Co to jest phishing? Ujawnienie istniejącego zagrożenia

By Jana Smitha Bez komentarza 9 minut

Myśląc o tym, „czym jest phishing”, wracamy do pasa, gdzie Gdzie jest Nemo? wypełnił nasze dzieciństwo dreszczykiem emocji i pozostał naszym ulubieńcem sprzed dziesięcioleci. Niestety phishing różni się znacznie w dziedzinie bezpieczeństwa cybernetycznego.

Co to jest phishing

Pęknięcie bańki, ataki typu phishing to próba oszustwa w celu wyłudzenia danych osobowych użytkownika, takich jak dane bankowe i informacje o koncie w mediach społecznościowych – po prostu wszystko, do czego nigdy nie chcesz, aby obcy mieli dostęp. A 83% brytyjskich firm zgłosiło, że padło ofiarą ataków phishingowych w 2022 r.

Ale nie bój się! Możesz chronić swoje dane osobowe za pomocą świadomość bezpieczeństwa cybernetycznego i zdrową dawkę sceptycyzmu. Bądź więc czujny i zastanów się dwa razy, zanim udostępnisz dane osobowe w Internecie.

Aby porozmawiać o tym wszystkim, zapnij pasy, gdy omawiamy wszystko, czym jest phishing, jego rodzaje i sposoby złagodzenia ataku phishingowego. Brać się do rzeczy!

Get FastestVPN

Czym jest phishing w prostych słowach?

Atak phishingowy to cyberprzestępstwo, w którym ofiary otrzymują wiadomość e-mail, wiadomość tekstową lub kontaktują się w innej formie. Celem jest skłonienie ofiary do podania atakującemu danych osobowych — danych karty kredytowej lub haseł identyfikacyjnych. Później informacje te są wykorzystywane do uzyskiwania dostępu do kont bez wiedzy ofiary.

Ujmijmy to w ten sposób, masz osobisty, firmowy adres e-mail i otrzymujesz e-mail organizacji z prawie wyglądającego autentycznie adresu e-mail. Prosi o zainstalowanie nowego oprogramowania do przesyłania wiadomości, a ponieważ wygląda to legalnie, instalujesz je. 

Proszę bardzo; zainstalowałeś ransomware w sieci firmowej. A Raport 2022 stwierdza, że ​​92% organizacji pada ofiarą ataków phishingowych.

Skąd pochodzą ataki phishingowe?

To firma American Online (AOL) ukuła termin phishing w latach 90. Historia przedstawia grupę czarnych kapeluszy przebranych za pracowników AOL, którzy poprosili wszystkich użytkowników AOL o login kwalifikacje.

Idąc dalej, phishing stał się dochodową działalnością cyberprzestępczą, a dziś liczba ofiar wzrosła do 3.4 mld e-maili phishingowych wysyłanych codziennie.

Jednak jest też druga strona tej historii. Kilku specjalistów twierdzi, że nazwa „phishing” pochodzi od techniki łowienia, w której hakerzy „wyławiają” poufne informacje celu z morza użytkownika.

Czy atak phishingowy jest przestępstwem? Co phishing może zrobić z twoim komputerem?

Różni się w zależności od stanu. Ogólnie rzecz biorąc, z natury nie jest to legalne; użytkownicy muszą być czujni i zachować prywatność swoich informacji. Z drugiej strony w kilku stanach obowiązują przepisy ustawowe i wykonawcze dotyczące ochrony użytkowników przed takimi atakami. Jednak te przepisy nie wspominają wyraźnie o phishingu jako nielegalnej praktyce; inne prawa mogą mieć zastosowanie do prywatności informacji. 

Confense za trzeci kwartał 3 r wspomina o phishingu, który odpowiada za 93% współczesnych cyberprzestępstw. A biorąc pod uwagę jego rosnącą skalę, różne przepisy federalne mogą skutkować sankcjami – uznając atak phishingowy za jedno z przestępstw związanych z kradzieżą tożsamości. Podstawowy zamiar, wraz z kilkoma innymi zasadami, jest istotnym czynnikiem przy kategoryzacji przestępstwa. 

Fałszywe strony internetowe, aktywnie kontrolowane platformy stworzone specjalnie do nielegalnego gromadzenia danych osobowych, podlegają tym samym przepisom dotyczącym phishingu, co legalne strony internetowe. Strony te mają na celu wprowadzenie w błąd ufnych ofiar.

Poza tym atak typu phishing może uszkodzić komputer; są do tego stworzone. Gdy podasz informacje dostępowe do konta, haker może zainfekować Twój komputer złośliwym oprogramowaniem.

Jak działa phishing?

Dowiedzmy się, jak działa phishing na tym przykładzie, w którym jesteś ofiarą tego ataku. 

Załóżmy, że otrzymujesz nieznaną wiadomość, która wydaje się pochodzić z wiarygodnego źródła lub od kogoś, kogo znasz. 

Pojawi się załącznik lub link z prośbą o pilne działanie. Wyczuwając, że po wejściu w interakcję ze złośliwym plikiem załącznika lub kliknięciu hiperłącza zostaniesz przekierowany do złośliwej lokalizacji w Internecie i proszę bardzo, staniesz się ofiarą ataku typu phishing. 

Celem jest zainfekowanie urządzenia złośliwym oprogramowaniem lub przekierowanie na stronę ze złośliwą zawartością. Te oszukańcze strony internetowe mają na celu nakłonienie Cię do ujawnienia danych osobowych, takich jak hasła, numery kont lub informacje o kartach kredytowych.

Cyberprzestępcy zbierają dane osobowe i pochodzenie swojej osoby docelowej z sieci społecznościowych. Kanały te są rutynowo wykorzystywane do znajdowania informacji o możliwych celach. Przestępca może następnie wykorzystać zdobytą wiedzę, aby fachowo stworzyć wiarygodną wiadomość e-mail typu phishing.

Jakie są 4 rodzaje phishingu?

Phishing to ogólny termin określający złośliwą działalność polegającą na nakłanianiu użytkowników do ujawnienia informacji osobistych lub finansowych, takich jak hasła, numery ubezpieczenia społecznego, OTP itp. Cel phishingu ostatecznie określa jego rodzaj. 

Oto powszechnie stosowane ataki phishingowe:

  1. Spear Phishing
  2. Atak wielorybów
  3. Miażdżący Atak 
  4. Phishing Angler

1. Wyłudzanie informacji

Spear Phishing jest skierowana do określonej grupy, a nie do dużej liczby osób. Jest to uniwersalna technika skierowana do setek lub tysięcy osób. To tak, jakby zarzucić dużą sieć rybacką w morzu i spodziewać się kilku połowów.

Natomiast spear phishing wymaga wielu przygotowań i wysłania określonej wiadomości do tej grupy lub osoby. Zwykle będzie skierowany na przykład do pracowników średniego szczebla organizacji. Spear Phishing wymaga znajomości celu w celu ustalenia znajomości. 

Mogą to być informacje, o których spodziewasz się, że wie kilka osób, lub coś związanego z Twoją organizacją. Cyberprzestępcy mogą podszywać się pod sprzedawcę i prosić o zapłatę, atakując dział finansowy.

Po ustanowieniu zaufania cyberprzestępcy mogą nawet zainstalować złośliwe oprogramowanie na twoim urządzeniu, prosząc cię o pobranie załącznika. Złośliwe oprogramowanie jest zwykle oprogramowaniem szpiegującym, które zapisuje informacje z urządzenia i może również rozprzestrzeniać się w sieci w sposób podobny do robaka. 

Może to być również oprogramowanie ransomware, które szyfruje dane na urządzeniu, uniemożliwiając dostęp do ważnych plików bez płacenia okupu.

2. Atak wielorybniczy

A Atak wielorybów koncentruje się na jednym celu wysokiego szczebla, takim jak dyrektor generalny organizacji, dyrektor finansowy lub dyrektor techniczny. Cel jest duży. Dlatego przygotowanie będzie dziesięciokrotnie większe niż w przypadku typowego ataku phishingowego. Cyberprzestępcy wykorzystają informacje zebrane za pomocą innych technik socjotechnicznych.

Zainfekowanie urządzenia pracownika wysokiego szczebla oznacza dostęp do poufnych informacji. Co więcej, może również przekazać cyberprzestępcom wystarczającą ilość informacji, aby wzmocnić ataki phishingowe na innych pracowników, takie jak żądanie pilnej zapłaty od działu finansowego przy użyciu adresu e-mail dyrektora generalnego i podanie szczegółowych informacji, które pozwalają uniknąć wykrycia.

Innym sposobem nakłonienia Cię do zainstalowania złośliwego oprogramowania jest podszywanie się pod dział IT. Cyberprzestępcy mogą odnieść sukces w ataku, sprawiając, że brzmi to jak pilna i ważna aktualizacja.

3. Miażdżący atak

Wiadomości e-mail nie są jedynym medium wykorzystywanym przez cyberprzestępców. Smishing odnosi się do phishingu za pośrednictwem wiadomości SMS. Cyberprzestępcy mogą wysłać do Ciebie SMS-a, podszywając się pod Twój bank lub usługodawcę, informując Cię, że wymagane jest określone działanie.

Może zawierać link lub możesz zostać poproszony o odpowiedź w rozmowie z informacjami.

4. Atak wędkarza

In phishing wędkarski, haker tworzy fałszywe konto — sytuacja, której prawdopodobnie doświadczyłeś jako millenials — i ukrywa swoją tożsamość, podając się za przyjaznego agenta obsługi klienta. Następnie proszą o podanie danych osobowych lub nakłaniają do kliknięcia złośliwych łączy. 

Pobranie tych linków naraziłoby Cię na ryzyko dołączenia do botnetu. Jeśli podajesz dane osobowe, pamiętaj o możliwych naruszeniach danych lub anonimowych transakcjach finansowych. Podobnie jak poprzednie próby phishingu, celem jest nakłonienie użytkownika sieci społecznościowej do ujawnienia danych osobowych w celu osiągnięcia korzyści finansowej lub uzyskania dostępu do informacji.

Co to jest Vishing?

Vishing to kolejna forma phishingu, która obejmuje połączenia. Cyberprzestępcy najczęściej podszywają się pod banki, ponieważ informacje finansowe są dla każdego przestępcy najcenniejsze. Visher może poprosić Cię o zweryfikowanie niektórych danych bankowych i powtórzenie OTP (jednorazowego kodu dostępu) wysłanego przez Twoje konto.

Jeśli Visher zdobędzie informacje uwierzytelniające dwuskładnikowe, takie jak hasło jednorazowe, może dostać się na twoje konto bankowe. OTP może również zweryfikować transakcję, którą cyberprzestępca próbuje wykonać za pośrednictwem Twojego konta.

Co to jest oszustwo seksualne? Kiedy phishing staje się bardziej agresywny

Nie zawsze możesz otrzymać pozornie uprzejmy e-mail z prośbą o informacje. Sextortion to rosnące oszustwo, które gra na strachu ofiary. Wywodzące się ze słowa wymuszenie, e-maile z sekstorcją zwykle informują użytkownika, że ​​nadawca ma kompromitujące zdjęcia lub filmy z tobą oraz że ostatnio byłeś aktywny na stronach pornograficznych.

Wiadomość e-mail zawiera informację, że zdjęcie/film zostało zrobione przez zhakowanie kamery internetowej lub aparatu telefonu za pomocą oprogramowania szpiegującego zainstalowanego na urządzeniu. Cyberprzestępca zażąda zapłaty, zwykle kryptowaluty, jeśli nie chcesz, aby zdjęcie/wideo wyciekło.

Nie martw się o to. Są to taktyki zastraszania, aby skłonić cię do zapłaty. Może nawet zawierać twoje hasło, abyś poważnie potraktował wiadomość. Jest to jednak oszustwo wykorzystujące informacje zebrane za pomocą technik socjotechnicznych lub hasła z naruszenia bezpieczeństwa danych.

Jak zapobiegać atakom typu phishing?

Oto 3 najlepsze sposoby zapobiegania atakom typu phishing:

Użyj VPN

Korzystanie z VPN to najlepszy sposób zapobiegania atakom typu phishing. Ale będziesz potrzebować czegoś więcej niż darmowej lub innej zwykłej sieci VPN. Musisz użyć premium VPN, aby uzyskać dostęp do ekskluzywnych funkcji, takich jak FastestVPN. A oto najlepsza część, w przeciwieństwie do innych najlepszych opcji, to nie kosztuje cię ręki i nogi. 

Możesz zamaskować swój adres IP i ukryć swoją pierwotną lokalizację za pomocą VPN. Dzięki temu phisherzy nie będą mogli uzyskać dostępu do twoich informacji – ponieważ twoje połączenie jest zawsze chronione!

Nie klikaj każdego otrzymanego linku

Nawet jeśli nadawcą jest ktoś, kogo znasz, zwykle nie jest dobrym pomysłem klikanie łączy w e-mailach lub wiadomościach (SMS). 

Niektóre próby phishingu są wyrafinowane, sprawiając, że docelowy adres URL wygląda jak legalna witryna internetowa, w której można rejestrować naciśnięcia klawiszy lub potajemnie gromadzić login/Informacje o karcie kredytowej. Zaleca się skorzystanie z wyszukiwarki, aby znaleźć witrynę bezpośrednio, zamiast polegać na podanym linku.

Ciągle rotujące hasła

Skonfigurowanie systemu do regularnej zmiany haseł ma kluczowe znaczenie dla osób posiadających konta internetowe. Ta procedura jest zapobiegawczym środkiem ostrożności, uniemożliwiającym atakującym uzyskanie nieautoryzowanego dostępu. Rotacja haseł dodaje warstwę bezpieczeństwa, blokując trwające próby i ograniczając potencjalnych najeźdźców, biorąc pod uwagę możliwość przechwycenia kont bez wykrycia.

Często zadawane pytania — co to jest phishing

Czy phishing kiedykolwiek zniknie?

Phishing może nie zniknąć w najbliższym czasie. Biorąc pod uwagę wzrost liczby ataków phishingowych, nie znikną one w najbliższym czasie. A ataki wcale nie były lepsze, tylko gorsze. W ubiegłym roku 84% organizacji wspomniało, że padło ofiarą ataków phishingowych – wzrost o 15% w stosunku do 2021 r.

Czy phishing jest niebezpieczny?

Tak, phishing jest niebezpieczny. Phishing to archetypowy atak socjotechniczny, który daje hakerom możliwość i zasięg atakowania setek, a nawet tysięcy osób jednocześnie.

Co to jest smishing i phishing?

Ataki Smishing najczęściej komunikują się za pośrednictwem wiadomości SMS, podczas gdy ataki phishingowe często wykorzystują pocztę elektroniczną. E-maile phishingowe zawierają niebezpieczne załączniki lub łącza, które po kliknięciu mogą zainstalować złośliwe oprogramowanie lub przenieść użytkownika na fałszywą stronę internetową.

Ostatnia uwaga

Niezależnie od tego, czy reprezentujesz organizację, czy osobę prywatną, istnieje pilna potrzeba edukacji w zakresie phishingu i różnych innych cyberprzestępstw. Phishing pochłonął wiele ofiar na przestrzeni lat.

Jeśli padłeś ofiarą oszustwa, poszukaj pomocy w jednostkach zajmujących się zapobieganiem cyberprzestępczości w swoim stanie/kraju.

Przejmij kontrolę nad swoją prywatnością już dziś! Odblokuj strony internetowe, uzyskaj dostęp do platform streamingowych i omiń monitorowanie ISP.

Get FastestVPN
Zapisz się do newslettera
Otrzymuj popularne posty tygodnia i najnowsze ogłoszenia od FastestVPN za pośrednictwem naszego biuletynu e-mailowego.
ikona

0 0 głosów
Ocena artykułu

Możesz Również jak

Co to jest atak dnia zerowego? Co to jest atak dnia zerowego?
Co to jest pobieranie Drive-by? Co to jest pobieranie Drive-by?
Jak sprawdzić, czy nie doszło do naruszenia danych Jak sprawdzić, czy nie doszło do naruszenia danych
Zapisz się!
Powiadamiaj o
gość
0 Komentarze
Informacje zwrotne w linii
Wyświetl wszystkie komentarze