Kibernetiniai nusikaltėliai dažnai vykdo tikslines elektroninio pašto sukčiavimo atakas, norėdami pakenkti korporacijoms ir finansų įstaigoms visame pasaulyje. Šios atakos, vadinamos sukčiavimo apsimetant išpuoliais, naudojamos apgaulės būdu, norint pasiekti ir pavogti vartotojo duomenis, pvz., Prisijungimo duomenis, kreditinių kortelių numerius ir kitus neskelbtinus duomenis. Užpuolikas slepiasi kaip patikima šalis ir apgaudinėja auką, kad atidarytų el. Laišką ar tekstinį pranešimą. Tada auka yra priversta spustelėti saitą, kuri savo kompiuteryje įdiegia kenkėjišką kodą. Tokio tipo išpuoliai gali pakenkti ir sukelti tapatybės vagystes, neteisėtus pirkimus ar lėšų pavogimą.
Sukčiavimo apsimetant išpuolius galima plačiai suskirstyti į „sukčių sukčiavimą“ ir „banginių medžioklę“. Dėl savo panašios prigimties sukčių sukčiavimas yra šiek tiek panašus į banginių medžioklės išpuolius, išskyrus banginių medžioklės išpuolius, susijusius su taikiniu, kai taikinys yra kažkas svarbaus ar svarbaus. „Sukčių“ sukčiavimo atakos labiau nukreiptos į konkrečią organizaciją ar grupę. Nors sukčių sukčiavimas atrodo kaip banginių medžioklės išpuoliai, jis šiek tiek skiriasi nuo tipiškų socialinės inžinerijos išpuolių.
Sukčių sukčiavimas yra sukčiavimo poaibis, tačiau jis skirtas konkrečiai organizacijai ar grupei, o ne atsitiktiniam žmonių rinkiniui. Tai yra tikslinės socialinės inžinerijos atakos forma, kai kaltininkas maskuojasi kaip patikimas asmuo ir apgaudinėja auką spustelėdamas kenkėjišką nuorodą apgaulingame el. Laiške ar tekstiniame pranešime, kuris įdiegia kenksmingą kodą į savo kompiuterį ar tinklą. Po to užpuolikas gali nuskaityti slaptus asmeninius ir profesinius duomenis iš aukos ir kartais leidžia jiems pasiekti paveiktą kompiuterį. Šios sukčiavimo el. Paštu atakos nukreiptos į konkretų asmenį ir dažnai apima asmeninę informaciją, tokią kaip darbuotojų vardai ir kontaktiniai numeriai, pašto adresai, socialinio draudimo numeriai ir kreditinių kortelių numeriai. Tikslas yra gauti prieigą prie korporatyvinės bankininkystės informacijos ir kitos neskelbtinos informacijos, kad būtų palengvintas tolesnis finansinis sukčiavimas, grynumas ir kiti elektroniniai nusikaltimai..
Banginių medžioklė yra dar viena žvejojančios ieties atakos variacija, išskyrus banginių medžioklę, nukreiptą prieš aukštus organizacijos vadovus ar sprendimus priimančius asmenis. Taikomas asmuo yra kažkas svarbaus ar svarbaus; tai gali būti organizacijos generalinis direktorius, generalinis direktorius arba techninis direktorius. Per šias atakas paprastai atsižvelgiama į konkrečias šių vykdomųjų vaidmenų pareigas, naudojant apgaulingus pranešimus. Ataka grindžiama prielaida, kad šie žmonės turi jautresnę informaciją, kurią turi atskleisti, pavyzdžiui, slaptažodį administratoriaus abonementams, komercines paslaptis ir kt. Užpuolikas siunčia el. Laišką, kuriame apsimeta, kad yra organizacija, tokia kaip klientas. Pranešimas yra toks konkretus, kad aukai gali atrodyti pakankamai teisėta ir spustelėkite nuorodą, kurioje yra kenksmingas kodas, kuris yra įdiegtas jo / jos kompiuteryje, arba jis gali peradresuoti į svetainę ar tinklalapį, kurį kontroliuoja įsilaužėlis.
- Spear phishing yra specifinė sukčiavimo forma, nukreipta į konkrečią organizaciją ar žmonių grupę, o ne į atsitiktinį žmonių rinkinį. Smurtautojas siunčia kenksmingą el. Laišką, kuriame apsimeta patikima šalimi, kiek įmanoma daugiau vartotojų ir apgaudinėja auką spustelėdamas kenkėjišką nuorodą apgaulingame el. Laiške arba tekstiniame pranešime, kuris įdiegia kenksmingą kodą į savo kompiuterį ar tinklą. Panašiai, banginių medžioklė yra sukčių sukčiavimo pogrupis, skirtas aukšto lygio organizacijos vadovams ar sprendimų priėmėjams, kurie turi daug svarbesnės informacijos, kurią gali prarasti, nei paprastas vartotojas..
- Sukčiavimo sukčiavimu ir banginių medžioklės išpuoliai labai skiriasi atsižvelgiant į jų sudėtingumą ir aukas, į kurias jie nukreipti. Spearinės sukčiavimo ataka pritaikoma organizacijai ar konkrečiam (-iems) asmeniui (-iams), kad būtų galima gauti informaciją apie įmonių bankininkystę ir kitą neskelbtiną informaciją, siekiant palengvinti tolesnį finansinį sukčiavimą. Kita vertus, banginių medžioklė nukreipta į organizacijos aukšto lygio narius ar C lygio vadovus, tokius kaip generalinis direktorius, COO ar CTO, siekdama gauti aukšto lygio įgaliojimus į įmonės sąskaitas, įmonės paslaptis, administratoriaus paskyras, komercines paslaptis ir kt. Nors banginių medžioklės išpuoliai nukreipti į aukšto lygio asmenis, sukčiavimas ietimis nukreiptas į žemo profilio taikinius.
- Veiksmingiausia priemonė apsaugoti kompiuterį ar tinklą nuo sukčiavimo apsimetant išpuolių yra išmokyti žmones naudotis socialinės inžinerijos metodais. Laiškus apie sukčiavimo sukčiavimo elektroninius laiškus nėra lengva aptikti, todėl prieš paspaudžiant ant nuorodų, pravartu patikrinti visų paspaudžiamų nuorodų adresus. Kitos priemonės apima dviejų veiksnių autentifikavimą ir slaptažodžių tvarkymo politiką. Banginių medžioklei reikalinga tokia pati apsauga, kaip ir kitoms socialinio inžinerijos išpuoliams, tokiems kaip tinkama kenkėjiškų programų ir antivirusinė apsauga, o svarbiausia - vartotojų sąmoningumas. Tie patys metodai, naudojami siekiant sušvelninti ieties sukčiavimą, gali būti taikomi ir banginių medžioklei.
Trumpai tariant, sukčiavimo sukčiavimu ir banginių medžioklės išpuoliai labai skiriasi atsižvelgiant į jų sudėtingumą ir aukas, į kurias jie nukreipti. Nors banginių medžioklės išpuoliai nukreipti į aukšto lygio asmenis, sukčiavimas ietimis nukreiptas į žemo profilio taikinius. Užpuolikas slepiasi kaip patikima šalis ir apgaudinėja auką, kad atidarytų el. Laišką ar tekstinį pranešimą. Tada auka yra priversta spustelėti saitą, kuri savo kompiuteryje įdiegia kenkėjišką kodą. Nors banginių medžioklė nukreipta į C lygio vykdomuosius sprendimus priimančius asmenis ar sprendimus priimančius asmenis aukšto lygio organizacijose, banginių medžioklei taip pat taikomi tie patys metodai, naudojami sušvelninant sukčiavimo išpuolius. Geriausia priemonė siekiant atgrasyti nuo banginių medžioklės išpuolių yra naudoti skaitmeninius parašus.