Pag-atake ng spear-phishing: kung ano ang kailangan mong malaman

Kapag ang Demokratikong Pambansang Komite (DNC) Chief John Podesta ay nagpasa sa kanya ng isang email na nagsasabing ang account sa Gmail ng Podesta ay na-hack, ginawa ni Podesta kung ano ang gagawin ng karamihan sa atin: Nag-click siya sa link sa loob ng email at itinuro sa isang website kung saan sinenyasan siya. upang magpasok ng isang bagong password. Ginawa niya ito at pagkatapos ay nagpunta sa pang-araw-araw na negosyo. Sa kasamaang palad para sa Podesta, Partido Demokratiko, at kampanya ng pangulo ng Hillary Clinton, ang email na ipinadala sa Podesta ay hindi mula sa Google. Sa halip, ito ay isang pag-atake sa sibat mula sa isang pangkat ng hacking ng Russia na pinangalanang "Fancy Bear."

Kahit na hindi mo pa naririnig ang salitang "sibat-phishing, " walang alinlangang naririnig mo ang mga ganitong mga pag-atake. Marahil ay naging target mo rin sila. Ang mga pag-atake na ito ay karaniwang kumukuha ng form ng mga email ng suporta sa customer na humiling sa iyo na baguhin ang mga kredensyal o maaari silang maipadala sa pamamagitan ng pekeng mga email address sa mga negosyong humihiling ng mataas na personal na data ng customer o empleyado. Halimbawa, noong 2015, ang mga empleyado ng Ubiquiti Networks ay lumipat ng $ 46.7 milyon sa mga account sa ibang bansa sa pinakamataas na email ng mga empleyado na ipinapalagay na ipinadala ng mga executive ng Ubiquiti. Sa katotohanan, ang mga hacker ay gumawa ng mga spoof email account na nagbigay ng pagkakahawig sa aktwal na Ubiquiti executive account at linlangin ang mga empleyado.

Batay sa data mula sa isang kamakailang pag-aaral na isinasagawa ng email security company na IronScales, 77 porsyento ng mga pag-atake ang nakatuon sa laser, na target ang 10 account o mas kaunti, na may isang third ng mga pag-atake na naka-target sa isang account lamang. Ang mga pag-atake ay maikli, na may 47 porsyento na tumatagal ng mas mababa sa 24 na oras, at 65 porsyento ay tumatagal ng mas kaunti sa 30 araw. Ang mga tradisyonal na spam filter at mga tool sa proteksyon ng endpoint ay hindi nakakakuha ng mga pag-atake. Para sa bawat limang pag-atake na kinilala ng mga filter ng spam, 20 na pag-atake ang ginawa sa isang inbox ng gumagamit.

(Via ng Larawan: IronScales)

"Nakikita namin ang mga umaatake na gumugol ng mas maraming oras sa pag-aaral ng kanilang mga target kaysa sa mga nakaraang taon, na nagpapatakbo ng isang napaka-komprehensibong proseso ng reconnaissance, " sabi ni Eyal Benishti, CEO ng IronScales. "Bilang isang resulta, ang mga email sa phishing ay naging lubos na naka-target at naangkop sa target na kumpanya, dahil ang mga umaatake ay nakakalap ng impormasyon sa pamamagitan ng pag-alaala na makakatulong sa kanila ang mga email sa craft upang magmukhang lehitimong panloob na komunikasyon. Halimbawa, nakita namin ang ilang mga pag-atake na ginagamit ang lingo at mga lagda ng mga organisasyon, at ang nilalaman ay higit sa konteksto sa kung ano ang kasalukuyang tumatakbo sa loob ng kumpanya at sa pagitan ng mga maaasahang partido. "

Si Jeff Pollard, Principal Analyst sa Forrester Research, idinagdag na ang mga pag-atake na ito ay lumalaki din sa pagiging sopistikado. "Ang mga pag-atake ay nakakakuha ng mas sopistikado kapwa sa mga tuntunin ng mga pang-akit na ginamit upang makuha ang mga tao na mag-click at sa mga tuntunin ng malware na ginamit upang makakuha ng pagpasok sa mga system, " sabi ni Pollard. "Ngunit iyon ang inaasahan nating ibinigay na ang cybersecurity ay isang palaging labanan sa pagitan ng mga tagapagtanggol at mga umaatake."

Ang solusyon

Upang labanan ang mga pag-atake na ito, ang mga kumpanya ay lumiliko sa software na anti-phishing upang makita at i-flag ang mga papasok na pag-atake. Ang mga tool na anti-spam at anti-malware ay mga walang utak para sa anumang kumpanya na umaasang maprotektahan ang data ng negosyo. Ngunit ang mga kumpanya tulad ng IronScales ay tumatagal pa ng hakbang sa pamamagitan ng pagtula sa mga tool sa pag-aaral ng machine (ML) upang ma-aktibong i-scan para sa at mag-flag ng sketchy phishing emails. Bilang karagdagan, dahil pinapayagan ng ML ang mga tool na makatipon o tandaan ang data ng scam, ang software ay natututo at nagpapabuti sa bawat pag-scan.

"Ang teknolohiya ay ginagawang mas mahirap sa pag-atake upang lokohin ang tagapagtanggol na may maliit na mga pag-tweak na karaniwang pumasa sa isang solusyon na nakabase sa lagda, " sabi ni Benishti. "Sa ML, maaari naming mabilis na kumpol ng iba't ibang mga variant ng parehong pag-atake at mas epektibong labanan laban sa phishing. Sa katunayan, mula sa aming pagsusuri, ang ML ay ang pinakamahusay na paraan upang sanayin ang isang sistema upang sabihin ang pagkakaiba sa pagitan ng mga lehitimong email na nagmula sa isang pinagkakatiwalaang kasosyo o kasamahan laban sa isang hindi lehitimo. "

Ang teknolohiya ay hindi lamang pangalagaan laban sa mga form na ito ng pag-atake. Ang edukasyon at pag-iingat ay marahil ang pinakamahalagang panlaban laban sa pag-atake ng sibat. "Ang ilang mga negosyo ay may kamalayan sa mga pagbabanta, kahit na ang iba ay nagkakamali na naniniwala na ang kanilang kasalukuyang solusyon ay nagpoprotekta laban sa mga naka-target na pag-atake, " sabi ni Benishti. "Napakahalaga na maunawaan na ang paggamit ng parehong mekanismo ng pagtatanggol at inaasahan ang iba't ibang mga resulta sa mga pag-atake sa hinaharap ay hindi magagawa. Ang paggamit ng teknolohiya lamang laban sa mga advanced na pag-atake, na inilalagay ang mga tao bilang mga target, ay palaging mabibigo, tulad ng umaasa lamang sa kamalayan ng empleyado at pagsasanay … Ang mga tao at makina na nagtatrabaho nang magkasama upang isara ang puwang ng hindi kilalang pag-atake ay ang tanging paraan upang mabawasan ang peligro. "

(Via ng Larawan: IronScales)

Paano Manatiling Ligtas

Narito ang ilang mga napaka-simpleng paraan upang matiyak na ikaw at ang iyong kumpanya ay hindi makakakuha ng scammed:

• Siguraduhin na ang mga email ng kumpanya ay may label na "INTERNAL" o "EXTERNAL" sa linya ng paksa.
• Patunayan ang kahina-hinalang o peligrosong mga kahilingan sa pamamagitan ng telepono. Halimbawa, kung ang iyong CEO ay nag-email sa iyo at hiniling sa iyo na magpadala ng personal na data sa kalusugan ng isang tao, pagkatapos ay tawagan siya o magpadala ng isang mensahe ng chat upang mapatunayan ang kahilingan.
• Kung tatanungin ka ng isang kumpanya na baguhin ang iyong password, pagkatapos ay huwag gamitin ang link sa abiso ng email; dumiretso sa website ng kumpanya sa halip at baguhin ang iyong password mula doon.
• Huwag kailanman, sa ilalim ng anumang mga kalagayan, dapat mong ipadala ang iyong password, numero ng seguridad sa lipunan, o impormasyon sa credit card sa isang tao sa katawan ng isang email.
• Huwag mag-click sa mga link sa mga email na walang ibang teksto o impormasyon.

"Habang nagpapabuti ang mga panlaban, gayon din ang mga pag-atake, " sabi ni Pollard. "Sa palagay ko makakakita kami ng mas target na mga kampanya sa sibat at pagbubugbog. Makakakita rin kami ng pagtaas ng social media phishing at scamming, na isang lugar na hindi kasing mature mula sa isang paninindigan ng seguridad tulad ng seguridad ng email."

Sa kasamaang palad, kahit gaano ka maingat, ang mga pag-atake ay lalakas at maging mas matalino. Maaari mong gawin ang lahat sa iyong lakas upang turuan ang iyong sarili at ang iyong mga empleyado, maaari kang bumuo ng isang anti-phishing defense na sinusuportahan ng mga bagong teknolohiya, at maaari mong gawin ang bawat pag-iingat na posible. Ngunit, tulad ng nabanggit ni Pollard, "tumatagal lamang ito ng isang masamang araw, isang maling pag-click, o isang sinugod na gumagamit na sinusubukan na linisin ang isang inbox, upang humantong sa sakuna."