Τι είναι το phishing (ηλεκτρονικό ψάρεμα); Επτά συμβουλές για να αποφύγετε phishing επιθέσεις

Ένα παράδειγμα μιας σύγχρονης, εξελιγμένης επίθεσης phishing είναι η χρήση τυπογραφικών ονομάτων τομέα. Αν και αυτό ακούγεται πολύ τεχνικό, είναι στην πραγματικότητα αρκετά απλό. Οι εγκληματίες δημιούργησαν έναν ιστότοπο προσποιούμενοι την Adobe, αλλά η διεύθυνση ιστού τους χρησιμοποιεί τον λατινικό χαρακτήρα “ḅ” αντί του κανονικού “b”, οπότε λάβατε “adoḅe.com” – σημειώστε την τελεία κάτω από το b.

Από εκεί, ο εισβολέας μπορεί το “adoḅe.com” να το κάνειιστότοπο HTTPS και να δημιουργήσει πολλούς άλλους δευτερεύοντες ιστότοπους. Ένας τέτοιος ιστότοπος όπως το “get.adoḅe.com” θα μπορούσε να δημιουργηθεί και να αποσταλεί μέσω email για να στοχεύσει λογαριασμούς ως σύνδεσμος. Και φυσικά, οι υπερσύνδεσμοι έχουν μια υπογράμμιση που καλύπτει τον ψευδή χαρακτήρα, που σημαίνει ότι ο σύνδεσμος φαινόταν 100% νόμιμος. Σύμφωνα με το παρακάτω παράδειγμα, η κουκίδα κάτω από το “b” δεν είναι ορατή επειδή η υπογράμμιση υπερσύνδεσης την έχει καλύψει:

Αυτό είναι μόνο ένα παράδειγμα αλλά υπάρχουν πολλοί τρόποι με τους οποίους μπορούν να συμβούν επιθέσεις phishing. Ωστόσο, υπάρχουν πρακτικά βήματα για την αποτροπή των επιθέσεων phishing και την μείωση του κινδύνου:

1. Εκπαιδεύστε τους υπαλλήλους σας για το πώς μπορούν να αναγνωρίζουν κακόβουλα email ώστε να ξέρουν πως να τα αντιμετωπίζουν. Οργανώστε προσομοιωμένες καμπάνιες phishing και δοκιμές διείσδυσης κατά του phishing.
2. Βεβαιωθείτε ότι οι εργαζόμενοι σας χρησιμοποιούν ισχυρούς, μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς εργασίας τους και επικοινωνήστε ότι οι κωδικοί πρόσβασης για εταιρικούς λογαριασμούς θα πρέπει να διαφέρουν από τους προσωπικούς τους email λογαριασμούς.
3. Χρησιμοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για να μειώσετε τον κίνδυνο μη εξουσιοδοτημένης εξαγοράς λογαριασμού.
4. Εκπαιδεύστε τους υπαλλήλους σας σχετικά με τους κινδύνους της κοινωνικής μηχανικής. Ενθαρρύνετε τους να μην δημοσιεύουν εργασιακές πληροφορίες σε δημόσιες πλατφόρμες μέσων κοινωνικής δικτύωσης που θα μπορούσαν να χρησιμοποιηθούν για την αναγνώριση του εργοδότη τους, της θέσης και των ευθυνών τους κ.λπ., και με αυτόν τον τρόπο να χρησιμοποιηθούν για στοχευμένη επίθεση phishing.
5. Εγκαταστήστε μια ασφαλή πύλη ηλεκτρονικού ταχυδρομείου κατά των ανεπιθύμητων μηνυμάτων, κατά του κακόβουλου λογισμικού και φιλτράρισμα βάσει πολιτικών. Αυτό θα μπορούσε επίσης να περιλαμβάνει SPF (Πλαίσιο πολιτικής αποστολέα), DMARC (Έλεγχος ταυτότητας μηνυμάτων βάσει τομέα, αναφορά και συμμόρφωση) και DKIM (Αλληλογραφία αναγνωρισμένων κλειδιών τομέα), καθώς και εντοπισμός ανωμαλιών για εισερχόμενα και εξερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου.
6. Εάν έχετε οποιαδήποτε αμφιβολία σχετικά με μήνυμα ηλεκτρονικού ταχυδρομείου ή έχετε κάποια υποψία σχετικά με ένα σύνδεσμο, αναφέρετε το αμέσως στην ομάδα ασφαλείας. Διότι μπορούν να ελέγξουν το μήνυμα ηλεκτρονικού ταχυδρομείου καθώς και να ανοίξουν ύποπτους συνδεσμούς ή ιστότοπους σε λειτουργία sandbox. Στη συνέχεια θα σας ενημερώσουν εάν το email είναι ασφαλές.
7. Ελέγξτε τα μέτρα μείωσης phishing και βεβαιωθείτε ότι οι ενημερώσεις του συστήματος πραγματοποιούνται συστηματικά.

Το phishing (ηλεκτρονικό ψάρεμα) μπορεί να πραγματοποιηθεί μέσω email, μήνυμα προς κινητό, μέσω κοινωνικής δικτύωσης ή και μέσω τηλεφώνου. Καθώς οι επιθέσεις phishing γίνονται όλο και πιο περίπλοκες και είναι δύσκολο να εντοπιστούν, είναι σημαντικό να παραμείνετε προσεκτικοί και να ενημερώνεστε για την αποτροπή τους. Η ομάδα μας στην Ebury είναι εδώ για να βοηθήσει τους πελάτες μας να υιοθετήσουν τις βέλτιστες πρακτικές για την προστασία των ευαίσθητων πληροφοριών τους.

📩 Εάν χρειάζεστε οποιαδήποτε συμβουλή για θέματα που σχετίζονται με απάτη, επικοινωνήστε μαζί μας στο [email protected].