Шта је пхисхинг као услуга и како функционише?

Пецање је моћна техника за навођење људи да открију информације. Нападач шаље имејл за који се чини да потиче из легитимног извора као што је банка. Жртва кликне на ту везу, покуша да се пријави на свој налог, а њени подаци за пријаву су украдени.

Успех пхисхинг кампање зависи од тога колико је она реална. Ово захтева скуп вештина које многи сајбер криминалци немају и то је некада била значајна препрека уласку. Али „пецање као услуга“ то мења.

Дакле, шта је пхисхинг као услуга?

Шта је пхисхинг као услуга?

Пецање као услуга (ПааС) је део тренда у коме сајбер криминалци постају пружаоци услуга. Уместо да сами изводе сајбер нападе, они помажу другима да изврше нападе у замену за накнаду.

Заснован је на пословном моделу Софтвер као услуга где се корисницима омогућава приступ софтверу у замену за месечну накнаду.

Ово омогућава сајбер криминалцима нови ток прихода и омогућава свакоме да изврши професионалније нападе.

Како функционише ПааС?

Продавци ПааС-а оглашавају своје производе као комплете за пхисхинг. Они се првенствено продају на мрачном вебу, али неки комплети за пхисхинг су сада доступни на површинском вебу (тј. на редовном интернету).

Комплет за пхисхинг укључује све што је потребно за покретање а успешан пхисхинг напад. Они укључују шаблоне е-поште за слање е-поште за које се чини да долазе од легитимних компанија, као и шаблоне за веб странице на које се шаљу жртве. Неки комплети за пхисхинг такође укључују листе потенцијалних мета.

Пошто су комплети за крађу идентитета намењени онима без техничких вештина, они такође често укључују детаљна упутства и корисничку подршку.

Комплети за пхисхинг се рекламирају као производи који омогућавају свакоме да заради новац изводећи пхисхинг нападе без обзира на њихов скуп вештина. Ово је популарна услуга за оне који желе да се укључе у сајбер криминал, али немају потребно знање.

Шта се дешава са украденим акредитивима?

Након што су акредитиви жртве украдени, постоје бројне могућности. Нападач може користити саме акредитиве. Ако је у питању финансијски рачун, они могу покушати да пренесу средства. Или ако је то приступ мрежи, они могу да користе тај приступ за покретање напад рансомваре-а.

Акредитиви се такође могу препродати на мрачном вебу. Ово омогућава некоме да профитира од украдених акредитива чак и ако они заправо немају користи од њих.

Неки комплети за пхисхинг су такође дизајнирани да задрже копију украдених акредитива и пошаљу их издавачу комплета за пхисхинг. Ово обезбеђује додатни потенцијални приход за издавача комплета за пхисхинг. То такође значи да се акредитиви често препродају на мрачном вебу чак и ако је особа која их је украла имала друге намере.

Зашто је ПааС проблем?

ПааС је проблем јер уклања баријеру за улазак у пхисхинг. Обично би сајбер криминалац морао да разуме ХТМЛ да би направио ефикасну е-пошту. Такође би требало да разумеју како да направе веб локацију која изгледа реалистично и краде лозинке. Ако неко купи комплет за пхисхинг, нису му потребне ове вештине да би спровео напад.

ПааС чини људе који већ спроводе пхисхинг нападе успешнијим. Успех кампање често је ограничен способностима починилаца. Ако та особа плати за пхисхинг комплет, вероватно ће више људи пасти на њихове нападе.

ПааС такође отежава кривично гоњење пхисхинг напада.

Омогућава људима који су добри у дизајнирању комплета за крађу идентитета да профитирају од активности без да сами спроводе било какве нападе на пхисхинг. Ако особа која користи пхисхинг комплет буде ухваћена, особа која је обезбедила комплет за пхисхинг вероватно ће избећи кривично гоњење. Затим могу наставити да продају другима.

Ко је мета „пецања“?

Фишинг напади се спроводе и против предузећа и приватних лица. Ако је на мети приватна особа, акредитиви за пријаву на њихове финансијске и личне рачуне могу бити украдени.

Успешан пхисхинг напад на предузеће може довести до других сајбер напада. Ако нападач украде акредитиве мреже, приватне информације купаца могу бити украдене или се може инсталирати рансомваре.

Како избећи пхисхинг

Иако ПааС отежава откривање пхисхинг напада, они се и даље могу избећи ако разумете шта да тражите.

Проверите пошиљаоца

Пецање имејлова се ослања на то да прималац не гледа правилно име пошиљаоца. Пошиљалац може да користи лажирање е-поште да би изгледао легитимно, али је немогуће избећи мање варијације правописа.

Потражите грешке у форматирању

ПааС производи често укључују веома реалистичне е-поруке, али и даље нису тако професионални као права ствар. Потражите грешке у форматирању и језику који се користи.

Без обзира ко је пошиљалац, требало би никада не кликните на везу у е-поруци. Такође никада не би требало да преузимате прилог е-поште осим ако нисте сигурни шта садржи.

Будите опрезни са захтевима за информације

Сви пхисхинг е-поруци траже од вас да нешто урадите. Требало би да будете сумњичави према било којој е-поруци која од вас тражи да пружите информације или да се пријавите на налог.

Предузећа треба да обучавају запослене

Фишинг напади на предузећа првенствено су усмерени на запослене. Да би се ова претња ублажила, сви запослени морају да прођу одговарајућу обуку.

Предузећа могу да користе софтвер за спречавање пхисхинг-а

Софтвер је широко доступан за откривање пхисхинг порука е-поште и спречавање да дођу у пријемно сандуче запослених. Иако овај софтвер није адекватна алтернатива обуци запослених, он може смањити величину претње са којом се запослени суочавају.

ПааС чини пхисхинг већом претњом

Пецање представља значајну претњу и приватним лицима и предузећима. То доводи до хаковања налога појединаца и упада у мрежу у предузећима. ПааС доприноси овој претњи дозвољавајући било коме да спроводи такве нападе без обзира на њихову вештину.

Увођење ПааС-а не само да повећава стопу пхисхинг-а, већ и чини сваки напад потенцијално ефикаснијим. Иако су е-поруке за крађу идентитета често очигледне, свако ко користи плаћени комплет за пхисхинг можда ће моћи да украде много више акредитива.

Може ли ваш Нетфлик налог бити хакован?

Реад Нект