Phishing je účinná technika, ako prinútiť ľudí odhaliť informácie. Útočník odošle e-mail, ktorý vyzerá, že pochádza z legitímneho zdroja, akým je napríklad banka. Obeť klikne na tento odkaz, pokúsi sa prihlásiť do svojho účtu a jej prihlasovacie údaje sú odcudzené.

Úspech phishingovej kampane závisí od toho, nakoľko je realistická. Vyžaduje si to súbor zručností, ktoré mnohí kyberzločinci nemajú, a to bývalo významnou prekážkou vstupu. Phishing ako služba to však mení.

Čo je teda phishing ako služba?

Čo je phishing ako služba?

Phishing ako služba (PaaS) je súčasťou trendu, kedy sa kyberzločinci stávajú poskytovateľmi služieb. Namiesto vlastného vykonávania kybernetických útokov pomáhajú iným podnikať útoky výmenou za poplatok.

Je založený na obchodnom modeli Softvér ako služba, kde sa zákazníkom poskytuje prístup k softvéru výmenou za mesačný poplatok.

To poskytuje počítačovým zločincom nový tok príjmov a umožňuje komukoľvek vykonávať profesionálnejšie útoky.

Ako funguje PaaS?

Predajcovia PaaS propagujú svoje produkty ako phishingové súpravy. Primárne sa predávajú na tmavom webe, ale niektoré phishingové súpravy sú teraz dostupné aj na povrchovom webe (t. j. na bežnom internete).

instagram viewer

Súprava na phishing obsahuje všetko potrebné na spustenie a úspešný phishingový útok. Zahŕňajú e-mailové šablóny na odosielanie e-mailov, ktoré zdanlivo pochádzajú od legitímnych spoločností, ako aj šablóny pre webové stránky, na ktoré sa majú posielať obete. Niektoré phishingové súpravy obsahujú aj zoznamy potenciálnych cieľov.

Keďže phishingové súpravy sú zamerané na tých, ktorí nemajú technické zručnosti, často obsahujú aj podrobné pokyny a zákaznícku podporu.

Súpravy na phishing sú propagované ako produkty, ktoré umožňujú komukoľvek zarábať peniaze vykonávaním phishingových útokov bez ohľadu na jeho schopnosti. Ide o obľúbenú službu pre tých, ktorí sa chcú zapojiť do počítačovej kriminality, no chýbajú im potrebné znalosti.

Čo sa stane s ukradnutými povereniami?

Po odcudzení prihlasovacích údajov obete existuje niekoľko možností. Útočník môže použiť samotné poverenia. Ak ide o finančný účet, môžu sa pokúsiť o prevod prostriedkov. Alebo ak ide o prístup k sieti, môžu tento prístup použiť na spustenie ransomvérový útok.

Prihlasovacie údaje je možné predávať aj na temnom webe. To umožňuje niekomu profitovať z ukradnutých prihlasovacích údajov, aj keď pre ne v skutočnosti nemá využitie.

Niektoré phishingové súpravy sú tiež navrhnuté tak, aby si uchovali kópiu všetkých ukradnutých poverení a poslali ich vydavateľovi phishingových súprav. To poskytuje ďalšie potenciálne výnosy pre vlastníka phishingového balíka. Znamená to tiež, že poverenia sa často predávajú na temnom webe, aj keď osoba, ktorá ich ukradla, mala iné úmysly.

Prečo je PaaS problém?

PaaS je problém, pretože odstraňuje prekážku vstupu do phishingu. Za normálnych okolností by kyberzločinec musel rozumieť HTML, aby vytvoril efektívny e-mail. Museli by tiež pochopiť, ako vytvoriť webovú stránku, ktorá vyzerá realisticky a zároveň kradne heslá. Ak si niekto kúpi súpravu na phishing, nepotrebuje tieto zručnosti na vykonanie útoku.

PaaS robí ľudí, ktorí už vykonávajú phishingové útoky, úspešnejšími. Úspech kampane je často obmedzený schopnosťami páchateľov. Ak táto osoba zaplatí za phishing kit, je pravdepodobné, že viac ľudí napadne ich útokom.

PaaS tiež sťažuje stíhanie phishingových útokov.

Umožňuje ľuďom, ktorí sú dobrí v navrhovaní súprav na phishing, profitovať z tejto aktivity bez toho, aby sami vykonávali akékoľvek phishingové útoky. Ak je osoba, ktorá používa súpravu na neoprávnené získavanie údajov, prichytená, osoba, ktorá súpravu na neoprávnené získavanie údajov poskytla, sa pravdepodobne vyhne trestnému stíhaniu. Potom môžu pokračovať v predaji iným.

Na koho sa zacieľuje phishing?

Phishingové útoky sa uskutočňujú proti podnikom aj súkromným osobám. Ak sa zacieli na súkromnú osobu, prihlasovacie údaje k jej finančným a osobným účtom môžu byť odcudzené.

Úspešný phishingový útok na firmu môže viesť k ďalším kybernetickým útokom. Ak útočník ukradne poverenia siete, môžu byť ukradnuté súkromné ​​informácie zákazníkov alebo môže byť nainštalovaný ransomvér.

Ako sa vyhnúť phishingu

Hoci PaaS sťažuje detekciu phishingových útokov, stále sa im dá vyhnúť, ak pochopíte, čo hľadať.

Skontrolujte odosielateľa

Phishingové e-maily sa spoliehajú na to, že príjemca sa nepozerá správne na meno odosielateľa. Odosielateľ môže použiť spoofing e-mailu, aby vyzeral ako legitímny, ale nie je možné vyhnúť sa menším pravopisným odchýlkam.

Hľadajte chyby formátovania

Produkty PaaS často obsahujú vysoko realistické e-maily, ale stále nie sú také profesionálne ako skutočné. Hľadajte chyby vo formátovaní a použitom jazyku.

Bez ohľadu na to, kto je odosielateľom, mali by ste nikdy neklikajte na odkaz v e-maile. Nikdy by ste si tiež nemali sťahovať prílohu e-mailu, pokiaľ si nie ste istí, čo obsahuje.

Dávajte si pozor na žiadosti o informácie

Všetky phishingové e-maily vás žiadajú, aby ste niečo urobili. Mali by ste byť podozriví z akéhokoľvek e-mailu, ktorý vás žiada o poskytnutie informácií alebo o prihlásenie do účtu.

Firmy by mali školiť zamestnancov

Phishingové útoky na firmy sú zamerané predovšetkým na zamestnancov. Na zmiernenie tejto hrozby musia byť všetci zamestnanci príslušne vyškolení.

Firmy môžu používať anti-phishingový softvér

Softvér je široko dostupný na detekciu phishingových e-mailov a na zabránenie tomu, aby sa dostali do doručenej pošty zamestnancov. Hoci tento softvér nie je adekvátnou alternatívou k školeniam zamestnancov, môže znížiť veľkosť hrozby, ktorej zamestnanci čelia.

PaaS robí z phishingu väčšiu hrozbu

Phishing je významnou hrozbou pre súkromné ​​osoby aj podniky. Vedie k hackovaniu účtov jednotlivcov a prenikaniu do siete v podnikoch. PaaS pridáva k tejto hrozbe tým, že umožňuje komukoľvek vykonávať takéto útoky bez ohľadu na jeho schopnosti.

Zavedenie PaaS nielen zvyšuje mieru phishingu, ale tiež robí každý útok potenciálne efektívnejší. Zatiaľ čo phishingové e-maily sú často zrejmé, ktokoľvek, kto používa platenú súpravu na phishing, môže ukradnúť oveľa viac poverení.

Môže byť váš účet Netflix napadnutý?

Prečítajte si ďalej

zdieľamTweetujtezdieľamEmail

Súvisiace témy

  • Bezpečnosť
  • Phishing
  • Podvody
  • Online bezpečnosť
  • Kyber ochrana

O autorovi

Elliot Nesbo (101 publikovaných článkov)

Elliot je technický spisovateľ na voľnej nohe. Píše predovšetkým o fintech a kybernetickej bezpečnosti.

Viac od Elliota Nesba

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber