Phishing-ul este o tehnică puternică pentru a determina oamenii să dezvăluie informații. Atacatorul trimite un e-mail care pare a fi dintr-o sursă legitimă, cum ar fi o bancă. Victima face clic pe acel link, încearcă să se conecteze la contul său, iar detaliile de conectare îi sunt furate.

Succesul unei campanii de phishing depinde de cât de realistă este aceasta. Acest lucru necesită un set de abilități pe care mulți criminali cibernetici nu le au și aceasta era o barieră semnificativă la intrare. Dar phishing-ul ca serviciu schimbă asta.

Deci, ce este phishing-ul ca serviciu?

Ce este phishing-ul ca serviciu?

Phishing-ul ca serviciu (PaaS) face parte dintr-o tendință în care infractorii cibernetici devin furnizori de servicii. În loc să efectueze singuri atacuri cibernetice, ei îi ajută pe alții să efectueze atacuri în schimbul unei taxe.

Se bazează pe modelul de afaceri Software as a Service în care clienților li se oferă acces la software în schimbul unei taxe lunare.

Acest lucru oferă infractorilor cibernetici un nou flux de venituri și permite oricui să efectueze mai multe atacuri profesionale.

instagram viewer

Cum funcționează PaaS?

Furnizorii PaaS își fac publicitate produselor ca truse de phishing. Ele sunt vândute în principal pe dark web, dar unele kituri de phishing sunt acum disponibile pe internet de suprafață (adică internetul obișnuit).

Un kit de phishing include tot ceea ce este necesar pentru lansarea unui atac de phishing cu succes. Acestea includ șabloane de e-mail pentru trimiterea de e-mailuri care par să provină de la companii legitime, precum și șabloane pentru site-uri web către care să trimită victime. Unele truse de phishing includ, de asemenea, liste de ținte potențiale.

Deoarece kiturile de phishing sunt destinate celor fără abilități tehnice, ele includ adesea instrucțiuni detaliate și asistență pentru clienți.

Trusele de phishing sunt promovate ca produse care permit oricui să câștige bani efectuând atacuri de phishing, indiferent de setul de abilități. Acesta este un serviciu popular pentru cei care doresc să se implice în criminalitatea cibernetică, dar nu au cunoștințele necesare.

Ce se întâmplă cu acreditările furate?

După ce acreditările unei victime au fost furate, există o serie de posibilități. Atacatorul poate folosi el însuși acreditările. Dacă este un cont financiar, ei pot încerca să transfere fonduri. Sau dacă este acces la o rețea, ei pot folosi acel acces pentru a lansa un atac ransomware.

Acreditările pot fi revândute și pe dark web. Acest lucru permite cuiva să profite de pe urma acreditărilor furate, chiar dacă de fapt nu le folosește.

Unele kituri de phishing sunt, de asemenea, concepute pentru a păstra o copie a oricăror acreditări furate și pentru a le trimite editorului kitului de phishing. Acest lucru oferă un venit potențial suplimentar pentru editorul kitului de phishing. De asemenea, înseamnă că acreditările sunt adesea revândute pe dark web chiar dacă persoana care le-a furat avea alte intenții.

De ce este PaaS o problemă?

PaaS este o problemă deoarece înlătură bariera de intrare în phishing. În mod normal, un criminal cibernetic ar trebui să înțeleagă HTML pentru a crea un e-mail eficient. De asemenea, ar trebui să înțeleagă cum să construiască un site web care să pară realist și să fure parole. Dacă cineva cumpără un kit de phishing, nu are nevoie de aceste abilități pentru a efectua un atac.

PaaS face ca oamenii care efectuează deja atacuri de phishing să aibă mai mult succes. Succesul unei campanii este adesea limitat de abilitățile făptuitorilor. Dacă acea persoană plătește pentru un kit de phishing, este probabil ca mai mulți oameni să cadă în atacurile lor.

PaaS face, de asemenea, urmărirea atacurilor de tip phishing mai dificilă.

Permite persoanelor care se pricep la proiectarea truselor de phishing să profite de pe urma activității fără a efectua ei înșiși niciun atac de phishing. Dacă persoana care folosește un kit de phishing este prinsă, este probabil ca persoana care a furnizat trusa de phishing să evite urmărirea penală. Apoi pot continua să vândă altora.

Cine este vizat de phishing?

Atacurile de tip phishing sunt efectuate atât împotriva întreprinderilor, cât și a persoanelor fizice. Dacă o persoană privată este vizată, datele de conectare pentru conturile sale financiare și personale pot fi furate.

Un atac de phishing de succes asupra unei afaceri poate rezultă în alte atacuri cibernetice. Dacă atacatorul fură acreditările unei rețele, informațiile private ale clienților pot fi furate sau poate fi instalat un ransomware.

Cum să evitați phishingul

În timp ce PaaS face atacurile de phishing mai dificil de detectat, ele pot fi totuși evitate dacă înțelegeți ce să căutați.

Verificați expeditorul

E-mailurile de phishing se bazează pe faptul că destinatarul nu privește corect numele expeditorului. Expeditorul poate utiliza falsificarea e-mailurilor pentru a părea legitim, dar este imposibil să se evite variațiile minore de ortografie.

Căutați erori de formatare

Produsele PaaS includ adesea e-mailuri extrem de realiste, dar încă nu sunt la fel de profesioniste ca cele reale. Căutați erori atât în ​​formatare, cât și în limba utilizată.

Indiferent cine este expeditorul, ar trebui nu faceți niciodată clic pe un link dintr-un e-mail. De asemenea, nu ar trebui să descărcați niciodată un atașament de e-mail decât dacă sunteți sigur de ceea ce conține.

Fiți atenți la solicitările de informații

Toate e-mailurile de phishing vă cer să faceți ceva. Ar trebui să fiți suspicios față de orice e-mail care vă solicită să furnizați informații sau să vă conectați la un cont.

Întreprinderile ar trebui să formeze angajații

Atacurile de phishing împotriva companiilor sunt vizate în primul rând către angajați. Pentru a atenua această amenințare, toți angajații trebuie să fie instruiți corespunzător.

Companiile pot folosi software anti-phishing

Software-ul este disponibil pe scară largă pentru a detecta e-mailurile de phishing și pentru a le împiedica să ajungă în căsuțele de e-mail ale angajaților. Deși acest software nu este o alternativă adecvată la formarea angajaților, poate reduce dimensiunea amenințării cu care se confruntă angajații.

PaaS face ca phishingul să fie o amenințare mai mare

Phishing-ul este o amenințare semnificativă atât pentru persoanele fizice, cât și pentru companii. Aceasta duce la hack-uri de conturi asupra persoanelor fizice și intruziuni în rețea în afaceri. PaaS se adaugă la această amenințare, permițând oricui să efectueze astfel de atacuri, indiferent de setul de abilități.

Introducerea PaaS nu numai că crește rata de phishing, ci și face ca fiecare atac să fie potențial mai eficient. Deși e-mailurile de phishing sunt adesea evidente, oricine folosește un kit plătit pentru phishing poate fura mult mai multe acreditări.

Contul tău Netflix poate fi piratat?

Citiți în continuare

AcțiuneTweetAcțiuneE-mail

Subiecte asemănătoare

  • Securitate
  • phishing
  • Escrocherii
  • Securitate online
  • Securitate cibernetică

Despre autor

Elliot Nesbo (101 articole publicate)

Elliot este un scriitor independent de tehnologie. El scrie în primul rând despre fintech și securitate cibernetică.

Mai multe de la Elliot Nesbo

Aboneaza-te la newsletter-ul nostru

Alăturați-vă buletinului nostru informativ pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Click aici pentru a te abona