Ich bin der ansässige Phisher von White Ops. Als Mitglied des InfoSecurity-Teams ist es meine Aufgabe, sicherzustellen, dass alles, was wir tun, sicher und frei von Cyberkriminellen ist, damit wir für Sie kämpfen können. Zu diesem Zweck setze ich gefälschte Phishing-Versuche bei den eigenen Menschen von White Ops ein, um sie nicht zu beschämen, wenn sie auf einen Link klicken (obwohl sie sich manchmal aus Frustration herausstellen), sondern um zu zeigen, wie realistisch — sogar menschlich — ein Phishing-Versuch aussehen kann. Während wir angesichts unserer Arbeit besonders wachsam bleiben müssen, kann Phishing jeden ansprechen. Phishing ist ein Social-Engineering-Angriff mit geringem Risiko und hoher Belohnung, bei dem elektronische Kommunikation verwendet wird, um einen Endbenutzer dazu zu bringen, persönliche Informationen bereitzustellen oder auf schädliche Links zu klicken.
Ohne die richtigen Kenntnisse über das Erkennen von Phishing-Versuchen können Sie sich allen Arten von Malware und betrügerischem Verhalten öffnen. Zumal Phishing einen langen Weg von den berüchtigten Fremdwährungsbetrügern zurückgelegt hat. Cyberkriminelle haben ihre Taktik weiterentwickelt, um es noch schwieriger zu machen, einen Phish zu fangen.
Gibt es verschiedene Arten von Phishing?
Phishing ist nicht nur eine Art von Angriff, sondern eine Kategorie von Angriffen. Es gibt Spear-Phishing-, Smishing-, Vishing- und Walfang-Angriffe:
Spear-Phishing ist ein gezielter Phish, der sich normalerweise an einen bestimmten Benutzer oder eine bestimmte Organisation richtet. Um dies zu tun, verwenden Betrüger persönliche Informationen, die online auffindbar sind, um Sie zu kontaktieren. Diese Informationen finden Sie in Bereichen des Internets, die frei verfügbar sind, z. B. in sozialen Medien. Diese nehmen in der Regel die Form von E-Mails, wie Abbildung 1. Sie können sehen, dass die E-Mail vage und dringend ist, um jemanden zum Klicken zu verleiten.
Abbildung 1: Beispiel einer Spear-Phishing-E-Mail
Smishing ist ein SMS-Phish, der Sie normalerweise auffordert, etwas zu tun, z. B. persönliche Informationen anzugeben oder auf einen Link zu klicken. Dieser Phish ist besonders trügerisch, weil die Menschen eher eine Textnachricht vs eine E-Mail vertrauen. In Abbildung 2 können Sie sehen, wie harmlos ein Text sein kann. Normalerweise hat ein Smishing-Angriff eine sehr breite Anfrage, ob Sie eine bösartige App herunterladen oder auf eine gefälschte Website gehen sollen, auf der Sie PII-Daten (Personal Identifiable Information) eingeben müssen.
Abbildung 2: Ein Beispiel für Smishing
Vishing ist ein Phish, der über das Telefon stattfindet, wo die Betrüger Sie bitten, irgendeine Art von persönlichen Informationen zur Verfügung zu stellen. Der Anstieg der VOIP-Technologie hat es für Gegner einfacher gemacht, Anrufer-IDs zu fälschen. Wir sehen, dass dieser Angriff viel passiert, wo Betrüger vorgeben, die IRS zu sein, die sagen, dass Sie ihnen Geld schulden, oder Sie werden ins Gefängnis gehen. Sie tun dies, um Sozialversicherungsnummern oder irgendwelche Ihrer PII-Daten zu erhalten.
Walfang ist eine Art Spear-Phishing-Angriff, der sich mehr auf hochkarätige Ziele konzentriert. Bei anderen Arten von Phishing ist das Ziel eine Gruppe von Personen – es geht nicht um jeden Einzelnen. Der Walfang verdoppelt sich auf bestimmte Personen und zielt auf sie ab. Es heißt Walfang, weil sie nach größeren Zielen wie hochrangigen Führungskräften suchen. In der Regel tun die Betrüger so, als wären sie eine übergeordnete Führungskraft, um die Leute dazu zu bringen, vertrauliche Unternehmensinformationen preiszugeben. Zum Beispiel zielen sie auf einen VP ab, indem sie vorgeben, der CEO zu sein. Abbildung 3 zeigt einen Walfangversuch an einem White Ops Mitarbeiter gerichtet. Der Phish verwendet Dringlichkeit sowohl in der Sprache als auch, indem er von White Ops CEO & Mitbegründer Tamer Hassan zu sein scheint. Zusätzliche Kennzeichen sind die wackelige Grammatik, streunende Buchstaben, und falsche Großschreibung von „iPhone.“ Dies ist ein ziemlich offensichtlicher Phish für uns, da Tamer die Leute nicht bitten würde, „Besorgungen“ für ihn zu machen.
Abbildung 3: Beispiel Walfang Versuch ein White Ops Mitarbeiter erhalten.
Worauf muss ich achten?
Zum Glück, sobald Sie die Kennzeichen von Phishing-Versuchen lernen, werden sie leichter zu erkennen und zu melden. Es gibt mehrere Elemente, die Sie überprüfen sollten, bevor Sie auf Links klicken:
- Verdächtige E-Mail-Adressen: Wenn Sie eine E-Mail von Linkedin erhalten würden, würden Sie erwarten, dass sie von einem linkedin.com domain nicht [email protected] . Überprüfen Sie immer die E-Mail „Antworten auf“, um gefälschte Absender zu finden.
- Verdächtige Links in der E-Mail/SMS: Sie können die Legitimität des Links feststellen, indem Sie den Mauszeiger darüber bewegen, bevor Sie darauf klicken. Überprüfen Sie bei der Analyse der URL, ob sie mit https:// und nicht mit http:// beginnt. Sie können auch das Zertifikat der Site überprüfen, um zu sehen, an wen es ausgestellt wurde. Ein betrügerischer Link sieht normalerweise so aus: XYZ
- Grammatikfehler: Überprüfen Sie immer auf Grammatikfehler, nicht nur auf Rechtschreibfehler.
- Unnötig dringend: Phisher lieben es, Sie zu bitten, jetzt oder sonst etwas zu tun. Egal, ob Sie auf einen Link klicken oder auf eine E-Mail antworten, Sie möchten, dass Sie so schnell wie möglich handeln. Sie tun dies, um zu versuchen, Sie zu erschrecken oder zu bedrohen, z. B. ein Konto zu schließen oder Aktivitäten zu bestätigen.
- Generische Grüße: Die E-Mail kann mit Sehr geehrter Herr oder Frau oder Sehr geehrter Benutzer beginnen, was normalerweise nicht der Fall ist, wenn Leute beim Schreiben von E-Mails miteinander sprechen. Es ist normalerweise nicht personalisiert, es sei denn, es handelt sich um Spear-Phishing.
- Angebote, die zu gut sind, um wahr zu sein: Weil sie es sind! Antworten Sie nicht und klicken Sie nicht auf Links in diesen E-Mails.
Wie kann ich mich schützen?
Es ist möglich, Ihre Daten proaktiv vor Phishing-Angriffen zu schützen.
- Halten Sie ein Auge auf die Nachrichten: Neue Formen von Phishing entwickeln sich jeden Tag und große Angriffe werden in der Regel abgedeckt werden. Wenn Sie wissen, worauf Sie achten müssen, kann es einfacher sein, diese Art von Angriffen zu erkennen. Wenn Sie nicht sicher sind, ob es sich um einen Phish handelt, kopieren Sie einen Text aus dem Textkörper der E-Mail und fügen Sie ihn in eine Suche ein, um festzustellen, ob es sich um eine bekannte Phishing-E-Mail handelt.
- Aktualisieren Sie Ihr Betriebssystem regelmäßig: Angreifer versuchen, bekannte Sicherheitslücken in Systemen auszunutzen, sodass es in Ihrem besten Interesse ist, auf allen Ihren Geräten über die neuesten Sicherheitsupdates auf dem Laufenden zu bleiben. Die beste Lösung besteht darin, automatische Updates auf allen Ihren Geräten zu aktivieren, um sicherzustellen, dass Sie das neueste und beste Betriebssystem verwenden. Stellen Sie außerdem sicher, dass Ihr Browser automatisch aktualisiert wird.
- Öffnen Sie keine Anhänge oder Links: Dies ist besonders wichtig, wenn Sie eine E-Mail von einem unbekannten Absender erhalten. Wenn Sie den Absender nicht kennen, öffnen Sie den Anhang nicht. Beispiele können PDFs, Excel-, Word- oder Powerpoint-Anhänge sein. Stellen Sie außerdem sicher, dass Sie den Mauszeiger über den Link bewegen und die Legitimität des Links bestimmen, bevor Sie klicken.
- Firewalls aktivieren: Aktivieren Sie die Firewall auf Ihrem Gerät und Netzwerk, um sicherzustellen, dass Sie Angreifer von außen herausfiltern.
- Vermeiden Sie die Beantwortung unbekannter Anrufe: Es empfiehlt sich, einen Anruf von einer unbekannten Anrufer-ID aus nicht zu beantworten. Geben Sie niemals persönliche Informationen über das Telefon als auch, vor allem, wenn sie unrealistisch dringend klingen.
- Sichern Sie Ihre Geräte regelmäßig: Falls Ihr Gerät kompromittiert ist, empfiehlt es sich, von einem bekannten guten Backup wiederherzustellen.
- Wenden Sie sich an den tatsächlichen Absender: Wenn Sie eine verdächtige E-Mail von einem engen Freund, Verwandten oder Unternehmen erhalten haben, wenden Sie sich an diesen, um zu erfahren, ob die Nachricht gesendet werden soll. Sie können ihnen einen Gefallen tun, indem Sie zeigen, wie sie möglicherweise kompromittiert werden können.
Ich bin auf einen Phish hereingefallen, was mache ich jetzt?
Keine Panik! Wenn Sie glauben, dass Ihre Anmeldeinformationen kompromittiert wurden, benachrichtigen Sie so schnell wie möglich Ihr Führungs- oder Sicherheitsteam, gehen Sie dann zu den Websites, auf denen Sie diese Anmeldeinformationen verwenden, und ändern Sie sie. Aktivieren Sie außerdem 2FA (Zwei-Faktor-Authentifizierung), falls Sie dies noch nicht getan haben. Verwenden Sie einen Passwort-Manager und stellen Sie sicher, dass Sie auf jeder von Ihnen verwendeten Site eindeutige Passwörter haben, und aktivieren Sie 2FA auf jeder Site, die es anbietet Sie sollten auch alle Ihre Online-Konten überprüfen, um festzustellen, ob ungewöhnliche Aktivitäten damit verbunden sind.
Wenn diese Anmeldeinformationen für ein Finanzinstitut verwendet werden, würde ich sie sofort kontaktieren und die Situation erklären. Erwägen Sie, Ihr Guthaben einzufrieren, wenn Sie befürchten, dass der Angriff möglicherweise zu einem Zugriff auf Ihre Sozialversicherungsinformationen geführt hat. Nutzen Sie es als Lernmöglichkeit und bringen Sie Familie und Freunden bei, worauf Sie achten müssen, damit sie nicht auf denselben Angriff hereinfallen. Wenn Sie auf einen Link klicken und glauben, dass Ihr Gerät mit Malware infiziert ist, stellen Sie das Gerät von einem bekannten guten Backup wieder her oder stellen Sie es auf die Werkseinstellungen zurück.
Selbst wenn jemand sein Bestes tut, um online sicher zu sein, kann er immer noch in einem Phish-Netz gefangen werden (Wortspiel beabsichtigt). Solange Sie diese Schritte befolgen, sind Sie besser dran, wenn ein Betrüger das nächste Mal versucht, sich mit Ihnen anzulegen.