Alarmanten porast hibridnih vishing napadov za 625 %
Alarmanten porast hibridnih vishing napadov za 625 %
Spletni napadalci odkrivajo vedno nove taktike, kako se dokopati do zaupnih podatkov. Čeprav so vishing napadi priljubljena tehnika napadalcev že kar nekaj časa, so napadi vedno bolj dodelani. Pri običajnem vishingu gre za telefonske prevare, s katerimi poskušajo sleparji žrtev kar prek telefona pripraviti do tega, da jim razkrije zaupne podatke ali nakaže denar. V našem blogu smo že pisali o lažnih klicih tehnične Microsoft podpore. Sedaj pa so šli napadalci še korak dlje.
V zadnjem letu opažamo alarmanten porast t.i. hibridnih vishing napadov. Po podatkih poročila, ki sta ga skupaj pripravili podjetji Agari in Phishlabs, so se hibridni napadi vishing v 2. četrtletju letošnjega leta glede na 1. četrtletje leta 2021 povečali za kar 625 %.
(Vir: Agari PhishLabs - QTTI Report - Avgust 2022)
V primeru hibridnega vishinga gre za večstopenjski napad, ki se od klasičnega vishinga razlikuje po tem, da napadalec najprej stopi v kontakt z žrtvijo preko elektronske pošte. V nasprotju s klasičnim phishingom preko elektronske pošte, napadalec znotraj sporočila z žrtvijo ne deli zlonamerne povezave ali priponke, temveč telefonsko številko, s katero upravlja napadalec. S sporočilom žrtev preslepi, da pokliče telefonsko številko. Napadalec pa nato od tam nadaljuje s prevaro, kot jo poznamo pri klasičnem vishing napadu.
Hibridno uporabo e-pošte in telefona so napadalci zasnovali z namenom, da bi se izognili vstavljanju zlonamernih povezav ali prilog v e-poštna sporočila. S tem pa so zaobšli varnostne kontrole v e-poštnih nabiralnikih in filtriranje neželene pošte.
Pri phishingu torej ne gre vedno za klik na povezavo ali odpiranje priponke, temveč za to, da je žrtev zmanipulirana, da stori nekaj, česar sicer ne bi. Vedno moramo zato biti zelo previdni, ko se z nekom pogovarjamo po telefonu in nas ta sprašuje po zaupnih podatkih. Preden zahtevam klicateljev ugodimo, moramo le te vedno preveriti in potrditi pri odgovornih osebah.
Pri tovrstnih prevarah je naloga organizacij, da okrepijo izvorno e-poštno varnost z dodatnimi kontrolami in da upoštevajo najboljše prakse MFA ter upravljanja gesel. Predvsem pa da izobrazijo zaposlene, da se bodo ti zavedali različnih tehnik socialnega inženiringa in izogibali deljenju občutljivih informacij po telefonu.
DARILO
Različne nasvete iz kibernetske varnosti smo za vas zbrali tudi v obliki štirih ličnih ohranjevalnikov zaslona, s katerimi si lahko v vaši organizaciji pomagate pri boljši obrambi pred kibernetsko kriminaliteto.
Zahtevajte BREZPLAČEN komplet za vaše zaposlene zdaj!
