Menu
Hướng dẫn cơ bản để hiểu về lừa đảo vào năm 2023
Vậy, cái gì Lừa đảo?
Lừa đảo là một dạng kỹ thuật xã hội lừa mọi người tiết lộ mật khẩu hoặc giá trị của họ thông tin. Các cuộc tấn công lừa đảo có thể ở dạng email, tin nhắn văn bản và cuộc gọi điện thoại.
Thông thường, các cuộc tấn công này đóng giả các dịch vụ và công ty phổ biến mà mọi người dễ dàng nhận ra.
Khi người dùng nhấp vào một liên kết lừa đảo trong nội dung email, họ sẽ được chuyển đến một phiên bản tương tự của một trang web mà họ tin tưởng. Tại thời điểm này, họ được yêu cầu cung cấp thông tin đăng nhập trong trò lừa đảo lừa đảo. Sau khi họ nhập thông tin của mình trên trang web giả mạo, kẻ tấn công có thứ họ cần để truy cập vào tài khoản thực của họ.
Các cuộc tấn công lừa đảo có thể dẫn đến thông tin cá nhân, thông tin tài chính hoặc thông tin sức khỏe bị đánh cắp. Sau khi kẻ tấn công có quyền truy cập vào một tài khoản, chúng sẽ bán quyền truy cập vào tài khoản đó hoặc sử dụng thông tin đó để hack các tài khoản khác của nạn nhân.
Sau khi tài khoản được bán, ai đó biết cách kiếm lợi từ tài khoản sẽ mua thông tin đăng nhập tài khoản từ dark web và tận dụng dữ liệu bị đánh cắp.
Dưới đây là hình ảnh trực quan để giúp bạn hiểu các bước trong một cuộc tấn công lừa đảo:
Các cuộc tấn công lừa đảo có nhiều hình thức khác nhau. Lừa đảo có thể hoạt động từ một cuộc gọi điện thoại, tin nhắn văn bản, email hoặc tin nhắn mạng xã hội.
Email lừa đảo chung là loại tấn công lừa đảo phổ biến nhất. Các cuộc tấn công như thế này là phổ biến vì chúng tốn ít công sức nhất.
Tin tặc lấy danh sách các địa chỉ email được liên kết với Paypal hoặc tài khoản mạng xã hội và gửi một vụ nổ email hàng loạt cho các nạn nhân tiềm năng.
Khi nạn nhân nhấp vào liên kết trong email, nó thường đưa họ đến một phiên bản giả mạo của một trang web phổ biến và yêu cầu họ đăng nhập bằng thông tin tài khoản của họ. Ngay sau khi họ gửi thông tin tài khoản của mình, tin tặc có những thứ họ cần để truy cập vào tài khoản của họ.
Theo một nghĩa nào đó, kiểu lừa đảo này giống như thả lưới vào một đàn cá; trong khi các hình thức lừa đảo khác là những nỗ lực có mục tiêu hơn.
Spear phishing là khi kẻ tấn công nhắm vào một cá nhân cụ thể thay vì gửi một email chung cho một nhóm người.
Các cuộc tấn công lừa đảo trực tuyến cố gắng nhắm mục tiêu cụ thể và cải trang thành một người mà nạn nhân có thể biết.
Những cuộc tấn công này sẽ dễ dàng hơn đối với kẻ lừa đảo nếu bạn có thông tin nhận dạng cá nhân trên internet. Kẻ tấn công có thể nghiên cứu bạn và mạng của bạn để tạo ra một thông điệp có liên quan và thuyết phục.
Do mức độ cá nhân hóa cao, các cuộc tấn công lừa đảo trực tuyến khó xác định hơn nhiều so với các cuộc tấn công lừa đảo thông thường.
Chúng cũng ít phổ biến hơn vì bọn tội phạm mất nhiều thời gian hơn để thực hiện thành công.
Câu hỏi: Tỷ lệ thành công của một email lừa đảo trực tuyến là bao nhiêu?
Trả lời: Email lừa đảo có tỷ lệ mở email trung bình là 70% và 50% của người nhận nhấp vào một liên kết trong email.
So với các cuộc tấn công lừa đảo bằng giáo, các cuộc tấn công săn cá voi được nhắm mục tiêu rõ ràng hơn.
Các cuộc tấn công săn bắt cá voi nhằm vào các cá nhân trong một tổ chức, chẳng hạn như giám đốc điều hành hoặc giám đốc tài chính của một công ty.
Một trong những mục tiêu phổ biến nhất của các cuộc tấn công săn cá voi là thao túng nạn nhân chuyển một số tiền lớn cho kẻ tấn công.
Tương tự như lừa đảo thông thường ở chỗ cuộc tấn công diễn ra dưới dạng email, cá voi có thể sử dụng logo của công ty và các địa chỉ tương tự để ngụy trang.
Trong một số trường hợp, kẻ tấn công sẽ mạo danh CEO và sử dụng tư cách đó để thuyết phục một nhân viên khác tiết lộ dữ liệu tài chính hoặc chuyển tiền vào tài khoản của kẻ tấn công.
Vì nhân viên ít có khả năng từ chối yêu cầu từ cấp trên hơn, nên những cuộc tấn công này tinh vi hơn nhiều.
Những kẻ tấn công thường sẽ dành nhiều thời gian hơn để thực hiện một cuộc tấn công săn cá voi vì chúng có xu hướng được đền đáp tốt hơn.
Cái tên “săn cá voi” đề cập đến thực tế là các mục tiêu có nhiều quyền lực tài chính hơn (CEO).
Angler lừa đảo là một tương đối kiểu tấn công lừa đảo mới và tồn tại trên mạng xã hội.
Chúng không tuân theo định dạng email truyền thống của các cuộc tấn công lừa đảo.
Thay vào đó, họ cải trang thành đại diện dịch vụ khách hàng của các công ty và lừa mọi người gửi thông tin cho họ thông qua tin nhắn trực tiếp.
Một trò lừa đảo phổ biến là đưa mọi người đến một trang web hỗ trợ khách hàng giả mạo sẽ tải xuống phần mềm độc hại hay nói cách khác ransomware vào thiết bị của nạn nhân.
Một cuộc tấn công vishing là khi một kẻ lừa đảo gọi cho bạn để cố gắng thu thập thông tin cá nhân từ bạn.
Những kẻ lừa đảo thường giả vờ là một doanh nghiệp hoặc tổ chức có uy tín như Microsoft, IRS hoặc thậm chí là ngân hàng của bạn.
Họ sử dụng các chiến thuật gây sợ hãi để khiến bạn tiết lộ dữ liệu tài khoản quan trọng.
Điều này cho phép họ truy cập trực tiếp hoặc gián tiếp vào các tài khoản quan trọng của bạn.
Các cuộc tấn công Vishing là khó khăn.
Những kẻ tấn công có thể dễ dàng mạo danh những người mà bạn tin tưởng.
Xem Người sáng lập Hailbytes David McHale nói về việc cuộc gọi tự động sẽ biến mất như thế nào với công nghệ tương lai.
Hầu hết các cuộc tấn công lừa đảo xảy ra thông qua email, nhưng có nhiều cách để xác định tính hợp pháp của chúng.
Khi bạn mở một email kiểm tra xem nó có phải từ một miền email công cộng hay không (tức là @gmail.com).
Nếu nó đến từ miền email công cộng, rất có thể đó là một cuộc tấn công lừa đảo vì các tổ chức không sử dụng miền công cộng.
Thay vào đó, miền của họ sẽ là duy nhất cho doanh nghiệp của họ (ví dụ: miền email của Google là @google.com).
Tuy nhiên, có những cuộc tấn công lừa đảo phức tạp hơn sử dụng một tên miền duy nhất.
Thật hữu ích khi tìm kiếm nhanh công ty và kiểm tra tính hợp pháp của nó.
Các cuộc tấn công lừa đảo luôn cố gắng kết bạn với bạn bằng một lời chào thân thiện hoặc sự đồng cảm.
Ví dụ: trong thư rác của tôi cách đây không lâu, tôi đã tìm thấy một email lừa đảo với lời chào “Bạn thân mến”.
Tôi đã biết đây là một email lừa đảo vì trong dòng tiêu đề có ghi “TIN TỐT VỀ QUỸ CỦA BẠN 21 /06/2020”.
Nhìn thấy những kiểu chào hỏi đó sẽ là dấu hiệu đỏ ngay lập tức nếu bạn chưa bao giờ tương tác với liên hệ đó.
Nội dung của email lừa đảo rất quan trọng và bạn sẽ thấy một số tính năng đặc biệt chiếm phần lớn.
Nếu nội dung nghe có vẻ vô lý, thì rất có thể đó là một trò lừa đảo.
Ví dụ: nếu dòng chủ đề cho biết: “Bạn đã trúng xổ số $1000000” và bạn không nhớ mình đã tham gia thì đó là một dấu hiệu đáng báo động.
Khi nội dung tạo cảm giác cấp bách như “tùy bạn” và dẫn đến việc nhấp vào một liên kết đáng ngờ thì rất có thể đó là một trò lừa đảo.
Email lừa đảo luôn có liên kết hoặc tệp đáng ngờ đính kèm.
Một cách hay để kiểm tra xem một liên kết có vi-rút hay không là sử dụng VirusTotal, một trang web kiểm tra tệp hoặc liên kết để tìm phần mềm độc hại.
Ví dụ về email lừa đảo:
Trong ví dụ này, Google chỉ ra rằng email có thể tiềm ẩn nguy hiểm.
Nó nhận ra rằng nội dung của nó khớp với các email lừa đảo tương tự khác.
Nếu một email đáp ứng hầu hết các tiêu chí trên, bạn nên báo cáo email đó tới reportphishing@apwg.org hoặc phishing-report@us-cert.gov để email đó bị chặn.
Nếu bạn đang sử dụng Gmail, có một tùy chọn để báo cáo email lừa đảo.
Mặc dù các cuộc tấn công lừa đảo nhằm vào người dùng ngẫu nhiên nhưng chúng thường nhắm vào nhân viên của một công ty.
Tuy nhiên, những kẻ tấn công không phải lúc nào cũng theo đuổi tiền của công ty mà là dữ liệu của công ty.
Về mặt kinh doanh, dữ liệu có giá trị hơn nhiều so với tiền bạc và nó có thể ảnh hưởng nghiêm trọng đến một công ty.
Những kẻ tấn công có thể sử dụng dữ liệu bị rò rỉ để gây ảnh hưởng đến công chúng bằng cách tác động đến lòng tin của người tiêu dùng và làm hoen ố tên công ty.
Nhưng đó không phải là hậu quả duy nhất có thể xảy ra từ đó.
Các hậu quả khác bao gồm tác động tiêu cực đến niềm tin của nhà đầu tư, làm gián đoạn hoạt động kinh doanh và dẫn đến các khoản tiền phạt theo quy định theo Quy định chung về bảo vệ dữ liệu (GDPR).
Bạn nên đào tạo nhân viên của mình để giải quyết vấn đề này nhằm giảm các cuộc tấn công lừa đảo thành công.
Các cách đào tạo nhân viên nói chung là cho họ xem các ví dụ về email lừa đảo và cách phát hiện ra chúng.
Một cách hay khác để cho nhân viên thấy hành vi lừa đảo là thông qua mô phỏng.
Mô phỏng lừa đảo về cơ bản là các cuộc tấn công giả mạo được thiết kế để giúp nhân viên trực tiếp nhận ra hành vi lừa đảo mà không có bất kỳ tác động tiêu cực nào.
Bây giờ chúng tôi sẽ chia sẻ các bước bạn cần thực hiện để chạy một chiến dịch lừa đảo thành công.
Lừa đảo vẫn là mối đe dọa bảo mật hàng đầu theo báo cáo tình trạng an ninh mạng năm 2020 của WIPRO.
Một trong những cách tốt nhất để thu thập dữ liệu và giáo dục nhân viên là chạy một chiến dịch lừa đảo nội bộ.
Có thể dễ dàng tạo một email lừa đảo bằng một nền tảng lừa đảo, nhưng có nhiều thứ hơn là nhấn gửi.
Chúng tôi sẽ thảo luận về cách xử lý các thử nghiệm lừa đảo với liên lạc nội bộ.
Sau đó, chúng tôi sẽ xem xét cách bạn phân tích và sử dụng dữ liệu mà bạn thu thập.
Chiến dịch lừa đảo không nhằm trừng phạt mọi người nếu họ mắc lừa. Mô phỏng lừa đảo là hướng dẫn nhân viên cách trả lời email lừa đảo. Bạn muốn đảm bảo rằng bạn minh bạch về việc đào tạo lừa đảo trong công ty của mình. Ưu tiên thông báo cho lãnh đạo công ty về chiến dịch lừa đảo của bạn và mô tả các mục tiêu của chiến dịch.
Sau khi bạn gửi thử nghiệm email lừa đảo cơ bản đầu tiên của mình, bạn có thể đưa ra thông báo trên toàn công ty cho tất cả nhân viên.
Một khía cạnh quan trọng của truyền thông nội bộ là giữ cho thông điệp nhất quán. Nếu bạn đang thực hiện các thử nghiệm lừa đảo của riêng mình, thì bạn nên nghĩ ra một thương hiệu đã được tạo sẵn cho tài liệu đào tạo của mình.
Đặt tên cho chương trình của bạn sẽ giúp nhân viên nhận ra nội dung giáo dục của bạn trong hộp thư đến của họ.
Nếu bạn đang sử dụng dịch vụ kiểm tra lừa đảo được quản lý, thì có khả năng họ sẽ bảo vệ vấn đề này. Nội dung giáo dục nên được sản xuất trước thời hạn để bạn có thể theo dõi ngay lập tức sau chiến dịch của mình.
Cung cấp cho nhân viên của bạn hướng dẫn và thông tin về giao thức email lừa đảo nội bộ sau khi kiểm tra cơ bản.
Bạn muốn tạo cơ hội cho đồng nghiệp của mình phản hồi chính xác về khóa đào tạo.
Xem số lượng người phát hiện và báo cáo chính xác email là thông tin quan trọng thu được từ thử nghiệm lừa đảo.
Ưu tiên hàng đầu của bạn cho chiến dịch của bạn là gì?
Hôn ước.
Bạn có thể cố gắng dựa trên kết quả của mình dựa trên số lần thành công và thất bại, nhưng những con số đó không nhất thiết giúp bạn đạt được mục đích của mình.
Nếu bạn chạy mô phỏng thử nghiệm lừa đảo và không ai nhấp vào liên kết, điều đó có nghĩa là thử nghiệm của bạn đã thành công?
Câu trả lời ngắn gọn là không".
Có tỷ lệ thành công 100% không có nghĩa là thành công.
Điều đó có thể có nghĩa là thử nghiệm lừa đảo của bạn đơn giản là quá dễ phát hiện.
Mặt khác, nếu bạn nhận được tỷ lệ thất bại khủng khiếp với thử nghiệm lừa đảo của mình, thì điều đó có thể có ý nghĩa hoàn toàn khác.
Điều đó có thể có nghĩa là nhân viên của bạn chưa thể phát hiện các cuộc tấn công lừa đảo.
Khi bạn nhận được tỷ lệ nhấp chuột cao cho chiến dịch của mình, rất có thể bạn cần giảm độ khó của các email lừa đảo.
Dành nhiều thời gian hơn để đào tạo mọi người ở cấp độ hiện tại của họ.
Cuối cùng, bạn muốn giảm tỷ lệ nhấp vào liên kết lừa đảo.
Bạn có thể tự hỏi tỷ lệ nhấp chuột tốt hay xấu với mô phỏng lừa đảo là bao nhiêu.
Theo sans.org, của bạn mô phỏng lừa đảo đầu tiên có thể mang lại tỷ lệ nhấp chuột trung bình là 25-30%.
Đó có vẻ như là một con số thực sự cao.
May mắn thay, họ báo cáo rằng sau 9-18 tháng đào tạo về lừa đảo, tỷ lệ nhấp cho thử nghiệm lừa đảo là dưới 5%.
Những con số này có thể giúp ước tính sơ bộ kết quả mong muốn của bạn từ đào tạo lừa đảo.
Để bắt đầu mô phỏng email lừa đảo đầu tiên của bạn, hãy đảm bảo đưa địa chỉ IP của công cụ kiểm tra vào danh sách trắng.
Điều này đảm bảo rằng nhân viên sẽ nhận được email.
Khi tạo email lừa đảo mô phỏng đầu tiên của bạn, đừng làm nó quá dễ hoặc quá khó.
Bạn cũng nên nhớ khán giả của mình.
Nếu đồng nghiệp của bạn không phải là người sử dụng nhiều phương tiện truyền thông xã hội, thì có lẽ không nên sử dụng email lừa đảo đặt lại mật khẩu LinkedIn giả mạo. Email của người thử nghiệm phải có đủ sức hấp dẫn rộng rãi để mọi người trong công ty của bạn có lý do để nhấp vào.
Một số ví dụ về email lừa đảo có sức hấp dẫn rộng rãi có thể là:
Chỉ cần nhớ tâm lý về việc khán giả của bạn sẽ tiếp nhận tin nhắn như thế nào trước khi nhấn gửi.
Tiếp tục gửi email đào tạo về lừa đảo cho nhân viên của bạn. Đảm bảo rằng bạn đang tăng dần độ khó theo thời gian để nâng cao trình độ kỹ năng của mọi người.
Bạn nên gửi email hàng tháng. Nếu bạn “lừa đảo” tổ chức của mình quá thường xuyên, họ có thể sẽ bắt kịp quá nhanh.
Bắt nhân viên của bạn, mất cảnh giác một chút là cách tốt nhất để có được kết quả thực tế hơn.
Nếu bạn gửi cùng một loại email “lừa đảo” mỗi lần, bạn sẽ không dạy cho nhân viên của mình cách phản ứng với các trò gian lận khác nhau.
Bạn có thể thử một số góc độ khác nhau bao gồm:
Khi bạn gửi các chiến dịch mới, hãy luôn đảm bảo rằng bạn đang tinh chỉnh mức độ liên quan của thông điệp tới đối tượng của mình.
Nếu bạn gửi một email lừa đảo không liên quan đến điều gì đó đáng quan tâm, bạn có thể không nhận được nhiều phản hồi từ chiến dịch của mình.
Sau khi gửi các chiến dịch khác nhau cho nhân viên của bạn, hãy làm mới một số chiến dịch cũ đã lừa mọi người lần đầu tiên và thực hiện một vòng quay mới cho chiến dịch đó.
Bạn sẽ có thể biết hiệu quả của việc đào tạo nếu bạn thấy rằng mọi người đang học hỏi và tiến bộ.
Từ đó, bạn sẽ có thể biết liệu họ có cần được đào tạo thêm về cách phát hiện một loại email lừa đảo nhất định hay không.
Có 3 yếu tố quyết định liệu bạn sẽ tạo chương trình đào tạo lừa đảo của riêng mình hay thuê ngoài chương trình.
Nếu bạn là kỹ sư bảo mật hoặc có một kỹ sư trong công ty của mình, bạn có thể dễ dàng tạo ra một máy chủ lừa đảo bằng cách sử dụng nền tảng lừa đảo có sẵn để tạo các chiến dịch của mình.
Nếu bạn không có bất kỳ kỹ sư bảo mật nào, việc tạo chương trình lừa đảo của riêng bạn có thể là điều không cần thiết.
Bạn có thể có một kỹ sư bảo mật trong tổ chức của mình, nhưng họ có thể không có kinh nghiệm với các thử nghiệm kỹ thuật xã hội hoặc lừa đảo.
Nếu bạn có ai đó có kinh nghiệm, thì họ sẽ đủ tin cậy để tạo chương trình lừa đảo của riêng họ.
Đây là một yếu tố thực sự lớn đối với các công ty vừa và nhỏ.
Nếu nhóm của bạn nhỏ, có thể không thuận tiện khi thêm một nhiệm vụ khác vào nhóm bảo mật của bạn.
Sẽ thuận tiện hơn rất nhiều nếu có một nhóm có kinh nghiệm khác làm việc cho bạn.
Bạn đã xem qua toàn bộ hướng dẫn này để tìm ra cách đào tạo nhân viên của mình và bạn đã sẵn sàng bắt đầu bảo vệ tổ chức của mình thông qua đào tạo lừa đảo.
Gì bây giờ?
Nếu bạn là một kỹ sư bảo mật và muốn bắt đầu chạy các chiến dịch lừa đảo đầu tiên của mình ngay bây giờ, truy cập vào đây để tìm hiểu thêm về công cụ mô phỏng lừa đảo mà bạn có thể sử dụng để bắt đầu ngay hôm nay.
Hoặc là…
Nếu bạn muốn tìm hiểu về các dịch vụ được quản lý để chạy các chiến dịch lừa đảo cho mình, tìm hiểu thêm ngay tại đây về cách bạn có thể bắt đầu dùng thử miễn phí khóa đào tạo về lừa đảo.
Sử dụng danh sách kiểm tra để xác định các email bất thường và nếu chúng là lừa đảo thì hãy báo cáo chúng.
Mặc dù có những bộ lọc lừa đảo ngoài kia có thể bảo vệ bạn, nhưng nó không phải là 100%.
Email lừa đảo liên tục phát triển và không bao giờ giống nhau.
Đến bảo vệ công ty của bạn khỏi các cuộc tấn công lừa đảo mà bạn có thể tham gia mô phỏng lừa đảo để giảm cơ hội tấn công lừa đảo thành công.
Chúng tôi hy vọng rằng bạn đã học đủ từ hướng dẫn này để tìm ra những gì bạn cần làm tiếp theo nhằm giảm khả năng bị tấn công lừa đảo vào doanh nghiệp của mình.
Vui lòng để lại nhận xét nếu bạn có bất kỳ câu hỏi nào cho chúng tôi hoặc nếu bạn muốn chia sẻ bất kỳ kiến thức hoặc kinh nghiệm nào của mình với các chiến dịch lừa đảo.
Đừng quên chia sẻ hướng dẫn này và truyền bá!
mưa đá
9511 Đội bảo vệ Nữ hoàng
Vòng nguyệt quế, MD 20723
Điện thoại: (732) 771-9995
Email: info@hailbytes.com
