Menu
Den Ultimate Guide Fir Phishing Am Joer 2023 ze verstoen
Also, wat ass phishing?
Phishing ass eng Form vu sozialen Ingenieuren déi d'Leit tricks fir hir Passwierder oder wäertvoll z'entdecken Informatiounen. Phishing Attacke kënnen a Form vun E-Mailen, SMSen an Telefonsuriff sinn.
Normalerweis stellen dës Attacke sech als populär Servicer a Firmen déi d'Leit einfach erkennen.
Wann d'Benotzer op e Phishing-Link am Kierper vun enger E-Mail klickt, gi se op eng Lookalike Versioun vun engem Site geschéckt, deen se vertrauen. Si gi gefrot fir hir Login Umeldungsinformatiounen op dësem Punkt am Phishing Scam. Soubal se hir Informatioun op der gefälschte Websäit aginn, huet den Ugräifer dat wat se brauchen fir op hire richtege Kont ze kommen.
Phishing-Attacke kënnen zu geklauten perséinlech Informatioun, finanziell Informatioun oder Gesondheetsinformatioun féieren. Wann den Ugräifer Zougang zu engem Kont kritt, verkafen se entweder den Zougang zum Kont oder benotzen dës Informatioun fir aner Konte vum Affer ze hacken.
Wann de Kont verkaaft ass, kaaft een, dee weess wéi ee vum Kont profitéiere kann, d'Konto-Umeldungsinformatioune vum donkele Web kafen, a kapitaliséieren op déi geklauten Donnéeën.
Hei ass eng Visualiséierung fir Iech ze hëllefen d'Schrëtt an engem Phishingattack ze verstoen:
Phishing Attacke kommen a verschiddene Formen. Phishing kann aus engem Telefonsuruff, SMS, E-Mail oder Social Media Message funktionnéieren.
Generesch Phishing-E-Maile sinn déi heefegst Aart vu Phishing-Attack. Attacke wéi dës sinn heefeg well se de mannsten Effort huelen.
Hacker huelen eng Lëscht vun E-Mail Adressen verbonne mat Paypal oder soziale Medien Konten a schécken eng bulk E-Mail Explosioun un déi potenziell Affer.
Wann d'Affer op de Link an der E-Mail klickt, hëlt se se dacks op eng gefälscht Versioun vun enger populärer Websäit a freet se sech mat hirer Kontinformatioun unzemellen. Soubal se hir Kontinformatioun ofginn, huet den Hacker dat wat se brauchen fir op hire Kont ze kommen.
An engem Sënn ass dës Zort vu Phishing wéi e Netz an eng Fëschschoul erauszegoen; wärend aner Forme vu Phishing méi geziilt Efforten sinn.
Spear phishing ass wann en Ugräifer zielt eng spezifesch Persoun anstatt eng generesch E-Mail un e Grupp vu Leit ze schécken.
Spear Phishing Attacke probéieren d'Ziel spezifesch unzegoen a sech als eng Persoun ze verkleeden déi d'Affer kennen.
Dës Attacke si méi einfach fir e Scammer wann Dir perséinlech erkennbar Informatioun um Internet hutt. Den Ugräifer ass fäeg Iech an Äert Netzwierk ze fuerschen fir e Message ze kreéieren deen relevant an iwwerzeegend ass.
Wéinst dem héije Betrag vun der Personaliséierung sinn Spear Phishing Attacke vill méi schwéier ze identifizéieren am Verglach mat normale Phishing Attacken.
Si sinn och manner heefeg, well se méi Zäit huelen fir Krimineller se erfollegräich ofzezéien.
Fro: Wat ass den Erfollegsquote vun enger Spearphishing E-Mail?
Äntwert: Spearphishing E-Mailen hunn eng Moyenne Email Open-Taux vun 70% an 50% vun den Empfänger op e Link an der E-Mail klickt.
Am Verglach mat Speer Phishing Attacke sinn Walfangattacke drastesch méi geziilt.
Walfangattacke ginn no Individuen an enger Organisatioun wéi de Chief Executive Officer oder Chief Financial Officer vun enger Firma.
Ee vun den allgemengsten Ziler vu Walfangattacken ass d'Affer ze manipuléieren fir grouss Zomme Suen un den Ugräifer ze verbannen.
Ähnlech wéi reguläre Phishing, well d'Attack a Form vun der E-Mail ass, kann d'Walfanger Firma Logoen an ähnlech Adresse benotzen fir sech ze verkleeden.
An e puer Fäll wäert den Ugräifer de CEO virstellen a benotzt dës Persona fir en aneren Employé ze iwwerzeegen fir finanziell Donnéeën opzeweisen oder Suen op den Ugräifer Kont ze transferéieren.
Well d'Mataarbechter manner wahrscheinlech eng Ufro vun engem méi héicht refuséieren, sinn dës Attacke vill méi schlëmm.
Ugräifer verbréngen dacks méi Zäit fir e Walfangattack ze bastelen, well se éischter besser bezuelen.
Den Numm "Walfangst" bezitt sech op d'Tatsaach, datt Ziler méi finanziell Muecht (CEO's) hunn.
Angler Phishing ass e relativ nei Aart vu Phishingattack an existéiert op sozialen Medien.
Si verfollegen net dat traditionellt E-Mail-Format vu Phishing-Attacke.
Amplaz verkleeden si sech als Clientsservicevertrieder vu Firmen an tricken d'Leit hinnen Informatioun duerch Direktnoriichten ze schécken.
E gemeinsame Scam ass d'Leit op eng gefälschte Clientssupport Websäit ze schécken déi Malware eroflueden oder an anere Wierder ransomware op den Apparat vum Affer.
E Vishing Attack ass wann e Scammer Iech rifft fir ze probéieren perséinlech Informatioune vun Iech ze sammelen.
Scammers maache sech normalerweis als e renomméierten Geschäft oder Organisatioun wéi Microsoft, d'IRS oder souguer Är Bank.
Si benotzen Angscht-Taktik fir Iech wichteg Kontdaten z'entdecken.
Dëst erlaabt hinnen direkt oder indirekt Zougang zu Äre wichtege Konten.
Vishing Attacke sinn komplizéiert.
Ugräifer kënnen einfach Leit imitéieren déi Dir vertraut.
Kuckt den Hailbytes Grënner David McHale schwätzt iwwer wéi d'Robocalls mat zukünfteg Technologie verschwannen.
Déi meescht Phishing-Attacke geschéien duerch E-Mailen, awer et gi Weeër fir hir Legitimitéit z'identifizéieren.
Wann Dir eng E-Mail opmaacht kontrolléiert fir ze kucken ob et aus engem ëffentlechen E-Mail Domain ass oder net (dh @gmail.com).
Wann et aus engem ëffentlechen E-Mail-Domain ass, ass et héchstwahrscheinlech e Phishing-Attack well Organisatiounen keng ëffentlech Domain benotzen.
Amplaz wieren hir Domainen eenzegaarteg zu hirem Geschäft (dh Google's E-Mail-Domain ass @google.com).
Wéi och ëmmer, et gi méi schwiereg Phishingattacken déi en eenzegaartegt Domain benotzen.
Et ass nëtzlech eng séier Sich vun der Firma ze maachen a seng Legitimitéit ze kontrolléieren.
Phishing Attacke probéieren ëmmer Iech mat enger flotter Begréissung oder Empathie ze befreien.
Zum Beispill, a mengem Spam virun net ze laanger Zäit hunn ech eng Phishing-E-Mail mat der Begréissung vum "Léife Frënd" fonnt.
Ech wousst scho datt dëst eng Phishing-E-Mail war, well an der Themazeil stoung et "GOOD NEWS IWWERT ÄR FONDSEN 21/06/2020".
Dës Aarte vu Gréiss ze gesinn sollten direkt roude Fändelen sinn wann Dir ni mat deem Kontakt interagéiert hutt.
Den Inhalt vun enger Phishing-E-Mail ass ganz wichteg, an Dir gesitt e puer ënnerschiddlech Features, déi am meeschten ausmaachen.
Wann den Inhalt absurd kléngt, dann ass et héchstwahrscheinlech e Bedruch.
Zum Beispill, wann d'Thema Linn sot: "Dir hutt d'Lotterie $ 1000000 gewonnen" an Dir hutt keng Erënnerung un d'Participatioun, dann ass dat e roude Fändel.
Wann den Inhalt e Gefill vun Dringendes erstellt wéi "et hänkt vun Iech of" an et féiert zu engem Klick op e verdächtege Link, dann ass et héchstwahrscheinlech e Scam.
Phishing E-Mailen hunn ëmmer e verdächtege Link oder Datei u sech verbonnen.
E gudde Wee fir ze kontrolléieren ob e Link e Virus huet ass VirusTotal ze benotzen, eng Websäit déi Dateien oder Links fir Malware iwwerpréift.
Beispill vu Phishing Email:
Am Beispill weist Google drop hin datt d'E-Mail potenziell geféierlech ka sinn.
Et erkennt datt säin Inhalt mat aneren ähnlechen Phishing-E-Maile passt.
Wann eng E-Mail déi meescht vun de Critèren hei uewen entsprécht, ass et recommandéiert et op reportphishing@apwg.org oder phishing-report@us-cert.gov ze mellen, sou datt se blockéiert gëtt.
Wann Dir Gmail benotzt, ass et eng Optioun fir d'E-Mail fir Phishing ze mellen.
Och wa Phishing Attacke op zoufälleg Benotzer geriicht sinn, zielen se dacks Mataarbechter vun enger Firma.
Wéi och ëmmer, Ugräifer sinn net ëmmer no de Sue vun enger Firma, mee seng Donnéeën.
Wat d'Geschäft ugeet, sinn Daten vill méi wäertvoll wéi Suen an et kann eng Firma staark beaflossen.
Ugräifer kënne geläscht Donnéeën benotze fir de Public ze beaflossen andeems d'Konsumentenvertrauen beaflossen an de Firmennumm zerstéieren.
Mä dat sinn net déi eenzeg Konsequenzen, déi dovunner entstoen.
Aner Konsequenzen enthalen negativ Auswierkungen op Investisseurvertrauen, d'Geschäft stéieren, an d'Reguléierungsstrofe ënner der General Data Protection Regulation (GDPR) opruffen.
Training Är Mataarbechter fir dëse Problem ze këmmeren ass recommandéiert fir erfollegräich Phishingattacken ze reduzéieren.
Weeër fir Mataarbechter allgemeng ze trainéieren sinn hinnen Beispiller vu Phishing-E-Mailen ze weisen an d'Weeër fir se ze gesinn.
En anere gudde Wee fir Mataarbechter Phishing ze weisen ass duerch Simulatioun.
Phishing Simulatioune si grondsätzlech gefälschte Attacken entwéckelt fir Mataarbechter ze hëllefen Phishing éischthand ze erkennen ouni negativ Auswierkungen.
Mir deelen elo d'Schrëtt déi Dir maache musst fir eng erfollegräich Phishing Kampagne ze lafen.
Phishing bleift déi Top Sécherheetsbedrohung laut dem WIPRO's State of Cybersecurity Report 2020.
Ee vun de beschte Weeër fir Daten ze sammelen an d'Mataarbechter ze educéieren ass eng intern Phishing Kampagne ze lafen.
Et kann einfach genuch sinn fir eng Phishing-E-Mail mat enger Phishing-Plattform ze kreéieren, awer et ass vill méi drun wéi d'Send ze schloen.
Mir wäerten diskutéieren wéi Phishing Tester mat interner Kommunikatioun behandelen.
Da wäerte mir iwwergoen wéi Dir d'Daten analyséiert a benotzt déi Dir sammelt.
Eng Phishing Kampagne geet net drëm Leit ze bestrofen wa se fir e Bedruch falen. Eng Phishing Simulatioun geet drëm d'Mataarbechter ze léieren wéi se op Phishing E-Mailen reagéieren. Dir wëllt sécher sinn datt Dir transparent sidd iwwer Phishing Training an Ärer Firma. Prioritéit fir Firmeleit iwwer Är Phishing Kampagne z'informéieren an d'Ziler vun der Kampagne ze beschreiwen.
Nodeems Dir Ären éischte Baseline Phishing E-Mail Test geschéckt hutt, kënnt Dir eng Firma-breet Ukënnegung un all Mataarbechter maachen.
E wichtegen Aspekt vun der interner Kommunikatioun ass de Message konsequent ze halen. Wann Dir Är eege Phishing Tester maacht, dann ass et eng gutt Iddi fir mat enger ausgeschaffter Mark fir Äert Trainingsmaterial ze kommen.
Mat engem Numm fir Äre Programm ze kommen hëlleft Mataarbechter Äre pädagogeschen Inhalt an hirer Inbox ze erkennen.
Wann Dir e verwalteten Phishing-Testservice benotzt, da wäerte se dëst wahrscheinlech ofgedeckt hunn. Edukativ Inhalter solle virdru produzéiert ginn, sou datt Dir en direkten Suivi no Ärer Kampagne hutt.
Gitt Är Mataarbechter Instruktiounen an Informatioun iwwer Ären internen Phishing E-Mail Protokoll no Ärem Baseline Test.
Dir wëllt Äre Mataarbechter d'Méiglechkeet ginn, richteg op d'Formatioun ze reagéieren.
D'Zuel vu Leit ze gesinn, déi d'E-Mail korrekt gesinn a mellen ass wichteg Informatioun fir aus dem Phishing-Test ze gewannen.
Wat soll Är Haaptprioritéit fir Är Kampagne sinn?
Engagement
Dir kënnt probéieren Är Resultater op d'Zuel vun den Erfolleger an Ausfällen ze baséieren, awer dës Zuelen hëllefen Iech net onbedéngt mat Ärem Zweck.
Wann Dir eng Phishing Test Simulatioun leeft a kee klickt op de Link, heescht dat datt Ären Test erfollegräich war?
Déi kuerz Äntwert ass "nee".
En Erfollegsquote vun 100% ze hunn iwwersetzt net als Erfolleg.
Et kann heeschen datt Äre Phishing Test einfach ze einfach war ze gesinn.
Op der anerer Säit, wann Dir en enorme Feelerrate mat Ärem Phishing Test kritt, kann et eppes ganz anescht bedeiten.
Et kéint heeschen datt Är Mataarbechter nach net fäeg sinn Phishingattacken ze gesinn.
Wann Dir en héijen Taux vu Klicks fir Är Kampagne kritt, ass et eng gutt Chance datt Dir d'Schwieregkeet vun Äre Phishing-E-Mailen erofgeet.
Huelt méi Zäit fir d'Leit op hirem aktuellen Niveau ze trainéieren.
Dir wëllt schlussendlech den Taux vu Phishing Link Klick reduzéieren.
Dir kënnt Iech froen wat e gudden oder schlechte Klickrate mat enger Phishing Simulatioun ass.
No sans.org, Är Éischt Phishing Simulatioun kann en duerchschnëttleche Klickquote vu 25-30% bréngen.
Dat schéngt wéi eng wierklech héich Zuel.
Glécklecherweis hu si dat gemellt no 9-18 Méint vun phishing Training, de Klick Taux fir e phishing Test war ënner 5%.
Dës Zuelen kënnen als rau Schätzung vun Äre gewënschte Resultater vum Phishing Training hëllefen.
Fir Är éischt Phishing E-Mail Simulatioun unzefänken, gitt sécher d'IP Adress vum Testinstrument ze Whitelist.
Dëst garantéiert datt d'Mataarbechter d'E-Mail kréien.
Wann Dir Är éischt simuléiert Phishing E-Mail erstellt, maacht et net ze einfach oder ze schwéier.
Dir sollt och Äert Publikum erënneren.
Wann Är Mataarbechter net schwéier Benotzer vu soziale Medien sinn, da wier et wahrscheinlech net eng gutt Iddi fir e gefälschte LinkedIn Passwuert zréckgesat Phishing E-Mail ze benotzen. D'Tester E-Mail muss genuch breet Appel hunn datt jiddereen an Ärer Firma e Grond hätt ze klicken.
E puer Beispiller vu Phishing-E-Maile mat breeden Appel kéinte sinn:
Erënnert just un d'Psychologie wéi de Message vun Ärem Publikum geholl gëtt ier Dir op Schécken dréckt.
Fuert weider Phishing Training E-Mailen un Är Mataarbechter ze schécken. Vergewëssert Iech datt Dir d'Schwieregkeet mat der Zäit lues eropgeet fir d'Fäegkeetsniveauen vun de Leit ze erhéijen.
Et ass recommandéiert all Mount E-Mail ze schécken. Wann Dir Är Organisatioun ze dacks "phisht", si se wahrscheinlech e bëssen ze séier op.
Är Mataarbechter ze fangen, e bëssen off-guard ass de beschte Wee fir méi realistesch Resultater ze kréien.
Wann Dir all Kéier déiselwecht Aart vu "Phishing" E-Maile schéckt, wäert Dir Är Mataarbechter net léieren wéi se op verschidde Scams reagéiere kënnen.
Dir kënnt verschidde verschidde Winkele probéieren, dorënner:
Wann Dir nei Kampagnen schéckt, gitt ëmmer sécher datt Dir d'Relevanz vum Message fir Äert Publikum finjustéiert.
Wann Dir eng Phishing-E-Mail schéckt déi net mat eppes interesséiert ass, kritt Dir vläicht net vill vun enger Äntwert vun Ärer Kampagne.
Nodeems Dir verschidde Kampagnen un Är Mataarbechter geschéckt hutt, erfrëscht e puer vun den alen Kampagnen, déi d'Leit d'éischte Kéier tricked hunn an en neie Spin op dës Kampagne maachen.
Dir wäert fäeg sinn d'Effektivitéit vun Ärem Training ze soen wann Dir gesitt datt d'Leit entweder léieren a verbesseren.
Vun do aus wäert Dir fäeg sinn ze soen ob se méi Ausbildung brauchen fir eng gewëssen Aart vu Phishing E-Mail ze gesinn.
Et ginn 3 Faktoren fir ze bestëmmen ob Dir Ären eegene Phishing Trainingsprogramm erstellt oder de Programm outsource.
Wann Dir e Sécherheetsingenieur sidd oder een an Ärer Firma hutt, kënnt Dir ganz einfach e Phishing-Server opbauen mat enger existéierender Phishing-Plattform fir Är Kampagnen ze kreéieren.
Wann Dir keng Sécherheetsingenieuren hutt, kënnt Dir Äert eegent Phishing-Programm erstellen.
Dir hutt vläicht e Sécherheetsingenieur an Ärer Organisatioun, awer si kënnen net mat sozialen Ingenieuren oder Phishing Tester erlieft ginn.
Wann Dir een hutt deen erfuerscht ass, da wiere se zouverlässeg genuch fir hiren eegene Phishing-Programm ze kreéieren.
Dëst ass e wierklech grousse Faktor fir kleng bis mëttelgrouss Firmen.
Wann Äert Team kleng ass, ass et vläicht net bequem eng aner Aufgab fir Äert Sécherheetsteam ze addéieren.
Et ass vill méi bequem fir en anert erfuerene Team d'Aarbecht fir Iech ze maachen.
Dir sidd duerch dëse ganze Guide gaang fir erauszefannen wéi Dir Är Mataarbechter trainéiere kënnt an Dir sidd prett fir Är Organisatioun duerch Phishing Training ze schützen.
Waat elo?
Wann Dir e Sécherheetsingenieur sidd a wëllt elo ufänken Är éischt Phishing Kampagnen ze lafen, gitt hei fir méi iwwer e Phishing Simulatiounsinstrument ze léieren deen Dir benotze kënnt fir haut unzefänken.
Oder ...
Wann Dir interesséiert sidd iwwer verwaltete Servicer ze léieren fir Phishing Kampagnen fir Iech ze lafen, Léiert méi hei iwwer wéi Dir Äre gratis Test vu Phishing Training kënnt starten.
Benotzt d'Checklëscht fir ongewéinlech E-Mailen z'identifizéieren a wa se phishen, da mellt se.
Och wann et Phishing Filteren dobaussen sinn, déi Iech schützen kënnen, ass et net 100%.
Phishing E-Maile entwéckelen sech permanent a sinn ni déiselwecht.
To schützen Är Firma vu Phishing-Attacke kënnt Dir matmaachen Phishing Simulatioune fir d'Chancen fir erfollegräich Phishingattacken ze reduzéieren.
Mir hoffen datt Dir genuch aus dësem Guide geléiert hutt fir erauszefannen wat Dir maache musst fir Är Chancen op e Phishingattack op Ärem Geschäft ze reduzéieren.
Gitt w.e.g. e Kommentar wann Dir Froen fir eis hutt oder wann Dir Är Wëssen oder Erfahrung mat Phishing Kampagnen deele wëllt.
Vergiesst net dëse Guide ze deelen an d'Wuert ze verbreeden!
Hagelbytes
9511 Kinniginendag Gard Ct.
Laurel, MD 20723
Telefon: (732) 771-9995
E-Mail: info@hailbytes.com
