Το phishing είναι μια ισχυρή τεχνική για να κάνετε τους ανθρώπους να αποκαλύπτουν πληροφορίες. Ο εισβολέας στέλνει ένα email που φαίνεται να προέρχεται από μια νόμιμη πηγή, όπως μια τράπεζα. Το θύμα κάνει κλικ σε αυτόν τον σύνδεσμο, επιχειρεί να συνδεθεί στον λογαριασμό του και τα στοιχεία σύνδεσής του κλέβονται.

Η επιτυχία μιας καμπάνιας phishing εξαρτάται από το πόσο ρεαλιστική είναι. Αυτό απαιτεί ένα σύνολο δεξιοτήτων που δεν έχουν πολλοί εγκληματίες στον κυβερνοχώρο και αυτό αποτελούσε σημαντικό εμπόδιο εισόδου. Αλλά το Phishing ως Υπηρεσία το αλλάζει αυτό.

Τι είναι λοιπόν το Phishing ως Υπηρεσία;

Τι είναι το Phishing ως Υπηρεσία;

Το ηλεκτρονικό ψάρεμα ως υπηρεσία (PaaS) είναι μέρος μιας τάσης όπου οι εγκληματίες του κυβερνοχώρου γίνονται πάροχοι υπηρεσιών. Αντί να πραγματοποιούν μόνοι τους κυβερνοεπιθέσεις, βοηθούν άλλους να πραγματοποιήσουν επιθέσεις έναντι αμοιβής.

Βασίζεται στο επιχειρηματικό μοντέλο Software as a Service όπου παρέχεται στους πελάτες πρόσβαση στο λογισμικό έναντι μηνιαίας χρέωσης.

instagram viewer

Αυτό παρέχει στους εγκληματίες του κυβερνοχώρου μια νέα ροή εσόδων και επιτρέπει σε οποιονδήποτε να πραγματοποιήσει περισσότερες επαγγελματικές επιθέσεις.

Πώς λειτουργεί το PaaS;

Οι πωλητές PaaS διαφημίζουν τα προϊόντα τους ως κιτ phishing. Πωλούνται κυρίως στον σκοτεινό ιστό, αλλά ορισμένα κιτ phishing είναι πλέον διαθέσιμα στον επιφανειακό ιστό (δηλαδή στο κανονικό διαδίκτυο).

Ένα κιτ phishing περιλαμβάνει όλα όσα απαιτούνται για την εκκίνηση ενός επιτυχημένη επίθεση phishing. Περιλαμβάνουν πρότυπα ηλεκτρονικού ταχυδρομείου για την αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου που φαίνεται να προέρχονται από νόμιμες εταιρείες, καθώς και πρότυπα για ιστότοπους στους οποίους στέλνονται τα θύματα. Ορισμένα κιτ phishing περιλαμβάνουν επίσης λίστες πιθανών στόχων.

Επειδή τα κιτ phishing απευθύνονται σε άτομα χωρίς τεχνικές δεξιότητες, συχνά περιλαμβάνουν επίσης λεπτομερείς οδηγίες και υποστήριξη πελατών.

Τα κιτ phishing διαφημίζονται ως προϊόντα που επιτρέπουν σε οποιονδήποτε να κερδίσει χρήματα πραγματοποιώντας επιθέσεις phishing ανεξάρτητα από το σύνολο των δεξιοτήτων του. Αυτή είναι μια δημοφιλής υπηρεσία για όσους θέλουν να εμπλακούν στο έγκλημα στον κυβερνοχώρο αλλά δεν έχουν τις απαραίτητες γνώσεις.

Τι συμβαίνει με τα κλεμμένα διαπιστευτήρια;

Μετά την κλοπή των διαπιστευτηρίων ενός θύματος, υπάρχουν πολλές πιθανότητες. Ο εισβολέας μπορεί να χρησιμοποιήσει ο ίδιος τα διαπιστευτήρια. Εάν πρόκειται για οικονομικό λογαριασμό, μπορούν να επιχειρήσουν να μεταφέρουν κεφάλαια. Ή εάν πρόκειται για πρόσβαση σε ένα δίκτυο, μπορούν να χρησιμοποιήσουν αυτήν την πρόσβαση για εκκίνηση επίθεση ransomware.

Τα διαπιστευτήρια μπορούν επίσης να μεταπωληθούν στο dark web. Αυτό επιτρέπει σε κάποιον να επωφεληθεί από τα κλεμμένα διαπιστευτήρια, ακόμα κι αν δεν τα έχει στην πραγματικότητα.

Ορισμένα κιτ phishing έχουν επίσης σχεδιαστεί για να διατηρούν ένα αντίγραφο τυχόν κλεμμένων διαπιστευτηρίων και να τα στέλνουν στον εκδότη του κιτ phishing. Αυτό παρέχει πρόσθετα πιθανά έσοδα για τον εκδότη του κιτ phishing. Σημαίνει επίσης ότι τα διαπιστευτήρια συχνά μεταπωλούνται στον σκοτεινό ιστό, ακόμη κι αν το άτομο που τα έκλεψε είχε άλλες προθέσεις.

Γιατί το PaaS είναι πρόβλημα;

Το PaaS είναι ένα ζήτημα επειδή καταργεί το εμπόδιο για την είσοδο στο ηλεκτρονικό ψάρεμα. Κανονικά, ένας κυβερνοεγκληματίας θα πρέπει να κατανοήσει την HTML για να δημιουργήσει ένα αποτελεσματικό email. Θα πρέπει επίσης να καταλάβουν πώς να δημιουργήσουν έναν ιστότοπο που να φαίνεται ρεαλιστικός και να κλέβει κωδικούς πρόσβασης. Εάν κάποιος αγοράσει ένα κιτ phishing, δεν χρειάζεται αυτές τις δεξιότητες για να πραγματοποιήσει μια επίθεση.

Το PaaS κάνει τους ανθρώπους που ήδη πραγματοποιούν επιθέσεις phishing πιο επιτυχημένους. Η επιτυχία μιας εκστρατείας συχνά περιορίζεται από τις ικανότητες των δραστών. Εάν αυτό το άτομο πληρώσει για ένα κιτ phishing, είναι πιθανό ότι περισσότεροι άνθρωποι θα υποστούν τις επιθέσεις τους.

Το PaaS καθιστά επίσης πιο δύσκολη τη δίωξη των επιθέσεων phishing.

Επιτρέπει σε άτομα που είναι καλοί στο σχεδιασμό κιτ phishing να επωφεληθούν από τη δραστηριότητα χωρίς να πραγματοποιούν οι ίδιοι επιθέσεις phishing. Εάν το άτομο που χρησιμοποιεί ένα κιτ phishing συλληφθεί, το άτομο που παρείχε το κιτ phishing είναι πιθανό να αποφύγει τη δίωξη. Στη συνέχεια μπορούν να συνεχίσουν να πωλούν σε άλλους.

Ποιος στοχεύεται από το ηλεκτρονικό ψάρεμα;

Οι επιθέσεις phishing πραγματοποιούνται τόσο σε επιχειρήσεις όσο και σε ιδιώτες. Εάν στοχευτεί κάποιος ιδιώτης, μπορεί να κλαπούν τα διαπιστευτήρια σύνδεσης για τους οικονομικούς και προσωπικούς του λογαριασμούς.

Μια επιτυχημένη επίθεση phishing σε μια επιχείρηση μπορεί έχουν ως αποτέλεσμα άλλες κυβερνοεπιθέσεις. Εάν ο εισβολέας κλέψει τα διαπιστευτήρια ενός δικτύου, μπορεί να κλαπούν οι ιδιωτικές πληροφορίες των πελατών ή να εγκατασταθεί ransomware.

Πώς να αποφύγετε το Phishing

Ενώ το PaaS καθιστά πιο δύσκολο τον εντοπισμό των επιθέσεων ηλεκτρονικού ψαρέματος, μπορούν να αποφευχθούν αν καταλαβαίνετε τι πρέπει να αναζητήσετε.

Ελέγξτε τον Αποστολέα

Τα μηνύματα ηλεκτρονικού ψαρέματος βασίζονται στο ότι ο παραλήπτης δεν βλέπει σωστά το όνομα του αποστολέα. Ο αποστολέας μπορεί να χρησιμοποιήσει πλαστογράφηση email για να φαίνεται νόμιμος, αλλά είναι αδύνατο να αποφευχθούν μικρές ορθογραφικές παραλλαγές.

Αναζητήστε Σφάλματα Μορφοποίησης

Τα προϊόντα PaaS συχνά περιλαμβάνουν εξαιρετικά ρεαλιστικά μηνύματα ηλεκτρονικού ταχυδρομείου, αλλά εξακολουθούν να μην είναι τόσο επαγγελματικά όσο τα πραγματικά. Αναζητήστε σφάλματα τόσο στη μορφοποίηση όσο και στη γλώσσα που χρησιμοποιείται.

Ανεξάρτητα από το ποιος είναι ο αποστολέας, θα πρέπει ποτέ μην κάνετε κλικ σε έναν σύνδεσμο σε ένα email. Επίσης, δεν πρέπει ποτέ να κατεβάσετε ένα συνημμένο email εκτός εάν είστε σίγουροι για το τι περιέχει.

Να είστε προσεκτικοί σε αιτήματα πληροφοριών

Όλα τα μηνύματα ηλεκτρονικού ψαρέματος σάς ζητούν να κάνετε κάτι. Θα πρέπει να είστε ύποπτοι για οποιοδήποτε email που σας ζητά να παράσχετε πληροφορίες ή να συνδεθείτε σε έναν λογαριασμό.

Οι επιχειρήσεις πρέπει να εκπαιδεύουν τους υπαλλήλους

Οι επιθέσεις phishing κατά επιχειρήσεων στοχεύουν κυρίως τους εργαζόμενους. Για να μετριαστεί αυτή η απειλή, όλοι οι εργαζόμενοι πρέπει να εκπαιδευτούν ανάλογα.

Οι επιχειρήσεις ενδέχεται να χρησιμοποιούν λογισμικό κατά του ψαρέματος

Το λογισμικό είναι ευρέως διαθέσιμο για την ανίχνευση μηνυμάτων ηλεκτρονικού ψαρέματος και την αποτροπή τους από το να φτάσουν στα εισερχόμενα των εργαζομένων. Αν και αυτό το λογισμικό δεν αποτελεί επαρκή εναλλακτική λύση στην εκπαίδευση των εργαζομένων, μπορεί να μειώσει το μέγεθος της απειλής που αντιμετωπίζουν οι εργαζόμενοι.

Το PaaS κάνει το Phishing μεγαλύτερη απειλή

Το ηλεκτρονικό ψάρεμα είναι μια σημαντική απειλή τόσο για ιδιώτες όσο και για επιχειρήσεις. Οδηγεί σε παραβιάσεις λογαριασμών σε άτομα και εισβολή δικτύου σε επιχειρήσεις. Το PaaS προσθέτει σε αυτήν την απειλή επιτρέποντας σε οποιονδήποτε να διεξάγει τέτοιες επιθέσεις ανεξάρτητα από το σύνολο των δεξιοτήτων του.

Η εισαγωγή του PaaS όχι μόνο αυξάνει τον ρυθμό του phishing αλλά και καθιστά κάθε επίθεση δυνητικά πιο αποτελεσματική. Ενώ τα μηνύματα ηλεκτρονικού ψαρέματος είναι συχνά προφανή, οποιοσδήποτε χρησιμοποιεί ένα κιτ ηλεκτρονικού ψαρέματος επί πληρωμή μπορεί να είναι σε θέση να κλέψει πολύ περισσότερα διαπιστευτήρια.

Μπορεί ο λογαριασμός σας στο Netflix να παραβιαστεί;

Διαβάστε Επόμενο

ΜερίδιοΤιτίβισμαΜερίδιοΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ

Σχετικά θέματα

  • Ασφάλεια
  • Phishing
  • Απάτες
  • Ασφάλεια στο Διαδίκτυο
  • Κυβερνασφάλεια

Σχετικά με τον Συγγραφέα

Έλιοτ Νέσμπο (Δημοσιεύτηκαν 101 άρθρα)

Ο Έλιοτ είναι ανεξάρτητος συγγραφέας τεχνολογίας. Γράφει κυρίως για το fintech και την ασφάλεια στον κυβερνοχώρο.

Περισσότερα από τον Elliot Nesbo

Εγγραφείτε στο ενημερωτικό μας δελτίο

Εγγραφείτε στο ενημερωτικό μας δελτίο για συμβουλές τεχνολογίας, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Κάντε κλικ εδώ για να εγγραφείτε