Οι επιθέσεις phishing με επανάκληση αυξάνονται. Εάν έχετε λάβει ποτέ ένα μήνυμα ηλεκτρονικού ταχυδρομείου που σας ζητά να ανανεώσετε μια υπηρεσία ή να πληρώσετε έναν λογαριασμό για μια υπηρεσία που δεν αγοράσατε ποτέ, έχετε αντιμετωπίσει από πρώτο χέρι το phishing με επανάκληση.
Τι είναι το Callback Phishing;
Μια επίθεση phishing με επανάκληση, που μερικές φορές ονομάζεται παράδοση επίθεσης με προσανατολισμό μέσω τηλεφώνου (TOAD), συνδυάζει δύο μεθόδους phishing. Το θύμα λαμβάνει ένα email ηλεκτρονικού ψαρέματος που το ειδοποιεί για ένα πρόβλημα. Αντί να παρέχει περισσότερες πληροφορίες σχετικά με την κατάσταση στο email, ο ηθοποιός της απειλής περιλαμβάνει έναν αριθμό επικοινωνίας, ελπίζοντας σε μια ανταποδοτική κλήση από το θύμα.
Όταν ο παραλήπτης καλεί τον αναφερόμενο αριθμό τηλεφώνου, ο παράγοντας απειλής χρησιμοποιεί τεχνικές κοινωνικής μηχανικής για να τον δελεάσει θύμα σε κοινή χρήση ευαίσθητων δεδομένων, εγκατάσταση κακόβουλου λογισμικού ή λήψη οποιασδήποτε άλλης ενέργειας που μπορεί να ωφελήσει τον παράγοντα απειλής.
Πώς λειτουργεί το ψάρεμα επανάκλησης
Πρώτον, ένα θύμα λαμβάνει ένα email που του ενημερώνει ότι πρέπει να πληρωθεί για μια συνδρομή σε μια υπηρεσία. Συχνά, δεν επισυνάπτεται τιμολόγιο στο ταχυδρομείο. Στη συνέχεια, το θύμα γίνεται περίεργο ή έξαλλο όταν λαμβάνει το αίτημα πληρωμής για μια υπηρεσία που δεν αγόρασε εξαρχής — έτσι καλεί τον αριθμό τηλεφώνου που αναφέρεται στο email.
Ένας ηθοποιός απειλής παρακολουθεί την κλήση και ξεγελάει το θύμα να ακολουθήσει συγκεκριμένα βήματα για να ακυρώσει την παραγγελία. Όταν το θύμα ακολουθεί αυτά τα βήματα, εγκαθίσταται κακόβουλο λογισμικό στον υπολογιστή του ή ο παράγοντας απειλής λαμβάνει ευαίσθητες πληροφορίες.
Ο ηθοποιός απειλής τερματίζει την κλήση μόλις το θύμα κάνει την ενέργεια που θέλει να κάνει ο ηθοποιός απειλής.
Γιατί οι χάκερ επιχειρούν επιθέσεις phishing με επανάκληση
Πραγματοποιώντας μια επιτυχημένη επίθεση phishing επανάκλησης, ένας παράγοντας απειλής μπορεί:
- Κλέψτε ευαίσθητα δεδομένα, διαπιστευτήρια σύνδεσης ή οποιοδήποτε άλλο είδος εμπιστευτικών δεδομένων.
- Εγκαταστήστε ransomware στον υπολογιστή του θύματος για να κρυπτογραφήσετε δεδομένα για να λάβετε χρήματα για λύτρα.
- Λάβετε στοιχεία πιστωτικής κάρτας ή τραπεζικού λογαριασμού του θύματος για να κλέψετε χρήματα.
- Εγκαταστήστε λογισμικό απομακρυσμένης πρόσβασης στον υπολογιστή του θύματος για την κλοπή ευαίσθητων αρχείων.
Στις περισσότερες εκστρατείες ηλεκτρονικού ψαρέματος επανάκλησης, ο σκοπός της επίθεσης είναι η κλοπή δεδομένων, χρημάτων ή και των δύο.
Αυτές τις μέρες, τα περισσότερα άτομα και εταιρείες χρησιμοποιούν λύσεις anti-phishing ή anti-spam για να αποκλείσουν ένα email που φέρει ένα κακόβουλο αρχείο.
Ωστόσο, τα μηνύματα ηλεκτρονικού ψαρέματος επανάκλησης δεν περιλαμβάνουν κακόβουλα συνημμένα ή κακόβουλους συνδέσμους. Έτσι, αυτά τα email τείνουν να παρακάμπτουν τα φίλτρα email και να παραδίδονται στους υπολογιστές των θυμάτων. Επίσης, οι επιθέσεις phishing επανάκλησης έχουν χαμηλό κόστος ανά στόχο.
Επομένως, δεν αποτελεί έκπληξη το γεγονός ότι όλο και περισσότεροι παράγοντες απειλών κάνουν προσπάθειες επανάκλησης ηλεκτρονικού ψαρέματος.
Πώς να αποτρέψετε τις επιθέσεις phishing με επανάκληση
Μια επιτυχημένη εκστρατεία phishing επανάκλησης μπορεί να προκαλέσει ανεπανόρθωτη ζημιά σε ένα άτομο ή μια εταιρεία.
Ακολουθούν μερικοί τρόποι προστασίας από επιθέσεις phishing με επανάκληση.
Εφαρμογή Λύσης Ασφάλειας Email
Παρόλο που ορισμένα προσεκτικά δημιουργημένα μηνύματα ηλεκτρονικού ψαρέματος επανάκλησης μπορεί να ξεφύγουν από λύσεις ασφαλείας ηλεκτρονικού ταχυδρομείου, Η εφαρμογή μιας φημισμένης λύσης ασφάλειας ηλεκτρονικού ταχυδρομείου, όπως μια πύλη ηλεκτρονικού ταχυδρομείου, μπορεί να βοηθήσει στη βελτίωση της εταιρείας σας στάση ασφαλείας.
Σκεφτείτε πώς μια επίθεση συμβιβαστικής αλληλογραφίας (BEC) μπορεί να σας κοστίσει τεράστια χρηματικά ποσά και απώλεια φήμης. Η εφαρμογή μιας ισχυρής λύσης ασφάλειας ηλεκτρονικού ταχυδρομείου μπορεί να ελαχιστοποιήσει τον κίνδυνο επιθέσεων παραβίασης εταιρικών email. Στις περισσότερες περιπτώσεις, μια λύση ασφαλείας email θα εντοπίσει και θα αποκλείσει την πλαστογράφηση email, το ηλεκτρονικό ψάρεμα και τις απάτες. Μια τέτοια λύση μπορεί επίσης να αποτρέψει την εγκατάσταση κακόβουλου λογισμικού στον υπολογιστή σας.
Επιπλέον, μια καλή λύση ασφάλειας email μπορεί να σας ειδοποιήσει για ύποπτη συμπεριφορά χρήστη. Φροντίστε λοιπόν να έχετε ένα από τα κορυφαίες σουίτες email για ασφαλή διαμόρφωση των εισερχομένων.
Ακόμα κι αν δεν εργάζεστε σε επαγγελματικό περιβάλλον, η εγκατάσταση ενός καλού λογισμικού προστασίας από ιούς στη συσκευή σας μπορεί να σας προσφέρει τη βέλτιστη ασφάλεια από μηνύματα ηλεκτρονικού ψαρέματος και πολλές άλλες απειλές για την ασφάλεια στον κυβερνοχώρο.
Ελέγξτε προσεκτικά τα μηνύματα ηλεκτρονικού ταχυδρομείου για εμφανή σημάδια ηλεκτρονικού ψαρέματος
Αν και τα μηνύματα ηλεκτρονικού ψαρέματος επανάκλησης δεν έχουν κακόβουλα συνημμένα ή συνδέσμους, έχουν ορισμένα κορυφαία σημάδια phishing που πρέπει να προσέξεις.
Ένα email είναι πιθανό να είναι ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος (phishing) και έχει έναν ασυνήθιστο αποστολέα. Για παράδειγμα, το email μπορεί να ισχυριστεί ότι προέρχεται από μια νόμιμη εταιρεία, αλλά δεν έχει επώνυμη διεύθυνση email. Αντίθετα, έχει μια γενική διεύθυνση ηλεκτρονικού ταχυδρομείου όπως google.com ή yahoo.com.
Μπορείτε επίσης να είστε καχύποπτοι για μηνύματα ηλεκτρονικού ταχυδρομείου γεμάτα με ορθογραφικά και γραμματικά λάθη. Καμία νόμιμη εταιρεία δεν στέλνει email γεμάτο λάθη κειμένου. Επίσης, προσέξτε για μηνύματα που δίνουν ένα σύντομο παράθυρο για να εκτελέσετε μια εργασία. Για παράδειγμα, μια διεύθυνση email σάς παρέχει λίγες ώρες για να κάνετε μια πληρωμή για να διατηρήσετε μια συνδρομή ενεργή.
Ένα email ηλεκτρονικού ψαρέματος μπορεί να επισημανθεί από τον πάροχο ηλεκτρονικού ταχυδρομείου σας. Ορισμένοι πάροχοι email έχουν ενσωματωμένη τεχνολογία anti-spam για να ειδοποιούν τους χρήστες σχετικά με το ηλεκτρονικό ψάρεμα και τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου.
Τώρα, οι φορείς απειλών συνδυάζουν διάφορες τακτικές κοινωνικής μηχανικής για να ξεγελάσουν τα θύματα για να τα καλέσουν. Επομένως, θα πρέπει να είστε ιδιαίτερα προσεκτικοί όταν κάνετε ενέργειες που βασίζονται σε μηνύματα ηλεκτρονικού ταχυδρομείου που προκαλούν υποψίες.
Να είστε καχύποπτοι αν πρόκειται για χρήματα
Ένας σίγουρος τρόπος για να αποφύγετε να πέσετε θύματα μιας επίθεσης phishing με επανάκληση είναι να ελέγξετε ξανά εάν ένα μήνυμα αφορά χρήματα ή διαπιστευτήρια σύνδεσης.
Εάν οποιοδήποτε email από μια φαινομενικά νόμιμη εταιρεία δημιουργεί μια αίσθηση επείγοντος και σας ζητά να στείλετε χρήματα, να είστε καχύποπτοι.
Σε περίπτωση που το email δεν έχει λεπτομερείς πληροφορίες εκτός από τον αριθμό τηλεφώνου του αντιπροσώπου εξυπηρέτησης πελατών, το πιθανότερο είναι ότι αποτελεί μέρος μιας καμπάνιας ηλεκτρονικού ψαρέματος επανάκλησης.
Οργάνωση Εκπαιδευτικών Προγραμμάτων Phishing
Το «ψάρεμα» επανάκλησης, ένα μέρος των επιθέσεων κοινωνικής μηχανικής, βασίζεται σε ανθρώπινο λάθος και όχι σε ευπάθειες του συστήματος.
Έτσι, η τακτική εκτέλεση προγραμμάτων εκπαίδευσης ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο των εργαζομένων μπορεί να ελαχιστοποιήσει τον κίνδυνο επιθέσεων phishing με επανάκληση.
Ακολουθούν βασικοί τομείς στους οποίους πρέπει να εστιάσετε πότε δημιουργία ενός εκπαιδευτικού προγράμματος ευαισθητοποίησης για την ασφάλεια. Για αρχή, ένα εκπαιδευτικό πρόγραμμα ευαισθητοποίησης για την ασφάλεια θα πρέπει να προσφέρει εκπαίδευση σχετικά με διάφορες κυβερνοασφάλεια επιθέσεις, συμπεριλαμβανομένου του ψαρέματος επανάκλησης, ανεπιθύμητων μηνυμάτων, κακόβουλου λογισμικού, μεθόδων κοινωνικής μηχανικής, επιθέσεων που βασίζονται σε σενάρια και πολλά περισσότερα. Θα πρέπει να δίνεται αρκετή εστίαση στον τρόπο εντοπισμού μηνυμάτων ηλεκτρονικού ψαρέματος, κακόβουλων διευθύνσεων URL, απατεώνων ιστότοπων κ.λπ.
Οι εργαζόμενοι δεν θα πρέπει να χρησιμοποιούν εταιρική διεύθυνση email για λήψη νόμιμων εργαλείων αξιόπιστης τεχνολογίας από ψεύτικους ιστότοπους ή για να εγγραφούν σε τυχαίες διαδικτυακές υπηρεσίες. Με αυτόν τον τρόπο είναι ένας σίγουρος τρόπος για να προσκαλέσετε μηνύματα ηλεκτρονικού ψαρέματος ή ανεπιθύμητης αλληλογραφίας. Θα πρέπει να διασφαλίσετε ότι οι υπάλληλοί σας ακολουθούν τις καλύτερες πολιτικές ασφάλειας κωδικών πρόσβασης. Θα πρέπει επίσης να χρησιμοποιούν ελέγχους ταυτότητας πολλαπλών παραγόντων για να προσθέσουν ένα επίπεδο ασφάλειας στους λογαριασμούς τους.
Το εκπαιδευτικό σας πρόγραμμα θα πρέπει επίσης να έχει εικονικές δοκιμές phishing για να αξιολογηθεί η ετοιμότητα των υπαλλήλων σας να καταπολεμήσουν τις εκστρατείες phishing με επανάκληση. Και βεβαιωθείτε ότι οι υπάλληλοί σας ακολουθούν τις βέλτιστες πρακτικές προστασία εταιρικών λογαριασμών email για αποφυγή απατών.
Επεξήγηση του ψαρέματος επανάκλησης
Τώρα ξέρετε τι είναι το ψάρεμα επανάκλησης και πώς μπορείτε να το αποτρέψετε. Παραμείνετε σε εγρήγορση για να αποφύγετε να πέσετε θύματα μιας επίθεσης phishing με επανάκληση. Επίσης, θα πρέπει να μάθετε περισσότερα για να κατανοήσετε πώς φαίνεται ένα ανεπιθύμητο μήνυμα ηλεκτρονικού ταχυδρομείου για να εντοπίσετε γρήγορα ένα τέτοιο μήνυμα ηλεκτρονικού ταχυδρομείου.
