¿Está tu empresa protegida contra ataques “SHING”?

Ist Ihr Unternehmen vor „SHING“-Angriffen geschützt?

Iñigo Ladrón Morales



Sicherlich haben Sie in Ihrem Unternehmen ohne jeden Zweifel, wenn nicht sogar Tausende, dann Hunderte von „Angriffe vom Typ SHING". Worauf wetten Sie?!

In Unternehmen verfügen wir über zahlreiche Software, Hardware, professionelle Dienstleistungen und mehr oder weniger strenge Maßnahmen zum Schutz unserer physischen und digitalen Vermögenswerte. Aber abgesehen davon...


Andererseits ist die 98 % der Cyber-Bedrohungen mit denen Unternehmen konfrontiert sind, beginnt mit einer E-Mail das im Postfach eines seiner Mitarbeiter landet, wie auch im Bericht zum Ausdruck kommt. Letztlich sind Menschen Empfänger und Aktivatoren von Bedrohungen.

Und darüber hinaus die 95 % der Cybersicherheitsprobleme zugeschrieben werden kann menschlicher Faktor, wie von hervorgehoben Globaler Risikobericht 2022, 17. Ausgabe, des Weltwirtschaftsforum.

Nun ja, dem müssen wir uns auch mit aller Kraft stellen, dem gegen Menschen gerichtete Cyberangriffe, um Menschen zu schützen und unser Unternehmensvermögen zu schützen.

Es geht nicht mehr nur darum, über Artillerie und Schutz- und Präventionsinstrumente zu verfügen, wir müssen auch das Bewusstsein schärfen, unsere Mitarbeiter, Partner und Lieferanten (jeden, der auf unsere Systeme und Dienste zugreift und sie nutzt) schulen und schulen, damit sie nicht in Täuschungen geraten und Betrügereien, die ansprechen Sensibilität und menschliches Verhalten.

Der Manipulation von Menschen, Die psychologische Manipulation, ansprechend auf Situationen von Dringlichkeit, von Solidarität, von Gemeinschaft, Sozialusw. gehören zu den am häufigsten verwendeten und effektivsten Techniken Cyberkriminelle.

Kurz gesagt, die Verwendung von Soziale Entwicklung. Und ein großer Teil davon kommt auf unser Unternehmen zu als „SHING", Er Kunst, Menschen zu täuschen, um sie dazu zu bringen, das zu tun, was Sie von ihnen erwarten, und in den meisten Fällen ohne sie verwenden zu müssen Schadsoftware, Ist Ransomware, keine fortschrittlichen Technologien, nicht einmal irgendeine Art von Technologie, sondern nur Menschen benutzen, um anzugreifen.

Es kommt uns bekannt vor, oder? Wenn er "Schindel„ist eine bekannte und sehr verinnerlichte Bedrohung, die wir nur schwer oder sehr schwer bekämpfen können, sowohl auf individueller Ebene in unseren Häusern und persönlichen oder familiären Geräten als auch im Unternehmensbereich von Unternehmen aller Art und Weise Größen: Phishing, smshing, wünscht sich, QRshing, CEO-Betrug, ataques BEC (Business Email Compromise) Ö Bindung von Konten. Wir kennen sie, oder? Und warum haben wir sie (häufig) in unseren Unternehmen erhalten? Haben wir gestochen? Welche Auswirkungen hatten sie?

Was ist der Phishing? Er INCIB definiert es sehr kurz und klar als „den Haken in Ihrem Posteingang“, fügt jedoch eine technischere und professionellere Definition hinzu:

Er Phishing ist eine Technik, die darin besteht, eine E-Mail per E-Mail zu senden Cyberkrimineller an einen Benutzer vorgeben, eine legitime Einheit zu sein (soziales Netzwerk, Bank, öffentliche Einrichtung, Firma, Lieferant, Partner, etc.) mit dem Ziel von Informationen stehlen privat, führe a aus Wirtschaftslast Ö infizieren das Gerät, durch seine Inhalt, angehängte Dokumente Ö Links zu betrügerischen Seiten in der E-Mail”.

Und bei solchen Angriffen „Schindel“, gibt es darüber hinaus viele Modalitäten Phishing das kommt per E-Mail:

  • Schmunzelnd, das die kombiniert verwaltet SMS und das Phishing als solches verwenden Textnachrichten um Opfer auf falsche, illegale oder betrügerische Websites zu leiten und sogar Empfängerbenutzer aufzufordern, Maßnahmen zu ergreifen.
  • wünschen, bestehend aus einem Angriff von Phishing durch ein Anruf, bei dem der Anrufer versucht, sich als eine legitime Person auszugeben, beispielsweise ein Unternehmen, eine offizielle Stelle, eine öffentliche Verwaltung, ein Lieferant, ein Kunde usw., und vom Empfänger des Anrufs bestimmte Arten persönlicher, privater oder persönlicher Informationen erfragt. vertraulich behandeln und sogar Maßnahmen ergreifen.
  • QRshing, das die Lesart von verwendet QR-Codes falsch, betrügerisch, rechtswidrig oder böswillig, um Benutzer zu einem zu verleiten Webseite o eins form von dem es heruntergeladen wird Schadsoftware, oder wo Einführung anfordern personenbezogener, privater oder vertraulicher Daten.
  • Speerfischen, was ein Angriff von ist Phishing In jeder seiner Modalitäten ist es ein Angriff, der sich gezielt gegen eine Person (oder mehrere) im Unternehmen richtet, an einen Mitarbeiter eines Unternehmens, an eine öffentliche Einrichtung oder Verwaltung, an ein bestimmtes Unternehmen, an eine bestimmte Organisation, an einen Politiker usw. Es ist eine Art von Phishing weiter "studiert„, aufwendig und effizient, da Cyberkriminelle zuvor die Organisation, ihre Mitarbeiter und die anzugreifenden Personen untersucht haben und dabei bereits die Empfänger, ihre Gewohnheiten, Rollen, Verantwortlichkeiten, Fähigkeiten, den Zugriff, den sie haben, auf Informationen, auf die sie zugreifen können, und ihre Berechtigungen kennen bestimmte Arten von Aktivitäten durchführen und daher wissen, was sie daraus ziehen können.
  • Wal-Phishing, Walfang, Ö Wünschen, was ähnlich ist Speerfischen, unterscheidet sich von ihm darin, dass sich der Angriff in diesem Fall gegen bestimmte Personen mit sehr hohem Ansehen richtet. Hohes Profil innerhalb des Unternehmens oder der Organisation (ein „fetter Fisch” der Organisation wie die Partner, der Präsident, die Mitglieder des Vorstands, der CEO, der Generaldirektor, die Mitglieder der C-Ebene und sogar andere Arten von Unternehmensprofilen, wie der DPO usw. ), die haben Zugriff auf und Verwaltung spezifischer Informationen vertraulicher und strategischer Art.
  • Pharming, das aus einer Art von besteht Phishing anspruchsvoller, seitdem Cyberkriminelle leiten den Datenverkehr von einer echten Website um, wahrheitsgetreu und legitim (durch verschiedene Arten von Techniken), auf eine gefälschte Website, betrügerisch oder unrechtmäßig, wenn die Privatsphäre und Sicherheit der Informationen gefährdet ist.
  • Klon-Phishing, bestehend aus a Cyberkrimineller fängt ab und erhält zuvor a legitime E-Mail-Adresse der Organisation supplantada, was sich später ändert (im Allgemeinen durch Eingabe von Text mit Anweisungen für den Empfänger zur Bewerbung, eines betrügerischen Links oder sogar angehängter Dateien mit Malware). Dadurch wird eine höhere Verlässlichkeit der Botschaft und damit eine höhere Wirksamkeit erreicht.
  • Angler-Phishing, Ö Phishing-Soziale Netzwerke, durch die die Cyberkriminelle mach ein Identitätsbetrug, oder sie geben sich einfach als Mitarbeiter des technischen Supports eines Unternehmens aus (z. B. im Fall von Gefälschter technischer Support von Microsoft der uns telefonisch anruft) oder von der Einkaufsabteilung, der Rechnungsabteilung oder Ähnlichem, um den Empfänger zu täuschen und ihn dazu zu bringen, bestimmte persönliche und/oder vertrauliche Informationen des Unternehmens preiszugeben.
  • CEO-Betrug. In diesem Fall gibt es, obwohl dem vorherigen Fall ähnlich, auch Situationen, in denen innerhalb eines Unternehmens die Identität eines hohen Beamten wird vorgetäuscht (im Allgemeinen mit spezifischem Gewicht, z. B. der CEO, ein Manager, ein Abteilungsleiter usw.), um sicherzustellen, dass der Empfänger der Nachricht (ein Mitarbeiter) darauf vertraut, dass die Nachricht tatsächlich von dem stammt, von dem sie zu stammen scheint, und dass sie legitim ist und daher tut der Mitarbeiter, wozu er in dieser E-Mail aufgefordert wird. Diese Art von Angriffen bzw. Angriffstechniken werden auch als bezeichnet Ataques BEC (Business Email Compromise).
  • Malvertising, was etwas weiter geht, da die Cyberkriminelle sie kommen zu Kaufen Sie Werbung und Anzeigen in sozialen Netzwerken und Plattformen (z. B. animierte und anklickbare Bilder und Banner), einschließlich Links zu illegalen und/oder betrügerischen Websites. Ein spezifischer Fall dieser Art von Angriffen ist der von Pop-up-Phishing, das beim Besuch einer Webseite Popup-Meldungen (normalerweise Hinweise, Anzeigen oder Werbeanzeigen) anzeigt. Allerdings sind diese betrügerische Anzeigen Sie könnten auf jede andere Art und Weise angezeigt werden.
  • Black-Hat-SEO, Suchmaschinen-Phishing, Ö SEO-Vergiftung. In diesem Fall sind die Dinge komplexer, da die Cyberkriminelle Sie haben eine Strategie Sie arbeiten und investieren Geld in die Manipulation der SEM/SEO-Positionierung seiner Links im Internet, mit dem Ziel, dass diese bei Suchmaschinen wie z.B. immer an erster Stelle erscheinen Google, Bing, Und Yahoo.
  • Gefälschtes WLAN-Phishing, Ö Gefälschtes Hotspot-Phishing, Ö Evil Twin Phishing, bestehend aus Cyberkriminelle erzeugen ein gefälschtes WLAN Ihres, das aussieht wie ein weiteres offenes öffentliches WLAN, das bereits vorhanden und an einem bestimmten Ort verfügbar ist, wo Benutzer eine Verbindung herstellen und denken, es sei das richtige.
  • SIM-Tausch, durch welche Cyberkriminelle Dienstleister davon überzeugen Telefonnummer übertragen der Person, die Sie angreifen wollen auf eine neue SIM-Karte. Dadurch erhalten Angreifer Zugriff auf Nachrichten und Anrufe der angegriffenen Person.
  • Watering-Hole-Phishing, Ö Watering-Hole-Angriff, bei dem es sich um einen konkreten Angriff auf ein bestimmtes Unternehmen oder eine bestimmte Organisation handelt. Der Cyberkriminelle Sie erkennen die Websites, Domänen oder URLs, die am häufigsten oder mit dem meisten Datenverkehr von den Geräten der Mitarbeiter eines bestimmten Unternehmens besucht werden, und leiten sie von diesen korrekten URLs auf bösartige URLs (die den Mitarbeitern gehören und von ihnen verwaltet werden) um. Cyberkriminelle) das kann Malware herunterladen. Es könnte ähnlich sein Pharming, aber es ist nicht genau dasselbe.
  • Hishing Ö Hardware-Phishing die zwar nicht wie in früheren Fällen eine Täuschungstechnik in Betracht zieht, aber darin besteht Cyberkriminelle, durch verschiedene Methoden, verstecken„Malware auf verschiedenen Geräten (Computer, Laptops, Mobiltelefone usw.), die an andere Benutzer geliefert werden sollen (Vermietung, Neuverkauf, Gebrauchtverkauf usw.).

Und ohne Zweifel gibt es und wird es noch viele weitere Variationen und Nuancen in Bezug auf Techniken, Mechanismen, Tricks und Täuschungen geben Cyberkriminelle Sie erreichen ihre Ziele.

Diese Art von Angriffen Phishing die schließlich in den meisten Fällen die verwenden soziale Entwicklung, sie existieren nebeneinander, werden kombiniert und können sogar mit anderen Angriffstaktiken kombiniert werden, die sie ebenfalls verwenden, wie zum Beispiel:

  • Er Vorwand versucht, die angegriffene Person (das Opfer) dazu zu bringen, persönliche und/oder vertrauliche Informationen preiszugeben, und zwar mithilfe einer „Vorwand" Ö "Vorwände„(Ausreden), die Ihre Interessen, die des Unternehmens, des Geschäfts usw. ansprechen und Sie aufgrund einer vermeintlich notwendigen Handlungsdringlichkeit, Dringlichkeit, Solidaritätsaspekten, sozialen Belangen usw. zu etwas Bestimmtem motivieren. Und so kam es dass der Cyberkriminelle Sie manipulieren ihre Opfer dazu, das zu tun, was sie von ihnen wollen. Einige Fälle, Typen oder Beispiele sind die betrügt Ö Betrügereien die sich auf Situationen beziehen, die mit einem Vermeintlichen zusammenhängen Technische Unterstützung (zum Beispiel der Fall von Technischer Support von Microsoft), der Fall von CEO-Betrug, die wirtschaftlichen, bezogen auf Annahmen Auszeichnungen, Erbschaften Und Glücksspiel, usw.
  • Er Hetze besteht aus der Hinterlegung der verlassen "verlassen„ein Speichergerät (ein USB-Stick, eine Wechselfestplatte, ein SD-Speicher oder ein anderer Gerätetyp) Schadsoftware enthalten innen. Das Ziel besteht darin, dass jeder, der es findet, es nimmt, darauf zugreift, es nutzt und es mit anderen Geräten verbindet, um Sie zu infizieren und so das Gesagte zu verbreiten Schadsoftware, massiv beeinflussend. Abhängig vom Medium oder Ort, an dem sich die Malware befindet, kann es auch andere Varianten geben Gefälschter WLAN-Hotspot (wo ein WLAN-Zugangspunkt), Codelesen Betrügerische QR-Codes (QRshing), Betrug in Soziale Netzwerke oder soziale Medien (wo sie geteilt werden URLs, Links, Links sogar Bilder Ö Multimedia-Elemente anklickbar, aus dem die Schadsoftware), Eigen Black-Hat-SEO, usw.
  • Er Zu dichtes Auffahren, das ist die Menge der Techniken soziale Entwicklung mit welchem Cyberkriminelle sie bekommen eine Unautorisierter Zugriff, an das Unternehmensnetzwerk (oder jeden anderen Dienst oder System, das über Validierung/Anmeldung verfügt), durch Analyse des Verhaltens von Benutzern/Mitarbeitern. Einige dieser Techniken können sein Keylogging (wodurch die Tastenanschläge durch Benutzer/Mitarbeiter durchgeführt werden) oder die Bluetooth-Hacking (oder Angriff und Zugang zur Kommunikation Bluetooth für "seufzen" Ö die abfangen Informationen, die durch sie hindurchgehen), unter vielen anderen.

Wie wir bei allen gesehen haben, ist das Cyberkriminelle Sie nutzen unterschiedliche Kanäle, Mittel oder Mechanismen, um zu handeln, wobei die wichtigsten in der Regel die folgenden sind:

  • Email (Phishing traditionell).
  • SMS-Nachrichten Text (smishing).
  • Anrufe Telefon (wünscht sich).
  • QR-Codes (QRshing).

Und das alles ist an der Tagesordnung, mehr noch als wir denken. Unendlichkeit, die überwiegende Mehrheit davon Cyberangriffe Erfolgreiche Angriffe gegen Unternehmen, gegen Organisationen und deren Mitarbeiter basieren auf diesen Mechanismen bzw. Techniken. Zur Information, ein Button… im Jahr 2023:

  • Er E-Mail ist der Hauptbedrohungsvektor. Er 98 % aller Bedrohungen beginnen mit einer E-Mail durch gegen Menschen gerichteter Angriff, davon die 12% sind Fälle von Phishing und das 49% Fälle von Diebstahl von Anmeldedaten, Laut ihm Untersuchungsbericht zu Datenschutzverletzungen 2023 von Verizon.
  • Drei von vier E-Mail-Vorfällen (Phishing und andere) angestrebt werden KMU, entsprechend Coveware.

Wie wir sehen, hat dieses Szenario enorme Auswirkungen auf Unternehmen jeder Art und verursacht erhebliche Schäden Wirtschaftliche Verluste, Reputationsverluste, Finanzbetrug, Verstöße gegen Gesetze und Vorschriften (mit ihren jeweiligen Strafen, Sanktionen und Bußgeldern), unsachgemäßer Zugriff, Datenverlust, Identitätsbetrug, auch mit dem Unterbrechung oder Einstellung des Geschäftsbetriebs vorübergehend vorübergehend oder dauerhaft, was bedeuten könnte Einstellung des Geschäftsbetriebs.

Es scheint, dass die Unternehmen dies noch nicht getan haben Legen Sie das gesamte Fleisch auf den Grill für Packt den Stier bei den Hörnern, denn es geht nicht nur um die Ergreifung technologischer Maßnahmen wie die Implementierung sehr leistungsfähiger technologischer Tools, noch um strenge Kontrollsysteme, noch um die kontinuierliche Überwachung der Kommunikation oder um die Verwaltung von Risiken Und Schwachstellen, noch das Beste zu haben E-Mail-Filterung, noch um die besten Modelle zu garantieren Authentifizierung…es geht auch um Menschen.

Kurz gesagt, es geht darum und darüber hinaus darum, Menschen, Mitarbeiter zu schützen und ihnen alle möglichen Ressourcen zur Verfügung zu stellen, damit sie nicht beißen, damit „Fallen Sie nicht in Versuchung” (Tools, professionelle Dienstleistungen, verwaltete Cybersicherheitsdienste, Sensibilisierung, Schulung, Coaching usw.).

Glauben Sie nicht, dass Ihr Unternehmen jederzeit leicht in eine der von uns beschriebenen Situationen geraten kann?

Vielleicht braucht Ihr Unternehmen Hilfe Professionelle Dienstleistungen im Bereich Cybersicherheit wie die, die wir in anbieten Zerolynx: Cybersicherheitsdienste.

Wenn Sie möchten, kontaktiere uns und wir haben geredet.

Íñigo Ladrón Morales, Inhaltsredakteur für Zerolynx.



Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.