Чим відрізняються ці атаки?

Автор

Фішинг є однією з найпопулярніших і поширених форм атак соціальної інженерії.

Будучи кібератакою, яка спрямована та використовує людський інтелект, фішинг успішно атакував кілька малих і великих компаній у минулому. За даними опитування, над 80% організацій пережили принаймні одну успішну спробу фішингової атаки у 2020 році.

Крім того, а Звіт про тенденції фішингової діяльності припускає, що кількість фішингових атак значно зросла на 150% між 2019 і 2022 роками, зафіксувавши рекордну кількість атак у 4,7 мільйона у 2022 році.

Хоча фішинг — це широка категорія кібератак, до якої можна віднести інші типи фішингових атак, зокрема вішинг, фішинг електронної пошти, фішинг-клон, фішинг-клон тощо.

З них фішинг є однією з найпоширеніших і найскладніших кібератак, яка є початком або відправною точкою для більш ніж 91% кібератак.

Але чим фішинг і стрімкий фішинг відрізняються один від одного? Які ключові елементи відрізняють ці дві кібератаки та як ви можете запобігти їм свою організацію?

У цій статті ми детально зануримося у фішинг проти стрімкого фішингу та розглянемо основні функції, які відрізняють ці фішингові атаки одна від одної.

Ходімо!

Що таке фішинг?

Фішингова атака – це тип кібератаки, яка поширює шахрайство через електронні листи, націлені на випадкових осіб через різні канали та засоби, як-от текстові повідомлення (смішинг), електронні листи (фішинг електронної пошти) або телефонні дзвінки (вішинг).

Зловмисники масово надсилають фішингові електронні листи, щоб отримати конфіденційну інформацію користувачів і бізнес-подробиці, сподіваючись, що з тисячі спроб фішингу принаймні одна або кілька будуть успішними.

Сучасні фішингові зловмисники розробляють ці електронні листи та повідомлення широко й розумно, щоб вони виглядали легітимними з авторитетного джерела, наприклад компанії чи банку. Хакери випадково надсилають ці електронні листи користувачам, обманом і маніпуляціями змушують їх натискати шкідливі посилання чи документи в електронному листі або виконувати певну дію, яка викликає подальші атаки.

Під час фішингової атаки зловмисники здебільшого використовують наполегливий тон голосу, викликаючи почуття страху в одержувачів і змушуючи їх завантажувати заражені документи чи клацати зловмисними посиланнями, компрометуючи їхню особисту інформацію, як-от банківські реквізити чи облікові дані для входу.

Таким чином, як випливає з назви, фішинг відноситься до випадкових і масштабних кібератак електронної пошти, які використовують невинних користувачів або одержувачів електронної пошти для компрометації конфіденційних даних та інформації.

Однак різні кібератаки підпадають під парасольку фішингу, залежно від засобу чи тактики. Різні механізми фішингової атаки включають:

  • Смішинг: також відомий як SMS-фішинг, смішинг – це атака, яка виконується за допомогою SMS або текстових повідомлень, щоб заразити телефон або мобільний пристрій користувача зловмисним програмним забезпеченням.
  • Вішинг: Вішинг — це фішингова кібератака, яка здійснюється за допомогою телефонних дзвінків або завантажених інтернет-протоколів, як-от VoIP або голос через Інтернет-протокол.
  • Фішинг спливаючих вікон: ця атака здійснюється шляхом ініціювання термінового спливаючого вікна або повідомлень на екрані користувача у формі спливаючих вікон про безпеку його пристрою.
  • Фішинг факсу: ця фішингова атака полягає в тому, що зловмисник надсилає користувачеві фішинговий електронний лист із повідомленням про те, що він отримав факс у вкладенні електронної пошти, що зазвичай спрямовує користувачів на підроблені або підроблені веб-сайти з проханням ввести свої облікові дані для входу.
  • Фішинг банківських переказів: ця атака включає банківські перекази для здійснення шахрайських дій.

Отже, якщо це різні типи фішингових атак, давайте також розберемося, що таке фішинг і чим він відрізняється від згаданих вище.

Що таке Spear Phishing?

Фішинг — це більш досконала та витончена форма фішингової атаки, яка спрямована на конкретних чи цільових осіб, організації чи жертв, на відміну від фішингових атак, націлених на широку масу осіб.

Як правило, замість того, щоб націлюватися на групу осіб, фішингові атаки в основному націлені на конкретну компанію чи організацію, використовуючи тактику соціальної інженерії, як-от підроблені електронні листи.

Під час фішингу зловмисники часто видають себе за співробітників організації, колег або знайомих по бізнесу, щоб скомпрометувати конфіденційну інформацію організації. Тут метою може бути не просто викрадення особистої інформації людини, а й зламати сервер компанії та проникнути на нього для виконання цілеспрямованої зловмисної дії.

  Як увійти у свій обліковий запис PSN

Кіберзлочинці часто використовують методи соціальної інженерії, як-от підроблені електронні листи, надсилаючи високоперсоналізовані електронні листи жертвам, збираючи особисті дані, як-от ім’я та компанію, через їхні профілі в соціальних мережах, завдяки чому підроблені електронні листи виглядають більш справжніми, легітимними та правдоподібними.

Це допомагає кіберзлочинцям будувати довіру серед жертв, збільшуючи шанси одержувачів електронної пошти виконати бажану дію. Окрім спуфінгу електронної пошти, зловмисники можуть використовувати динамічні URL-адреси та послідовні завантаження, щоб порушити заходи безпеки компанії та здійснити фішингову атаку.

Під час фішингу кіберзлочинці часто використовують два типи атак:

  • Китобійний промисел: ця фішингова атака в основному націлена на керівників вищої ланки, які мають владу чи повноваження доступу до конфіденційної інформації компанії. Націлювання на таких осіб дозволяє зловмисникам отримати доступ до конфіденційних даних, ініціювати переказ коштів або здійснити витік даних.
  • Шахрайство з генеральним директором: у той час як китобійні атаки націлені на старших співробітників, шахрайські атаки на генеральних директорів здебільшого націлені на нижчих або молодших співробітників, видаючи себе за керівників вищого або вищого рівня, як-от генеральний директор компанії, видаючи себе за високопоставлену владу; зловмисники можуть легко переконати або змусити молодших співробітників вчиняти несанкціоновані дії. Ця атака також називається атакою Business Email Compromise (BEC).

Тепер, коли ми зрозуміли основне визначення та ідею фішингу та стрімкого фішингу, давайте розберемося докладніше, щоб зрозуміти, чим ці дві атаки відрізняються через їхні ключові чинники.

Фішинг проти Spear Phishing: короткий огляд

ФакториPhishingSpear Phishing Стиль атаки Масштабні атаки, націлені на ширшу й випадкову групу осіб. Атака на конкретну організацію чи особу за допомогою тактики соціальної інженерії. Рівень персоналізації Відбувається часто та займає менше часу. Сильно персоналізований, оскільки зловмисник проводить глибоке дослідження своєї цільової жертви, включаючи ім’я, організацію, профіль роботи тощо. Рівень терміновості Використовує переконливі та термінові формулювання, щоб змусити жертву вжити негайних дій, не замислюючись. Містить мінімальний елемент терміновості або відсутність, як воно зосереджується на тому, щоб спочатку завоювати довіру жертви, перш ніж змусити її виконати бажану дію. Основна мета: отримати доступ до конфіденційних даних жертви, таких як облікові дані для входу, і отримати доступ до них. Хоча фішинг також може намагатися отримати доступ до таких даних, як дані кредитної картки або облікові дані для входу, кінцева мета може бути набагато вищою, наприклад, отримати комерційну таємницю компанії тощо. Частота, яку банки надсилають загальні електронні листи із запитом на оновлення пароля. Зустрічається рідше, оскільки для його виконання потрібно багато часу, зусиль і досліджень. Рівень зусиль Низький, оскільки повідомлення є досить загальними та шаблонними. Високий, оскільки повідомлення складено ретельно з покращеною персоналізацією. Тональність змісту повідомлення Загальна та формальна (іноді незнайома жертві). Знайомі та персоналізовані, часто включені в привітання з іменем жертви. Приклади. Банки надсилають типові електронні листи з запитом на оновлення пароля. Високопоставлений чи старший службовець запитує банківський переказ грошей для проекту. Профілактичні заходи Фільтрування електронної пошти та базове навчання та підвищення обізнаності з кібербезпеки. Розширені брандмауери, фільтрація електронної пошти та узгоджена обізнаність про кібербезпеку з моделюванням фішингу.

Фішинг проти Spear Phishing: пояснення функцій

Хоча фішинг і фішинг можуть мати подібні характеристики, вони відрізняються один від одного з точки зору основної цілі, тактики або методології атаки, заходів безпеки, вжитих для захисту, та інших факторів.

Давайте розглянемо кожну з них окремо.

#1. Вектори атак

Стандартні фішингові атаки створюють ширшу мережу через атаки соціальної інженерії, як-от масові електронні листи, шкідливі веб-сайти чи SMS-повідомлення. Таким чином, вони часто намагаються націлитися на широку групу осіб за допомогою кількох векторів атак або тактик, намагаючись охопити велику кількість потенційних жертв.

З іншого боку, фішингові атаки набагато більш цілеспрямовані, специфічні та персоналізовані, націлені на конкретну організацію чи групу осіб. Хоча фішинг часто використовує підроблені електронні листи як вектор атаки, він також може використовувати соціальні мережі, телефонні дзвінки чи особисту взаємодію для націлювання на конкретних осіб.

#2. Обманна тактика

Фішингові атаки використовують і масово надсилають загальні та погано написані електронні листи або повідомлення, видаючи себе за законні організації чи служби. Вони використовують тактику залякування або створюють відчуття терміновості в повідомленнях, обманом змушуючи жертв надати свої конфіденційні дані, як-от облікові дані для входу чи реквізити банківського рахунку.

  Будильник-головоломка змушує вас розгадувати головоломки та перевіряти, чи ви не спите

Таким чином, зловмисники часто використовують загальні шаблони електронної пошти, щоб обдурити користувачів і використовувати тактику страху, покладаючись на зловмисні посилання, підроблені веб-сайти та вкладені файли, що викликають зловмисне програмне забезпечення, змушуючи жертв виконати бажану дію для забезпечення безпеки пристрою чи облікового запису.

У той час як фішинг покладається на загальну тактику обману, спеціальний фішинг використовує переконливу та дуже персоналізовану тактику шляхом проведення ретельного дослідження щодо своїх цільових жертв для розробки персоналізованих та правдоподібних повідомлень.

Вони містять конкретні відомості про жертву, як-от її ім’я, компанію, посаду тощо, імітуючи стиль і тон голосу законної ділової електронної пошти, що робить їх більш законними та відрізняє їх від звичайних фішингових електронних листів.

#3. Націлювання

Зловмисники атакують кількох осіб одночасно під час фішингових атак, використовуючи загальні електронні листи, таким чином маючи широкий і ширший опортуністичний фокус. Таким чином, фішингові атаки надсилають електронні листи масово замість того, щоб націлюватися на конкретних людей чи організації, сподіваючись, що принаймні кілька відсотків жертв попадуться на їхню обманну тактику.

Навпаки, фішинг використовує цілеспрямовану соціальну інженерію, а не просто удачу. Зловмисники дуже чітко, зосереджено та точно повідомляють про своїх цільових жертв і надсилають персоналізовані електронні листи вибраним особам з висоти пташиного польоту.

Вони вибирають або зосереджуються на високопоставлених керівниках або старших співробітниках, щоб піти на компроміс, щоб отримати доступ до конфіденційних бізнес-даних організації. Чим вищий рівень виконавчої влади вони націлені, тим більший потенційний вплив їх компрометації.

Таким чином, під час фішингової атаки цільова жертва може розглядатися як засіб досягнення мети, що компрометує саму цільову організацію.

#4. Цілі

Основною метою фішингових атак є збір великого обсягу конфіденційної та конфіденційної інформації шляхом націлювання на ширшу мережу осіб. Ця інформація може включати номери кредитних карток, облікові дані для входу, паролі банківських рахунків або інші особисті дані якомога більшої кількості цільових людей.

З іншого боку, мета фішингових атак є більш цілеспрямованою та може суттєво відрізнятися залежно від кінцевої мети зловмисника, тобто того, яким чином вони хочуть скомпрометувати певний бізнес чи організацію.

Цілі фішингу можуть включати доступ до певних бізнес-акаунтів, викрадання конфіденційної інформації, викрадення власних активів або даних, запуск інсайдерських кібератак всередині організації або цілеспрямоване корпоративне шпигунство.

#5. Проблеми виявлення

Організації можуть виявляти фішингові атаки за допомогою чорного списку доменів, фільтрації електронної пошти та брандмауерів, а також антивірусного програмного забезпечення.

Однак виявлення деяких фішингових електронних листів може стати складним завданням через розвиток складних атак соціальної інженерії, які маніпулюють людським інтелектом і тактиками, як-от видавання себе за авторитетних осіб, використання HTTPS на підроблених веб-сайтах, обфускація URL-адрес, фармінг тощо.

У той же час, порівняно з фішинговими атаками, виявлення фішингових атак може стати ще складнішим, оскільки вони розроблені більш індивідуально. Тому традиційні засоби безпеки, такі як брандмауери, часто не можуть їх виявити.

Таким чином, виявлення фішингу значною мірою залежить від освіти користувачів, обізнаності та гострого ока або здатності помічати ледве помітні оманливі ознаки в електронних листах.

#6. Заходи профілактики

Співробітники та організації можуть запобігти фішинговим атакам, використовуючи брандмауери, антивірусне програмне забезпечення, електронну пошту та веб-фільтрацію, регулярно оновлюючи паролі, встановлюючи патчі безпеки тощо.

Також важливо поширювати обізнаність щодо кібербезпеки та проводити навчання працівників, щоб сприяти пильності серед працівників щодо легкого розпізнавання спроб фішингу.

Запобігання фішингу передбачає багаторівневий підхід і вимагає поєднання надійних рішень безпеки електронної пошти та навчання користувачів. Це може включати застосування суворого контролю доступу, двофакторну автентифікацію (2FA), навчання та підвищення обізнаності співробітників, надійні рішення для захисту електронної пошти, які визначають підозрілі шаблони електронної пошти, і розвідку про загрози.

#7. Приклади з життя

Фальшиві та зловмисні електронні листи, які видають себе за відомі організації та банки, такі як PayPal, або профілі в соціальних мережах є поширеними прикладами того, як здійснюються фішингові атаки.

  • Система охорони здоров’я Spectrum, організація охорони здоров’я, повідомила про атаку Vishing у вересні 2020 року, коли пацієнти та члени організації отримували телефонні дзвінки від людей, які видавалися за співробітників, щоб витягти їхні особисті дані, зокрема ідентифікаційні номери учасників та інші деталі, пов’язані з їхніми обліковими записами. Зловмисники використовували погрози та лестощі, щоб чинити тиск на жертв, щоб вони передали їм потрібні дані, доступ до особистих пристроїв або гроші.
  • Ще один реальний приклад фішингової атаки – коли Tripwire повідомила про напад зловмисників у вересні 2020 року. Зловмисник надсилав SMS-повідомлення жертвам під виглядом поштового відділення США (USPS). У повідомленні жертвам було запропоновано натиснути посилання, щоб переглянути важливі відомості про їхню майбутню доставку USPS, яка спрямовувала їх на підроблені веб-сайти для викрадення облікових даних їхнього облікового запису Google.
  8 чудових інструментів для сканування шкідливих програм на веб-сайтах

Аналогічно, ось два реальні приклади фішингових кампаній.

  • Один із найвідоміших реальних інцидентів фішингової атаки – коли Google і Facebook обманним шляхом змусили заплатити 122 мільйони доларів між 2013 і 2015 роками через розширену кампанію фішингових атак BEC. Зловмисник видавав Quanta, спільного постачальника обох компаній, і надсилав електронні листи з підробленими рахунками, які Google і Facebook оплачували. Однак згодом компанії могли повернути 49,7 мільйона доларів з викраденої суми.
  • Інший приклад фішингової атаки – програш Pathe, провідної французької кіногрупи 19,2 млн євро через шахрайство генерального директораколи зловмисник надіслав кілька електронних листів, видаючи себе за генерального директора Марка Лакана, з проханням до голландського офісу перерахувати суму на чотирьох ранчо компанії Towering Stars General Trading LLC у Дубаї.

#8. Коефіцієнт успішності

Хоча відсоток успішних фішингових атак значно різниться, він порівняно нижчий, ніж фішингові атаки, оскільки вони загальні та менш цілеспрямовані.

Крім того, рівень успіху фішингової атаки в першу чергу залежить від якості та тактики омани, яка використовується в повідомленнях, обізнаності жертви про кібербезпеку та здатності виявити підроблене повідомлення.

З іншого боку, фішингові атаки мають вищий рівень успіху через їх переконливість і персоналізований характер. Одержувачі електронної пошти з більшою ймовірністю довірятимуть підробленим електронним листам і піддадуться спробам фішингу, оскільки вони виглядають більш достовірними та містять актуальну та конкретну інформацію.

Способи захисту від фішингу та фішингу

Небезпеки та потенційний вплив фішингових і фішингових атак є більшими, реальними та надзвичайно складними, коштуючи організаціям мільйони доларів.

Таким чином, необхідно вжити важливих профілактичних заходів, щоб зупинити або принаймні обмежити ризики цих фішингових атак. Ось кілька способів, за допомогою яких ви можете захистити себе та свою організацію від того, щоб стати жертвою складних фішингових і фішингових атак.

  • Зашифруйте конфіденційні дані та інформацію на вашому комп’ютері та мобільних пристроях за допомогою шифрування даних, гарантуючи, що зловмисники не зможуть отримати доступ до цих даних без правильного пароля.
  • Фальшиві фішингові електронні листи є основним засобом викрадення облікових даних для зловмисників. Тому автентифікуйте свою електронну адресу за допомогою таких методів, як налаштування SPF, DMARC і DKIM.
  • Використовуйте багатофакторну автентифікацію (MFA), щоб захистити конфіденційний доступ до бізнес-облікового запису, навіть якщо ваші облікові дані або паролі будуть скомпрометовані. MFA ще більше ускладнює зловмисникам зламати ваші облікові записи.
  • Оновлюйте та захищайте все ваше внутрішнє програмне забезпечення, програми, операційні системи та мережеві інструменти, встановлюючи найновіші виправлення безпеки, захист від зловмисного програмного забезпечення, а також антивірусне та антиспамове програмне забезпечення.
  • Навчайте своїх співробітників і розповсюджуйте інформацію про кібербезпеку про негативний вплив і наслідки фішингових атак, механізми виявлення та способи їх запобігання, а також заохочуйте дотримуватись найкращих практик, щоб зменшити ризики.
  • Проводьте регулярні навчальні програми з кібербезпеки та симуляції фішингу, щоб тримати співробітників у курсі останніх тенденцій і загроз у сфері кібербезпеки та перевіряти їхню здатність виявляти шахрайські та зловмисні листи та повідомляти про них.

Таким чином, створення організаційної культури, орієнтованої на кібербезпеку, і впровадження найкращих процедур і практик може суттєво допомогти зменшити потенційний вплив фішингових і фішингових атак.

Заключні слова

Як фішинг, так і фішингові атаки є неминучою та суворою реальністю сучасного цифрового світу. Сьогодні кіберзлочинці використовують витончену тактику для компрометації окремих осіб і організацій, що призводить до величезної фінансової та репутаційної шкоди.

Хоча обидві атаки можуть завдати шкоди довірі до організації, їх можна запобігти, залишаючись у курсі останніх тенденцій у сфері кібербезпеки та використовуючи найкращі методи безпеки — і це починається з розуміння та вивчення самих атак.

Ця стаття допоможе вам зрозуміти різницю між фішингом і фішингом, а також те, чим вони відрізняються з точки зору основної мети, цілі, впливу, рівня успіху, тактики, векторів атак і методів запобігання.

Отже, дотримуйтеся найкращих методів безпеки, згаданих вище, щоб запобігти тому, щоб ви та ваша компанія не стали жертвою зловмисних фішингових кампаній.

Далі ознайомтеся з рішеннями безпеки електронної пошти, які захистять вас від спаму, спуфінгу та фішингу.