สิ่งที่เราสามารถเรียนรู้ได้จากวิธีการที่อาชญากรไซเบอร์เรียกใช้แคมเปญฟิชชิง

วิธีที่อาชญากรไซเบอร์เรียกใช้แคมเปญฟิชชิง

ผู้จัดการฝ่ายไอทีที่ชาญฉลาดและมีความสามารถรับผิดชอบในการปกป้องเว็บไซต์เซิร์ฟเวอร์และอุปกรณ์เครือข่ายอื่น ๆ พวกเขาใช้เครื่องมือและเทคนิคที่ทันสมัย อย่างไรก็ตามการป้องกันและการฝึกอบรมด้านความปลอดภัยของผู้ใช้พนักงานสนับสนุนเลขานุการและคนงานอื่น ๆ.

ตามที่รายงานจำนวนมากแสดงว่าฟิชชิงมักเป็นตัวเลือกที่พบบ่อยที่สุดสำหรับอาชญากรไซเบอร์ในการเข้าถึงระบบเป้าหมาย ในบทความนี้เราจะเจาะลึกเทคนิคและเครื่องมือเฉพาะที่ใช้ในฟิชชิ่งเพื่อช่วยให้ บริษัท ของคุณเข้าใจและต่อสู้กับภัยคุกคามได้ดีขึ้น.

มาเริ่มจากจุดเริ่มต้นหรือค่อนข้างมีความหมายว่าฟิชชิ่งคืออะไร ฟิชชิงคือการฉ้อโกงประเภทหนึ่งโดยมีวัตถุประสงค์เพื่อเข้าถึงข้อมูลผู้ใช้ที่เป็นความลับตัวอย่างเช่นชื่อผู้ใช้รหัสผ่านและหมายเลข PIN.

โจรใช้วิธีการอะไร? วิธีที่นิยมที่สุดคือ

  • การส่งอีเมลปลอมโดยมีลิงก์หรือไฟล์แนบที่เป็นอันตราย
  • สร้างเว็บไซต์ปลอม
  • ข้อความส่วนตัวปลอมในเครือข่ายสังคมและวิธีการสื่อสารอื่น ๆ
  • แฟลชไดรฟ์“ กระจาย” (ระดับกายภาพ)

มาดูกระบวนการของการสร้างแหล่งข้อมูลสำหรับเว็บฟิชชิงกัน กระบวนการนี้เป็นหนึ่งในการใช้งานบ่อยที่สุดและเป็นองค์ประกอบสำคัญของการโจมตีทางไซเบอร์อื่น ๆ.

บทความนี้เกี่ยวข้องกับลำดับของการดำเนินการในแคมเปญฟิชชิงตลอดจนเครื่องมือเสริม.

ดูสิ่งนี้ด้วย: สถิติฟิชชิ่งและข้อเท็จจริง 50+ เรื่องสำหรับปี 2560-2561

การเลือกโดเมน

อันดับแรกแฮ็กเกอร์ลงทะเบียนโดเมนที่จะให้บริการโฮสต์ \ resource บนเว็บและทรัพยากรที่เป็นอันตราย.

  • เทคนิคทั่วไปรวมถึงการแทนที่อักขระที่คล้ายกันทางสายตา: i -> ล.
  • การแทนที่อักขระโดยใช้ Punycode
  • การลงทะเบียนชื่อโดเมนแบบสุ่มใด ๆ แต่ใช้โดเมนย่อยที่มีชื่อเป้าหมายที่จะปรากฏที่จุดเริ่มต้นเช่น admin.bankofindia.com.sample.com มันมีประสิทธิภาพมากสำหรับลูกค้ามือถือที่แถบที่อยู่ในกรณีส่วนใหญ่ได้รับการตัดเนื่องจากขนาดหน้าจอ.
  • ลงทะเบียนโดเมนเดียวกันทั้งหมดในโซนอื่นเช่น bankofindia.io.
  • ใช้บางสิ่งที่“ เป็นต้นฉบับ” เช่น bankofindia-blog.io.
  • การใช้ซอฟต์แวร์พิเศษที่ใช้วิธีการบางอย่างที่อธิบายไว้เช่น EvilURL และ DomainFuzz.

พนักงาน บริษัท ควรได้รับคำแนะนำให้เสมอ ตรวจสอบความไม่สอดคล้องกันอีกครั้งในโดเมน ทั้งในแถบ URL ของเบราว์เซอร์และหลังสัญลักษณ์ @ ในที่อยู่อีเมล.

หลังจากเลือกชื่อไซต์แล้วแฮกเกอร์จะผูกเข้ากับที่อยู่ IP และกำหนดค่าคุณสมบัติเพิ่มเติม.

เป็นเรื่องปกติที่แฮ็กเกอร์จะใช้บริการโฮสต์ยอดนิยมที่ให้การเข้าถึงแผงผู้ดูแลระบบซึ่งทุกอย่างสามารถกำหนดค่าได้ในไม่กี่คลิก ตัวอย่างเช่นพวกเขาอาจเช่า VPS ที่ DigitalOcean สำหรับ 5 USD ต่อเดือน.

ขั้นตอนถัดไปกำลังกำหนดค่า SPF, DKIM, DMARC:

  • SPF (กรอบนโยบายผู้ส่ง) เป็นรายการข้อความ DNS ซึ่งแสดงรายการเซิร์ฟเวอร์ที่ควรได้รับอนุญาตให้ส่งอีเมลสำหรับโดเมนเฉพาะ.
  • 2) DKIM (DomainKeys Identified Mail) ควรได้รับการพิจารณาเป็นวิธีการในการตรวจสอบว่าเนื้อหาของข้อความนั้นน่าเชื่อถือซึ่งหมายความว่าพวกเขาจะไม่เปลี่ยนจากช่วงเวลาที่ข้อความออกจากเซิร์ฟเวอร์อีเมลเริ่มต้น ชั้นความไว้วางใจเพิ่มเติมนี้เกิดขึ้นได้จากการดำเนินการตามกระบวนการลงนามคีย์สาธารณะ / ส่วนตัว.
  • 3) DMARC (การพิสูจน์ตัวตนข้อความโดเมนตามรายงานและสอดคล้อง) ช่วยให้ SPF และ DKIM โดยระบุนโยบายที่ชัดเจนซึ่งควรใช้เกี่ยวกับเครื่องมือทั้งสองข้างต้นและอนุญาตให้ตั้งที่อยู่ซึ่งสามารถใช้ส่งรายงานเกี่ยวกับสถิติข้อความเมล รวบรวมโดยผู้รับกับโดเมนเฉพาะ.

ถัดไปหากแผนคือการส่งข้อความฟิชชิ่งโดยใช้อีเมลมีความจำเป็นต้องเพิ่มบัญชีอีเมลที่เชื่อมโยงกับโดเมน สามารถส่งมอบหน้าที่การส่งตามจริงไปยังบริการบุคคลที่สามซึ่งสามารถช่วยได้ในบางกรณี ตัวอย่างเช่นโจรใช้บริการที่ถูกกฎหมายเช่น SendGrid, Mandrill, GMail สำหรับธุรกิจ.

ขั้นตอนต่อไปคือการออกใบรับรอง SSL สำหรับโดเมนฟิชชิ่ง วิธีนี้ช่วยให้แฮกเกอร์สามารถเปิดใช้งาน HTTPS บนเว็บไซต์ปลอมของพวกเขาซึ่งสามารถทำให้ผู้ที่ตกเป็นเหยื่อไว้วางใจได้มากขึ้น. ในอดีต HTTPS มักจะบ่งบอกถึงเว็บไซต์ที่ถูกต้องตามกฎหมาย แต่ก็ไม่ได้เป็นเช่นนั้นอีกต่อไปและพนักงานของ บริษัท ควรรับรู้ถึงสิ่งนี้.

Let 's เข้ารหัสทำงานได้ดีอย่างสมบูรณ์แบบสำหรับสิ่งนี้ มีสคริปต์การปรับใช้จำนวนมากขึ้นอยู่กับเว็บเซิร์ฟเวอร์ที่ใช้.

ในการเปิดใช้งาน HTTPS บนเว็บไซต์ของคุณแฮ็กเกอร์ต้องได้รับใบรับรอง (ไฟล์ประเภท) จาก Certificate Authority (CA) Let's เข้ารหัสเป็น CA เพื่อให้ได้รับใบรับรองสำหรับโดเมนของเว็บไซต์ของคุณจาก Let 's Encrypt พวกเขาเพียงแค่ต้องแสดงให้เห็นถึงการควบคุมโดเมน พร้อมผู้ให้บริการโฮสติ้งมากมายให้การสนับสนุนในตัวฟรีสำหรับการเข้ารหัสของ Let’s.

สร้างสำเนาปลอมของเว็บเพจที่ถูกกฎหมาย

ฟิชชิ่งอาศัยหน้าเว็บปลอมที่มีลักษณะเหมือนหน้าเว็บที่ถูกกฎหมายเพื่อหลอกเหยื่อให้ป้อนข้อมูลส่วนตัวเช่นรหัสผ่าน ตัวเลือกแรกคือการคัดลอกไซต์จริงด้วยตนเองผ่านเบราว์เซอร์หรือใช้ GNU Wget มีความจำเป็นต้องเปลี่ยนลิงค์คัดลอกสไตล์และรูปภาพดูว่าคำขอใดถูกส่งไปเมื่อผู้ใช้พยายามพิสูจน์ตัวตนในหน้านั้นและสร้างสคริปต์ที่จะคัดลอกข้อมูลที่ส่งไป.

ในท้ายที่สุดบางคนเปลี่ยนเส้นทางไปยังหน้าเดิม มีตัวอย่างมากมายของสคริปต์ดังกล่าวบนอินเทอร์เน็ต.

ด้วยเหตุนี้พนักงานของ บริษัท ควรทราบว่า เว็บไซต์ฟิชชิ่งสามารถมีลักษณะเหมือนกับเว็บไซต์ของแท้ได้อย่างสมบูรณ์แบบ พวกเขากำลังปลอมตัวดังนั้นรูปลักษณ์จึงไม่ใช่วิธีที่ดีในการตัดสินว่าไซต์นั้นถูกกฎหมายหรือไม่.

ตัวเลือกที่สองคือการใช้ชุดเครื่องมือทางสังคม โดยทั่วไปนี่ไม่ใช่ตัวเลือกที่ดีที่สุดเนื่องจากเกี่ยวข้องกับเว็บเซิร์ฟเวอร์ของตัวเอง ในหัวข้อของกรอบฟิชชิ่งคู่อื่น ๆ รวมถึง: Gophish และ King Phisher

กำลังส่งอีเมลฟิชชิง

นักหลอกลวงฟิชชิ่งต้องรวบรวมที่อยู่อีเมลจำนวนมาก จากที่ไหน? มีตัวเลือกมากมาย:

  • จากเว็บไซต์เป้าหมาย ซอฟต์แวร์และบริการรวมถึง: Email Extractor ออนไลน์ฟรี Email Extractor Email Hippo Email Grabber.
  • จากข้อมูล DNS และ WHOIS โดยใช้บริการเช่น MxToolbox, DNSdumpster.com
  • แรงเดรัจฉานง่าย.
  • จากเครือข่ายโซเชียลเช่น LinkedIn, Facebook.
  • ฐานข้อมูลอีเมลเฉพาะ: Hunter, Toofr.
  • จากเครื่องมือค้นหายอดนิยม.
  • จากฐานข้อมูลรั่วไหลทุกประเภท (บางครั้งที่อยู่อีเมลไปพร้อมกับรหัสผ่านที่ถูกต้อง): Snusbase, We Leak Info.
  • ซอฟต์แวร์ OSINT พิเศษเช่น Maltego.

หัวข้อของ OSINT (โอเพ่นซอร์สอัจฉริยะ) นั้นอยู่นอกเหนือขอบเขตของบทความนี้ แต่ฉันจะให้ลิงก์สองสามอย่างที่คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับบริการวิธีการและเครื่องมือที่มี: OSINT Framework, Awesome OSINT Good OSINT สามารถช่วยในการโจมตีฟิชชิ่งเป้าหมายได้อย่างมาก แต่ต้นทุนแรงงานค่อนข้างสูงและไม่ค่อยได้ใช้ในการโจมตีระดับต่ำ.

พนักงาน บริษัท ควรถือว่าที่อยู่อีเมลทั้งหมดของพวกเขานั้นเปิดเผยต่อสาธารณะ และทุกคนรวมถึงนักหลอกลวงสามารถกำหนดเป้าหมายได้.

การสร้างอีเมลหลอกลวง

เมื่อรวบรวมที่อยู่อีเมลแล้วก็ถึงเวลาที่ต้องดำเนินการทดสอบแคมเปญอีเมล Crooks ใช้โดเมนแยกต่างหาก ทดสอบแคมเปญช่วยให้เข้าใจว่าข้อความอีเมลของ บริษัท ทั่วไปมีลักษณะอย่างไรลักษณะของข้อความรูปแบบทั่วไปของข้อความส่วนหัวเครื่องมือป้องกันสแปมใด ๆ ไคลเอนต์อีเมลที่ใช้และสิ่งอื่น ๆ.

บริษัท ส่วนใหญ่ใช้การออกแบบลายเซ็นของตนเองซึ่งรวมถึงชื่อเต็มของพนักงานตำแหน่งรายละเอียดการติดต่อ ฯลฯ แฮกเกอร์เพียงแค่คัดลอกสนใจโครงสร้างการออกแบบภาพ (สีตัวอักษร) ฯลฯ.

อีเมลใด ๆ ที่มีส่วนหัวที่อาจช่วยให้เข้าใจว่ามีการใช้ระบบการกรองหรือให้รายละเอียดเกี่ยวกับไคลเอนต์อีเมลหรือเว็บอินเตอร์เฟสเฉพาะ.

เมื่อพูดถึงตัวกรองสแปมก่อนที่จะส่งอีเมลใหม่ ๆ ออกไปโจรจะทดสอบข้อความด้วย SpamAssassin ในระบบอื่น SpamAssassin จัดทำ "คะแนน" - การประเมินความน่าจะเป็นแบบอัตนัยว่าอีเมลนั้นเป็นสแปม คะแนนนี้เป็นโอกาสในการแก้ไขก่อนที่จะส่งอีเมลจริงเพื่อให้แน่ใจว่าไม่ได้ถูกดักจับในตัวกรองสแปม.

ในฐานะที่เป็น หัวเรื่อง จากอีเมลที่ใช้ง่ายและทั่วไป:

  • กรุณาเซ็นเอกสาร
  • สำรวจ
  • ตารางการทำงานสำหรับวันหยุด

หากตัวอักษรอยู่ในรูปแบบ HTML และมีลิงก์ไปยังแหล่งข้อมูลบุคคลที่สาม (สไตล์ภาพ) ดังนั้นไคลเอนต์อีเมลบางรายจะบล็อกเนื้อหาดังกล่าวตามค่าเริ่มต้นแม้ว่าผู้ใช้จะสามารถปลดล็อกได้ก็ตาม แฮกเกอร์ใช้กลอุบายทางวิศวกรรมสังคมเพื่อให้ผู้ใช้คลิก ตัวอย่างเช่นข้อความอาจกระตุ้นให้ผู้ใช้ดูอินโฟกราฟิกหรือคูปอง.

พนักงาน บริษัท ควรได้รับคำสั่งให้จับตาดูกลอุบายทั่วไปเหล่านี้และ อย่าคลิกลิงก์หรือไฟล์แนบในอีเมลที่ไม่ได้ร้องขอ.

ในบางครั้งโจรจะระบุผู้รับหลายคน (ส่วนหัวสำเนาถึง) ภายใน บริษัท เดียวกัน บางครั้งพวกเขาใช้ Fwd หรือ เรื่อง ในบรรทัดเรื่อง - ทั้งหมดนี้เพิ่มความน่าเชื่อถือ.

ดูสิ่งนี้ด้วย: หลอกลวงฟิชชิ่งทั่วไป

แนบไฟล์อีเมล

เมื่อข้อความพร้อมก็ถึงเวลาที่จะดำเนินการกับสิ่งที่แนบมา แฮกเกอร์อาจไม่เพียง แต่สนใจรับเหยื่อเพื่อเปิดอีเมล พวกเขาอาจต้องการเจาะอุปกรณ์ของผู้รับด้วยมัลแวร์และสิ่งที่แนบมากับอีเมลเป็นช่องทางหลักในการทำเช่นนั้น.

Crooks มักจะส่งอะไร เป็นพื้น, เอกสาร Microsoft Office และบางครั้งเก็บถาวร. การส่งส่วนขยายที่ปฏิบัติการปกติ (.exe) นั้นเกือบ 100 เปอร์เซ็นต์ที่แน่นอนว่าตัวกรองสแปมจะหยุดทำงาน มันแปลก แต่ บริษัท กรองไฟล์นามสกุลเกือบทั้งหมดที่อาจเป็นอันตรายในสิ่งที่แนบมา แต่ อนุญาตให้ RAR, ZIP และคลังเก็บอื่น ๆ ผ่านไปได้.

ในกรณีของเอกสารสำนักงานมีการใช้ตัวเลือกต่อไปนี้:

  • การหาประโยชน์ทุกประเภทสำหรับช่องโหว่สาธารณะ
  • แมโคร;
  • การแลกเปลี่ยนข้อมูลแบบไดนามิก
  • OLE;
  • รูปแบบไฟล์ทั่วไปที่น้อยกว่าเช่น HTA บางครั้งเป็นไปได้ที่จะหาช่องโหว่หรือช่องโหว่.

หากแฮ็กเกอร์สนใจที่จะลงทะเบียนความพยายามในการเปิดไฟล์พวกเขามีวิธีการสองสามประการดังนี้:

  • การเข้าถึงแหล่งข้อมูลภายนอก (บางครั้งอาจมีการรั่วไหลของข้อมูลที่เป็นประโยชน์)
  • การเซ็นเอกสารด้วยใบรับรองดิจิทัล
  • การตรวจสอบผู้ติดต่อกับเซิร์ฟเวอร์ CRL หรือ Timestamp.

อีกครั้ง, พนักงานไม่ควรคลิกที่ไฟล์แนบในอีเมลที่ไม่พึงประสงค์ และระวังเอกสาร Microsoft Office และไฟล์บีบอัดโดยเฉพาะ.

สังคมออนไลน์

สำหรับเครือข่ายสังคมออนไลน์และวิธีการสื่อสารอื่น ๆ วิธีการไม่แตกต่างจากฟิชชิ่งอีเมลทั่วไปมากนัก ฟอรัม Darknet มีการถ่ายโอนข้อมูลพร้อมสำเนาของจดหมายโต้ตอบส่วนตัวและการแชท สิ่งเหล่านี้มีวัตถุประสงค์เพื่อสร้างความสัมพันธ์ที่เชื่อถือได้กับเหยื่อที่นำไปสู่การส่งลิงค์หรือไฟล์ที่เป็นอันตราย.

พนักงาน บริษัท ควรทราบว่าพวกเขาสามารถกำหนดเป้าหมายผ่านสื่อสังคมออนไลน์และอีเมล.

สื่อทางกายภาพ

แฮกเกอร์อาจปล่อยให้แฟลชไดรฟ์ USB หรือสื่อทางกายภาพอื่น ๆ วางอยู่รอบ ๆ เพื่อล่อให้ผู้ที่ตกเป็นเหยื่อใส่เข้าไปในอุปกรณ์ส่วนตัวของพวกเขา กลยุทธ์แตกต่างกันอย่างกว้างขวาง แต่โดยปกติแล้วในรูปแบบเดียวหรืออื่น ๆ มีโอกาสที่จะมีปฏิสัมพันธ์กับพนักงาน ในกรณีส่วนใหญ่ Crooks ใช้ Rubber Ducky หรือแบบจำลองราคาถูกจาก AliExpress.

บริษัท พนักงานไอทีควรกำหนดนโยบายที่ไม่อนุญาตให้ใช้อุปกรณ์ USB ส่วนบุคคลในสำนักงาน.

ผลกระทบของฟิชชิ่ง

สิ่งต่าง ๆ มีแนวโน้มที่จะหลุดพ้นจากมือหากผู้ใช้เกิดความกังวลกับข้อผิดพลาดโดยเฉพาะอย่างยิ่งถ้าเป้าหมายเป็นพนักงาน บริษัท เมื่อได้รับสิทธิ์การเข้าถึงที่ละเอียดอ่อนฝ่ายตรงข้ามอาจขโมยทรัพย์สินทางปัญญาและวัสดุอื่น ๆ ที่เป็นกรรมสิทธิ์ของ บริษัท นอกจากนี้พวกเขาสามารถสร้างความเสียหายต่อชื่อเสียงของ บริษัท โดยการเปิดเผยการสื่อสารภายใน - ในที่สุดนี้จะทำลายความไว้วางใจของลูกค้าสำหรับแบรนด์ ในบางกรณีแฮกเกอร์เริ่มแบล็กเมล์องค์กร ในบางสถานการณ์องค์กรอาจต้องเผชิญกับค่าใช้จ่ายเพิ่มเติมโดยตรงโดยต้องจ่ายค่าปรับสำหรับการละเมิดข้อบังคับเช่น HIPAA และชดเชยค่าชดเชยให้กับพนักงานหรือลูกค้าหากไม่สามารถปกป้องตัวตนของพวกเขาได้.

ผู้ใช้ทั่วไปเสี่ยงต่อการเสียเงินมากกว่าฟิชชิงหากอาชญากรเข้าถึงบัญชีธนาคารของตนได้ การโจมตีที่ประสบความสำเร็จยังสามารถประคับประคองการบีบบังคับผู้กระทำความผิดเรียกร้องค่าไถ่เนื่องจากไม่เปิดเผยข้อมูลที่น่าอับอายเกี่ยวกับเหยื่อ การติดตั้งมัลแวร์ในคอมพิวเตอร์ของผู้รับเป็นอีกหนึ่งกิจกรรมที่เป็นไปได้ของผู้กระทำความผิด.

ในตอนท้ายของวันการโจมตีแบบฟิชชิงจะส่งผลร้ายต่อผู้ใช้ทั้งองค์กรและผู้ใช้ตามบ้าน เพื่อความปลอดภัยโปรดระวังธงสีแดงที่ระบุไว้ด้านบนและปฏิบัติต่ออีเมลที่น่าสงสัยด้วยความหวาดระแวงที่สมเหตุสมผล เคล็ดลับเพิ่มเติมเกี่ยวกับการหลีกเลี่ยงฟิชชิงสามารถดูได้ในคู่มือของเราที่นี่.

ดูสิ่งนี้ด้วย: ฟิชชิ่งหอกคืออะไร?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

11 − 4 =

Adblock
detector