Sono un phisher residente di White Ops. Come membro del team di InfoSecurity, il mio lavoro è assicurarmi che tutto ciò che facciamo sia sicuro e libero dai criminali informatici in modo che possiamo combattere per te. Per fare questo, distribuisco falsi tentativi di phishing sugli umani di White Ops, per non vergognarli quando fanno clic su un link (anche se a volte si allontanano dalla frustrazione), ma per mostrare quanto realistico—umano, anche—un tentativo di phishing può apparire. Mentre dobbiamo rimanere particolarmente vigili data la nostra linea di lavoro, phishing può colpire chiunque. Il phishing è un attacco di ingegneria sociale a basso rischio e ad alta ricompensa che utilizza la comunicazione elettronica per sfruttare un utente finale per fornire informazioni personali o fare clic su link dannosi.
Senza la corretta alfabetizzazione su come individuare i tentativi di phishing, puoi aprirti a tutti i tipi di malware e comportamenti fraudolenti. Soprattutto perché il phishing ha percorso una lunga strada dalle famigerate truffe principe straniero. I criminali informatici hanno evoluto le loro tattiche rendendo ancora più difficile catturare un phish.
Esistono diversi tipi di phishing?
Il phishing non è solo un tipo di attacco, è una categoria di attacchi. Esistono attacchi di spear phishing, smishing, vishing e caccia alle balene:
Lo spear phishing è un phish mirato di solito rivolto a un utente o un’organizzazione specifica. Per fare ciò, i truffatori utilizzano le informazioni personali che sono rilevabili online per contattarti. Queste informazioni possono essere trovate su aree di Internet liberamente disponibili, ad esempio sui social media. Questi in genere assumono la forma di e-mail, come Figura 1. Si può vedere che l’e-mail è vago e urgente per invogliare qualcuno a fare clic.
Figura 1: Esempio di un email spear phishing
Smishing è un phish SMS che di solito ti chiede di fare qualcosa, come fornire una sorta di informazioni personali o fare clic su un link. Questo phish è particolarmente ingannevole perché le persone sono più propensi a fidarsi di un messaggio di testo vs una e-mail. In Figura 2, si può vedere come innocuo di un testo possono essere. Di solito un attacco smishing avrà una richiesta molto ampia per farti scaricare un’app dannosa o andare su un sito Web falso in cui devi inserire i dati PII (informazioni personali identificabili).
Figura 2: Un esempio di smishing
Vishing è un phish che si svolge al telefono in cui i truffatori ti chiedono di fornire una sorta di informazioni personali. L’ondata di tecnologia VOIP ha reso più facile per gli avversari di spoof ID chiamante. Vediamo questo attacco accadere molto in cui i truffatori fingono di essere l’IRS dicendo che devi loro soldi o andrai in prigione. Lo fanno per ottenere i numeri di previdenza sociale o uno qualsiasi dei tuoi dati PII.
La caccia alle balene è un tipo di attacco di spear phishing più focalizzato su obiettivi di alto profilo. Con altri tipi di phishing, l’obiettivo è un gruppo di persone – non si tratta di ogni individuo. La caccia alle balene raddoppia su persone specifiche e le prende di mira. Si chiama caccia alle balene perché cercano obiettivi più grandi come dirigenti di alto livello. In genere, i truffatori fingeranno di essere un dirigente di livello superiore per convincere le persone a divulgare informazioni aziendali sensibili. Ad esempio, prenderanno di mira un VP fingendo di essere il CEO. Figura 3 mostra un tentativo di caccia alle balene diretto a un dipendente Ops bianchi. Il phish usa l’urgenza sia nella lingua che nel fatto che sembri provenire dal CEO di White Ops & Co-fondatore, Tamer Hassan. Ulteriori caratteristiche includono la grammatica traballante, lettere vaganti, e la capitalizzazione non corretta di ” iPhone.”Questo è un phish abbastanza ovvio per noi dal momento che Tamer non chiederebbe alle persone di fare “commissioni” per lui.
Figura 3: Esempio tentativo di caccia alle balene un dipendente Ops bianco ricevuto.
A cosa devo prestare attenzione?
Per fortuna, una volta che si impara le caratteristiche dei tentativi di phishing diventano più facili da individuare e segnalare. Ci sono diversi elementi che dovresti controllare prima di fare clic su qualsiasi link:
- Indirizzi e-mail sospetti: Se si stesse ricevendo una e-mail da Linkedin ci si aspetta che provenga da un linkedin.com dominio non [email protected]. Controlla sempre l’e-mail” rispondi a ” per trovare i mittenti falsificati.
- Link sospetti nell’e-mail / SMS: è possibile determinare la legittimità del link passando sopra di esso prima di fare clic. Quando si analizza l’URL, verificare che inizi con un https: / / non http://. Puoi anche controllare il certificato del sito per vedere a chi è stato rilasciato. Un link fraudolento di solito assomiglia a XYZ
- Errori grammaticali: controlla sempre gli errori grammaticali, non solo gli errori di ortografia.
- Inutilmente urgente: i phisher amano chiederti di fare qualcosa in questo momento o altro. Che si tratti di fare clic su un link o di rispondere a un’e-mail, vogliono che tu agisca al più presto. Lo fanno per cercare di spaventare o minacciare, come la chiusura di un account o la conferma di attività.
- Saluti generici: L’e-mail può iniziare con Gentile Signore o Signora o Gentile utente, che non è il modo in cui le persone normalmente parlano tra loro durante la scrittura di e-mail. Di solito non è personalizzato a meno che non si tratti di spear phishing.
- Offerte troppo belle per essere vere: perché lo sono! Non rispondere o fare clic su alcun link in queste e-mail.
Come posso proteggermi?
È possibile essere proattivi nel proteggere le informazioni dagli attacchi di phishing.
- Tieni d’occhio le notizie: nuove forme di phishing si evolvono ogni giorno e gli attacchi principali saranno solitamente coperti. Se si sa cosa guardare fuori per esso può essere più facile individuare questi tipi di attacchi. Se non sei sicuro che qualcosa sia un phish, copia un pezzo di testo dal corpo dell’e-mail e incollalo in una ricerca per vedere se si tratta di un’e-mail di phishing nota.
- Aggiorna regolarmente il tuo sistema operativo: gli aggressori cercano di sfruttare le vulnerabilità note nei sistemi, quindi è nel tuo interesse rimanere aggiornati sugli ultimi aggiornamenti di sicurezza su tutti i tuoi dispositivi. La soluzione migliore è abilitare gli aggiornamenti automatici su tutti i tuoi dispositivi per assicurarti di essere sul sistema operativo più recente e più grande. Inoltre, assicurarsi che il browser di scelta aggiorna automaticamente pure.
- Non aprire allegati o link: questo è particolarmente importante quando si riceve un’e-mail da un mittente sconosciuto. Se non si conosce il mittente, non aprire l’allegato. Gli esempi possono includere allegati PDF.Excel, Word o Powerpoint. Inoltre, assicurati di passare il mouse sopra il link e determinare la legittimità del link prima di fare clic.
- Abilita firewall: attiva il firewall sul dispositivo e sulla rete per assicurarti di filtrare gli aggressori esterni.
- Evitare di rispondere a chiamate sconosciute: è buona norma non rispondere a una chiamata da un ID chiamante sconosciuto. Non dare mai informazioni personali al telefono, soprattutto se suonano irrealisticamente urgente.
- Eseguire regolarmente il backup dei dispositivi: nel caso in cui il dispositivo sia compromesso, è buona norma ripristinare da un buon backup noto.
- Contatta il mittente reale: se hai ricevuto un’e-mail sospetta da un caro amico, parente o azienda, contatta loro per vedere se il messaggio era destinato a essere inviato. Potresti fare loro un favore mostrando come potrebbero essere potenzialmente compromessi.
Sono caduto per un phish, cosa faccio ora?
Niente panico! Se ritieni che le tue credenziali siano state compromesse, avvisa la tua leadership o il team di sicurezza il prima possibile, quindi vai ai siti su cui utilizzi queste credenziali e modificale. Inoltre, abilita 2FA (autenticazione a due fattori) se non l’hai già fatto. Utilizzare un gestore di password e assicurarsi di avere password univoche su ogni sito che si utilizza, e abilitare 2FA su qualsiasi sito che lo offre Si dovrebbe anche controllare tutti i tuoi account online per vedere se c’è qualche attività insolita ad essi associati.
Se queste credenziali vengono utilizzate per un istituto finanziario, le contatterei immediatamente e spiegherò la situazione. Considera il congelamento del tuo credito se sei preoccupato che l’attacco possa aver portato all’accesso alle tue informazioni sulla sicurezza sociale. Usalo come opportunità di apprendimento e insegna a familiari e amici cosa cercare in modo che non cadano per lo stesso attacco. Se si fa clic su un collegamento e si ritiene che il dispositivo è stato infettato da malware, ripristinare da un buon backup noto o ripristino di fabbrica del dispositivo.
Anche quando qualcuno fa del suo meglio per essere sicuro online, può ancora essere catturato in una rete di phish (gioco di parole). Finché segui questi passaggi, starai meglio la prossima volta che un truffatore cerca di scherzare con te.