono-deiak izan daitezke.
Normalean, eraso hauek jendeak erraz ezagutzen dituen zerbitzu eta enpresa ezagun gisa agertzen dira.
Erabiltzaileek mezu elektroniko baten gorputzeko phishing esteka bat sakatzen dutenean, fidagarria den gune baten antzeko bertsio batera bidaltzen dira. Saio-hasteko kredentzialak eskatzen zaizkie phishing-iruzurraren une honetan. Webgune faltsuan informazioa sartzen dutenean, erasotzaileak bere benetako kontura sartzeko behar duena dauka.
Phishing erasoek informazio pertsonala, finantza informazioa edo osasun informazioa lapurtu dezakete. Erasotzaileak kontu baterako sarbidea lortzen duenean, konturako sarbidea saltzen du edo informazio hori biktimaren beste kontu batzuk hackeatzeko erabiltzen du.
Kontua saldu ondoren, kontutik etekina ateratzen dakien batek kontuaren kredentzialak web ilunetik erosiko ditu, eta lapurtutako datuak kapitalizatuko ditu.
Hona hemen phishing-eraso baten urratsak ulertzen laguntzeko bistaratze bat:
Phishing-en erasoak era ezberdinetan daude. Phishing-ak telefono-dei, testu-mezu, posta elektroniko edo sare sozialetako mezu batetik funtziona dezake.
Phishing-eko mezu elektroniko orokorrak dira phishing-erasorik ohikoena. Horrelako erasoak ohikoak dira, esfortzu txikiena eskatzen dutelako.
Hackerrek Paypal edo sare sozialetako kontuekin lotutako helbide elektronikoen zerrenda hartzen dute eta a bidaltzen dute Biktimei biktimei posta elektroniko ugari lehertzea.
Biktimak mezu elektronikoko estekan klik egiten duenean, askotan webgune ezagun baten bertsio faltsu batera eramaten du eta bere kontuaren informazioarekin saioa hasteko eskatzen dio. Kontuaren informazioa bidali bezain laster, hackerrak bere kontura sartzeko behar duena dauka.
Zentzu batean, phishing mota hau arrain eskola batera sare bat botatzea bezalakoa da; beste phishing mota batzuk, berriz, ahalegin bideratuagoak dira.
Spear phishing noiz da erasotzaile batek norbanako zehatz bat du helburu pertsona talde bati mezu elektroniko generiko bat bidali beharrean.
Spear phishing-en erasoak xedeari berariaz zuzentzen saiatzen dira eta biktimak ezagutu dezakeen pertsonaz mozorrotzen dira.
Eraso hauek errazagoak dira iruzurgile batentzat, Interneten pertsonalki identifikatzeko informazioa baduzu. Erasotzaileak zu eta zure sarea ikertzeko gai da garrantzitsua eta sinesgarria den mezu bat egiteko.
Pertsonalizazio-kopuru handia dela eta, spear phishing erasoak identifikatzea askoz zailagoa da ohiko phishing-erasoekin alderatuta.
Ez dira hain ohikoak ere, gaizkileek denbora gehiago behar dutelako arrakastaz ateratzeko.
Galdera: Zein da spearphishing mezu elektroniko baten arrakasta-tasa?
Erantzuna: Spearphishing-eko mezu elektronikoek batez besteko irekiera-tasa dute 70% 50% hartzaileen mezu elektronikoko esteka bat sakatu.
Spear phishing-en erasoekin alderatuta, bale-arrantza erasoak ikaragarri zuzenduagoak dira.
Bale-arrantza-erasoak erakunde bateko pertsonen atzetik joaten dira, hala nola enpresa bateko zuzendari nagusiak edo finantza-zuzendariak.
Bale-arrantza-erasoen helburu ohikoenetako bat biktima manipulatzea da erasotzaileari diru kopuru handiak igortzeko.
Ohiko phishing-aren antzera, erasoa posta elektronikoaren formakoa baita, bale-arrantzak enpresen logotipoak eta antzeko helbideak erabil ditzake mozorrotzeko.
Zenbait kasutan, erasotzaileak zuzendari nagusia ordezkatuko du eta erabili pertsona hori beste langile bat konbentzitzeko finantza-datuak agerian uzteko edo erasotzaileen kontura dirua transferitzeko.
Langileek goragoko norbaiten eskaerari uko egiteko aukera gutxiago dutenez, eraso hauek askoz ere bihurriagoak dira.
Erasotzaileek sarritan denbora gehiago igaroko dute bale-arrantza-eraso bat lantzen, hobeto ordaintzen dutelako.
"Baleen ehiza" izenak helburuek finantza-ahalmen handiagoa dutela adierazten du (CEO).
Angler phishing nahikoa da phishing-eraso mota berria eta sare sozialetan dago.
Ez dute phishing erasoen posta elektronikoko formatu tradizionala jarraitzen.
Horren ordez, enpresetako bezeroarentzako arretako ordezkari gisa mozorrotzen dira eta jendea engainatzen dute mezu zuzenen bidez informazioa bidal diezazuten.
Iruzur arrunt bat jendea malwarea edo beste era batera esanda deskargatuko duen bezeroarentzako arretarako webgune faltsu batera bidaltzea da ransomware biktimaren gailuan sartu.
Vishing erasoa iruzurgileak deitzen dizunean gertatzen da zuregandik informazio pertsonala biltzen saiatzeko.
Iruzurgileek, normalean, Microsoft, IRS edo baita zure bankua bezalako enpresa edo erakunde entzutetsu bat direla itxuratzen dute.
Beldur-taktikak erabiltzen dituzte kontuko datu garrantzitsuak agerian uzteko.
Horrek zure kontu garrantzitsuetara zuzenean edo zeharka sartzeko aukera ematen die.
Vishing erasoak zailak dira.
Erasotzaileek konfiantzazko pertsonak erraz ordezka ditzakete.
Ikusi David McHale Hailbytes-eko sortzaileak etorkizuneko teknologiarekin robot-deiak nola desagertuko diren buruz hitz egiten.
Phishing-eko eraso gehienak mezu elektronikoen bidez gertatzen dira, baina haien zilegitasuna identifikatzeko moduak daude.
Posta elektroniko bat irekitzen duzunean egiaztatu posta elektronikoko domeinu publiko batekoa den edo ez (hau da, @gmail.com).
Posta elektronikoko domeinu publiko batekoa bada, ziurrenik phishing-erasoa izango da, erakundeek ez baitute domeinu publikorik erabiltzen.
Aitzitik, haien domeinuak bere negoziorako bakarrak izango lirateke (hau da, Google-ren posta elektronikoko domeinua @google.com da).
Hala ere, domeinu bakarra erabiltzen duten phishing-eraso zailagoak daude.
Baliagarria da enpresaren bilaketa azkar bat egiteko eta zilegitasuna egiaztatzeko.
Phishing-en erasoak beti saiatzen dira zure lagun egiten agur edo enpatia atsegin batekin.
Adibidez, nire spam-ean duela ez asko phishing-eko mezu elektroniko bat aurkitu nuen "Lagun maitea" agurra zuena.
Lehendik banekien phishing-mezu bat zela gaian, "ZURE FUNDUEI BURUZKO BERRI ONA 21/06/2020" zioen bezala.
Agurrak mota horiek ikustea berehalako bandera gorriak izan beharko luke kontaktu horrekin inoiz interaktuatu ez bazara.
Phishing mezu elektroniko baten edukia oso garrantzitsua da, eta gehien osatzen duten ezaugarri bereizgarri batzuk ikusiko dituzu.
Edukiak zentzugabea bada, ziurrenik iruzurra da.
Adibidez, gaiaren lerroan: "Loteria $ 1000000 irabazi duzu" esan eta ez baduzu parte hartu izanaren oroitzapenik, hori bandera gorria da.
Edukiak "zuren araberakoa da" bezalako premiazko sentsazioa sortzen duenean eta esteka susmagarri bat sakatzean, ziurrenik iruzurra izango da.
Phishing-eko mezu elektronikoek beti dute esteka edo fitxategi susmagarri bat erantsita.
Esteka batek birus bat duen egiaztatzeko modu ona VirusTotal erabiltzea da, fitxategiak edo estekak malwarerik dagoen egiaztatzen duen webgunea.
Phishing posta elektronikoaren adibidea:
Adibidean, Google-k adierazi du posta elektronikoa arriskutsua izan daitekeela.
Bere edukia antzeko beste phishing-mezuekin bat datorrela onartzen du.
Mezu elektroniko batek goiko irizpide gehienak betetzen baditu, reportphishing@apwg.org edo phishing-report@us-cert.gov helbidera jakinaraztea gomendatzen da, blokeatu dadin.
Gmail erabiltzen ari bazara, posta elektronikoaren berri emateko aukera dago phishingagatik.
Phishing-en erasoak ausazko erabiltzaileei zuzenduta dauden arren, askotan enpresa bateko langileei zuzenduta daude.
Hala ere, erasotzaileak ez dira beti enpresa baten diruaren atzetik, baina haren datuen atzetik.
Negozioari dagokionez, datuak dirua baino askoz ere baliotsuagoak dira eta enpresa batean eragin handia izan dezakete.
Erasotzaileek filtratutako datuak erabil ditzakete publikoan eragiteko, kontsumitzaileen konfiantzan eraginez eta enpresaren izena zikinduz.
Baina ez da horrek eragin ditzakeen ondorio bakarrak.
Beste ondorio batzuk honako hauek dira: inbertitzaileen konfiantzan eragin negatiboa, negozioak etetea eta arauzko isunak bultzatzea Datuak Babesteko Erregelamendu Orokorraren (GDPR) arabera.
Zure langileak arazo honi aurre egiteko trebatzea gomendatzen da phishing-eraso arrakastatsuak murrizteko.
Langileak trebatzeko moduak, oro har, phishing mezu elektronikoen adibideak eta haiek antzemateko moduak erakustea dira.
Langileei phishing erakusteko beste modu on bat simulazioa da.
Phishing simulazioak, funtsean, langileei phishing-a bertatik bertara ezagutzen laguntzeko diseinatutako eraso faltsuak dira, eragin negatiborik gabe.
Orain phishing kanpaina arrakastatsua egiteko eman behar dituzun urratsak partekatuko ditugu.
Phishing-ak segurtasun mehatxu nagusia izaten jarraitzen du WIPROren 2020ko zibersegurtasunaren egoeraren txostenaren arabera.
Datuak biltzeko eta langileak hezteko modurik onenetako bat barne phishing kanpaina bat egitea da.
Nahikoa erraza izan daiteke phishing-mezu elektroniko bat sortzea phishing plataforma batekin, baina bidaltzea sakatzea baino askoz gehiago dago.
Barne komunikazioekin phishing probak nola kudeatu aztertuko dugu.
Ondoren, biltzen dituzun datuak nola aztertzen eta erabiltzen dituzun aztertuko dugu.
Phishing kanpaina bat ez da jendea zigortzea iruzur batean erortzen bada. Phishing-en simulazioa langileei phishing-mezuei erantzuten irakastea da. Zure enpresan phishing prestakuntza egiteari buruz gardena izaten ari zarela ziurtatu nahi duzu. Lehenetsi enpresa-buruei zure phishing-kanpainari buruz informatzea eta deskribatu kanpainaren helburuak.
Zure oinarrizko phishing-eko posta elektronikoaren lehen proba bidali ondoren, enpresa osorako iragarpena egin diezaiekezu langile guztiei.
Barne komunikazioaren alderdi garrantzitsu bat mezua koherentea mantentzea da. Zure phishing probak egiten ari bazara, ideia ona da zure prestakuntza-materialerako marka osatutako bat sortzea.
Zure programari izena emateak, langileei sarrera-ontzian zure hezkuntza-edukia ezagutzen lagunduko die.
Kudeatutako phishing proba-zerbitzu bat erabiltzen ari bazara, ziurrenik hau estalita izango dute. Hezkuntza-edukiak aldez aurretik ekoiztu behar dira, kanpainaren ostean berehalako jarraipena izan dezazun.
Eman zure langileei zure barneko phishing posta elektronikoko protokoloari buruzko argibideak eta informazioa oinarrizko probaren ondoren.
Zure lankideei prestakuntzari zuzen erantzuteko aukera eman nahi diezu.
Posta elektronikoa behar bezala antzematen eta salatzen duen jende kopurua ikustea informazio garrantzitsua da phishing-en probatik ateratzeko.
Zein izan behar da zure lehentasuna zure kanpainarako?
Engagement.
Saia zaitezke zure emaitzak arrakasta eta porrot kopuruan oinarritzen, baina zenbaki horiek ez zaituzte zertan zure helburuan laguntzen.
Phishing probaren simulazio bat exekutatzen baduzu eta inork ez badu estekan klik egiten, horrek esan nahi al du zure proba arrakastatsua izan dela?
Erantzun laburra "ez" da.
%100eko arrakasta-tasa izatea ez da arrakasta gisa itzultzen.
Zure phishing-aren proba errazegia antzematea esan dezake.
Bestalde, zure phishing probarekin porrot-tasa izugarria lortzen baduzu, guztiz bestelakoa izan daiteke.
Zure langileek oraindik phishing-erasoak antzeman ezin dituztela esan lezake.
Zure kanpainarako klik-tasa handia lortzen duzunean, aukera ona dago phishing-mezuen zailtasuna murriztu behar duzula.
Hartu denbora gehiago jendea bere egungo mailan trebatzeko.
Azken finean, phishing-en esteken klik tasa murriztu nahi duzu.
Agian galdetzen ari zara zer den klik tasa ona edo txarra phishing simulazio batekin.
sans.org-en arabera, zure lehen phishing-en simulazioak batez besteko klik-tasa % 25-30ekoa izan dezake.
Oso kopuru altua dirudi.
Zorionez, horren berri eman zuten 9-18 hilabeteko phishing prestakuntzaren ondoren, phishing proba baten klik tasa zen %5etik behera.
Zenbaki hauek phishing prestakuntzatik nahi dituzun emaitzen gutxi gorabeherako estimazio gisa lagun dezakete.
Zure lehen phishing posta elektronikoaren simulazioa hasteko, ziurtatu proba-tresnaren IP helbidea zerrenda zuria duzula.
Horrek ziurtatzen du langileek posta elektronikoa jasoko dutela.
Zure lehen simulatutako phishing-mezu elektronikoa lantzen duzunean, ez egin errazegi edo gogorregi.
Zure publikoa ere gogoratu beharko zenuke.
Zure lankideak sare sozialen erabiltzaile handiak ez badira, ziurrenik ez litzateke ideia ona izango LinkedIn pasahitz faltsu bat berrezartzeko phishing posta elektronikoa erabiltzea. Tester mezu elektronikoak nahikoa erakargarritasun zabala izan behar du zure konpainiako guztiek klik egiteko arrazoia izan dezaten.
Erakargarritasun handia duten phishing-mezuen adibide batzuk hauek izan daitezke:
Gogoratu zure entzuleek mezua nola hartuko duten psikologia bidaltzeko sakatu aurretik.
Jarraitu phishing prestakuntza-mezuak bidaltzen zure langileei. Ziurtatu pixkanaka zailtasuna handitzen ari zarela jendearen trebetasun maila handitzeko.
Hilero mezu elektronikoak bidaltzea gomendatzen da. Zure erakundea maiz "phishing" baduzu, baliteke azkarregi harrapatzea.
Zure langileak apur bat arretaz harrapatzea emaitza errealagoak lortzeko modurik onena da.
Aldi bakoitzean "phishing" mezu elektroniko mota berdinak bidaltzen badituzu, ez diezu zure langileei iruzur ezberdinei nola erreakzionatu irakatsiko.
Hainbat angelu probatu ditzakezu, besteak beste:
Kanpaina berriak bidaltzen dituzun heinean, ziurtatu beti zure entzuleentzako mezuaren garrantzia hobetzen ari zarela.
Interesgarria den zerbaitekin zerikusirik ez duen phishing-mezu bat bidaltzen baduzu, baliteke kanpainaren erantzun handirik ez jasotzea.
Zure langileei kanpaina desberdinak bidali ondoren, freskatu lehen aldiz jendea engainatu zuten kanpaina zahar batzuk eta egin buelta berri bat kanpaina horri.
Zure prestakuntzaren eraginkortasuna adierazi ahal izango duzu jendea ikasten eta hobetzen ari dela ikusten baduzu.
Hortik aurrera, phishing-mezu mota jakin bat antzemateko hezkuntza gehiago behar duten jakin ahal izango duzu.
3 faktore daude zure phishing prestakuntza-programa propioa sortuko duzun edo programa azpikontratatuko duzun zehazteko.
Segurtasun ingeniaria bazara edo zure enpresan baduzu, erraz sortu dezakezu phishing zerbitzari bat aurrez dagoen phishing plataforma bat erabiliz zure kanpainak sortzeko.
Segurtasun ingeniaririk ez baduzu, baliteke zure phishing-programa sortzea ezinbestekoa izatea.
Baliteke segurtasun-ingeniari bat izatea zure erakundean, baina baliteke gizarte-ingeniaritza edo phishing-probetan esperientziarik ez izatea.
Esperientzia duen norbait badaukazu, orduan nahikoa fidagarria izango litzateke bere phishing programa sortzeko.
Hau oso faktore handia da enpresa txiki eta ertainentzat.
Zure taldea txikia bada, baliteke segurtasun-taldeari beste zeregin bat gehitzea komenigarria ez izatea.
Askoz erosoagoa da esperientziadun beste talde batek zure ordez lana egitea.
Gida hau guztia aztertu duzu zure langileak nola presta ditzakezun jakiteko eta prest zaude zure erakundea phishing prestakuntzaren bidez babesten hasteko.
Orain zer?
Segurtasun ingeniaria bazara eta zure lehen phishing kanpainak egiten hasi nahi baduzu, joan hona gaur hasteko erabil dezakezun phishing-a simulatzeko tresna bati buruz gehiago jakiteko.
Edo ...
Zuretzat phishing kanpainak egiteko kudeatutako zerbitzuak ezagutzeko interesa baduzu, Lortu informazio gehiago hementxe bertan phishing prestakuntzaren doako proba nola hasi dezakezun.
Erabili kontrol-zerrenda ezohiko mezu elektronikoak identifikatzeko eta phishing badaude, salatu.
Babestu dezaketen phishing-iragazkiak badaude ere, ez da %100ean.
Phishing mezu elektronikoak etengabe eboluzionatzen ari dira eta inoiz ez dira berdinak.
to babestu zure enpresa parte hartu dezakezun phishing-erasoetatik phishing simulazioak phishing-eraso arrakastatsuak izateko aukerak murrizteko.
Espero dugu gida honetatik nahikoa ikasi izana zure negozioaren aurkako phishing-eraso bat izateko aukerak murrizteko zer egin behar duzun jakiteko.
Mesedez, utzi iruzkin bat gurekin galderarik baduzu edo phishing kanpainen inguruko ezagutza edo esperientziaren bat partekatu nahi baduzu.
Ez ahaztu gida hau partekatzea eta zabaltzea!
Hailbytes
9511 Queens Guard Ct.
Laurel, MD 20723
Telefonoa:: (732) 771-9995
Posta elektronikoa: info@hailbytes.com
