Skip to main content

That Link could have been malicious...

Scroll to learn more.

This was an authorized phishing simulation. If you ever suspect an email to be a phishing attack, or have any questions or feedback related to this exercise, please email john.doe@example.com

Spear Phishing

All it takes is one click to compromise our network.

As cyber attacks and data breaches continue to increase, it is important to be aware of the latest threats. We’ve all heard of the notorious Nigerian bank scam email that promises to gift you money in exchange for providing your bank information. Although it is easy to identify those types of attacks, spear phishing attacks are more challenging to spot.

What is Spear Phishing?

Spear phishing messages are targeted at small groups or individuals. Attackers personalize these messages to bypass technical controls like spam filters.

Spear phishing emails:

  • Deliver file attachments that can infect your computer with malware
  • Entice you to click on links that take you to websites that will infect your computer
  • Trick you into handing over your login credentials so that they can gain access to your network or other sites

Just as you wouldn’t open the door and let a stranger in your house, don’t open emails from unknown senders.

People often confuse the terms spam, phishing, and spear phishing because they are all associated with unwanted emails. See the differences below:

Spam

Unsolicited emails that try to sell a product or service

Phishing

Emails sent to a large group of people designed to trick the recipient into sharing sensitive information

Spear Phishing

Targeted emails sent to key individuals in an organization. Designed to look like they are sent from a trusted source like a manager or credit card company

Why are Spear Phishing Emails so successful?

The Appeal to emotions

Fear

 

Your account has been compromised!

Urgency

 

Please respond within 24 hours

Curiosity

 

Click here for breaking news alerts.

Opportunity

 

You'd be a great fit for a position on my team.

Recognition

 

Click here
to view your eCard

They are Personalized

Spear phishers conduct extensive research and often personalize their emails. For example, attackers frequently use information from your social media profile to make their messages more believable

Check a link without clicking

Every hyperlink contains two parts: the anchor and the destination.

The anchor is the visible portion of the hyperlink that you click on. An anchor can be a URL, plain text, or even an image. An anchor can be misleading, because it doesn’t tell you where a link truly leads. The destination tells you where the link truly leads.

Desktop (OSx and Windows):

Hover your cursor over the link to view the URL.

Mobile Devices (Android, iOS, Windows):

Touch and hold the link until a pop-up menu appears.

Quick Tips

Keep these tips in mind to help you spot a phish:

Read emails thoroughly and be wary of words like “Caution”, “Act Now”, and “Warning”, which draw your attention and make you act quickly.

Confirm that the email is from the real sender with a quick phone call. Report any suspicious emails.

Some attackers modify domains to catch targets off guard. For example, if the correct domain was www.example.com, the phishers may register “examp1e.com” or “example.co”.

Whether it’s a surprising headline or a thank you email, phishers frequently use emotions to compel recipients to open attachments or click links.

How can I tell if an email is a Phish?

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

From: admin@secure-scans.com

Subject: Your Scanned Document is Ready

Hello,

A document was scanned and emailed to from the Laser Pro i280 on the third floor.

View Secure File

Take a quick quiz

True or False

The anchor tells you where the link truly leads.

Attackers frequently use emotions to urge targets to open attachments or click links.

To make their messages more believable, attackers frequently use information from social media profiles.

Spam filters typically block spear phishing emails.

You scored 0 out of 4 correct. Good Job! Could do better.

該連結可能是惡意的...

捲動可深入瞭解。

此為資訊安全辦事處授權的網路釣魚覺察演練。 如您曾懷疑某封電子郵件是網路釣魚攻擊,或是對此演練有所疑問或意見反應,請寄送電子郵件至 john.doe@example.com

魚叉式網路釣魚

只需輕輕一點,就會對我們的網路造成危害。

隨著網路攻擊和資料洩露事件持續增長,瞭解最新的威脅很有必要。我們都聽過惡名昭彰的奈及利亞銀行詐騙電子郵件,這會承諾向您贈送金錢,以交換提供您的銀行資訊。雖然很容易識別這類攻擊,但魚叉式網路釣魚攻擊更難察覺。

何謂魚叉式網路釣魚?

魚叉式網路釣魚郵件以小型團體或個人為攻擊對象。攻擊者將這些郵件進行個人化處理,以避開垃圾郵件篩選器等技術控制手段。

魚叉式網路釣魚電子郵件會:

  • 傳遞可讓您的電腦感染惡意軟體的檔案附件
  • 誘使您點按連結,將您轉到會感染您的電腦的網站
  • 誘使您交出您的登入憑證,以便攻擊者可以存取您的網路或其他網站

就像您不會開門讓陌生人進入家中,也請勿開啟來自不明傳送者的電子郵件。

大家往往分不清垃圾郵件、網路釣魚和魚叉式網路釣魚這些詞語之間有何差異,因為全部都關於不歡迎的電子郵件。請查閱以下內容瞭解差異:

垃圾郵件

不請自來的電子郵件,與銷售產品或服務息息相關

網路釣魚

向大量人士傳送的電子郵件,用來誘使收件者分享敏感資訊

魚叉式網路釣魚

向組織中的關鍵個人傳送的目標式電子郵件。其設計讓信件看似來自信任的來源,例如經理或信用卡公司

為何魚叉式網路釣魚電子郵件如此成功?

這些電子郵件訴諸情緒

恐懼

 

Your account has been compromised!

迫切

 

Please respond within 24 hours

好奇

 

Click here for breaking news alerts.

機會

 

You'd be a great fit for a position on my team.

認可

 

Click here
to view your eCard

這些電子郵件經過個人化

魚叉式網路釣魚者會進行廣泛的研究,並且通常會個人化電子郵件。例如,攻擊者會頻繁使用來自您的社交媒體檔案的資訊,讓他們的郵件顯得更加可信

在不點按的情況下檢查連結

每個超連結都包含兩部分:錨點和目的地。

錨點是您可以點按的可見超連結部分。錨點可以是 URL、純文字或圖像。錨點會有誤導性,因為您無法判斷連結真正指向的網址。目的地會顯示連結真正指向的網址。

桌上型電腦(OSx 和 Windows):

將游標停留在連結上方,檢視網址。

行動裝置 (Android、iOS、Windows):

觸碰並按住連結,待快顯選單出現。

小提示

請謹記下列秘訣,協助您察覺網路釣魚:

通讀電子郵件,提防「注意」、「立即行動」和「警告」等引起您注意並讓您快速行動的字詞。

打一通電話,確認電子郵件確實出自該寄件者。舉報任何可疑的電子郵件。

有些攻擊者會修改網域,狩獵沒有警覺心的目標對象。例如:假設正確的網域是 www.example.com,網路釣魚攻擊者會註冊像是「examp1e.com」或「example.co」等的網域。

無論是令人驚訝的標題或是一封表達感謝的電子郵件,網路釣魚者通常會利用情緒迫使收件者開啟附件或按下連結。

如何判別電子郵件是否為網路釣魚?

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

寄件者: admin@secure-scans.com

主旨: 您的掃描文件已備妥

哈囉,

文件已透過 三樓的 Laser Pro i280 掃描並以電子郵件傳送給您。

檢視安全檔案

進行快速測驗

正確或錯誤

錨點會顯示連結真正指向的網址。

攻擊者通常會利用情緒促使目標對象開啟附件或按下連結。

若要讓訊息的可信度更高,攻擊者通常會使用來自社群媒體個人檔案的資訊。

垃圾郵件篩選器通常會封鎖魚叉式網路釣魚電子郵件。

您獲得 0 總分為 4 分。 做得好! 可以再更好。

Il collegamento poteva essere pericoloso...

Scorri per ulteriori informazioni.

La presente era un’esercitazione sulla consapevolezza del phishing autorizzata condotta dall’Ufficio per la sicurezza delle informazioni. Se sospetti che un messaggio e-mail ricevuto sia un attacco di phishing o in caso di domande o feedback in merito a questa esercitazione, contatta via e-mail john.doe@example.com

Spear Phishing

Un solo clic potrebbe compromettere tutta la nostra rete.

Poiché gli attacchi informatici e le violazioni dei dati continuano ad aumentare, è importante conoscere le minacce più recenti. Tutti hanno sentito la notizia dell’e-mail fasulla della banca nigeriana che prometteva denaro in cambio di informazioni bancarie personali. Nonostante sia facile identificare questo tipo di attacchi, è più difficile riuscire a individuare gli attacchi di spear phishing.

Che cos’è lo spear phishing?

I messaggi di spear phishing vengono inviati a un piccolo gruppo di persone o a singoli individui. Gli autori degli attacchi personalizzano questi messaggi per superare i controlli tecnici come i filtri antispam.

Le e-mail di spear phishing:

  • Contengono allegati che possono infettare il computer con malware
  • Spingono a fare clic su collegamenti a siti Web che infettano il computer
  • Inducono con l’inganno a fornire le credenziali di accesso, in modo tale da poter accedere alle reti personali o ad altri siti

Proprio come non inviteresti uno sconosciuto ad entrare in casa, non aprire le e-mail da mittenti sconosciuti.

Le persone spesso confondono i termini spam, phishing e spear phishing perché sono tutti associati a messaggi e-mail indesiderati. Osserva le differenze che seguono:

Spam

E-mail non richieste che tentano di vendere un prodotto o un servizio

Phishing

E-mail inviate a un ampio gruppo di persone al fine di indurre il destinatario a condividere informazioni sensibili

Spear Phishing

E-mail mirate inviate a persone chiave in un’organizzazione. Sono realizzate per sembrare messaggi inviati da fonti attendibili come da un manager o da una società di carte di credito

Perché le e-mail di spear phishing hanno spesso esito positivo?

Fanno appello alle emozioni

Paura

 

Your account has been compromised!

Urgenza

 

Please respond within 24 hours

Curiosità

 

Click here for breaking news alerts.

Opportunità

 

You'd be a great fit for a position on my team.

Riconoscimento

 

Click here
to view your eCard

Personalizzazione delle e-mail

Gli autori di attacchi di spear phishing eseguono ampie ricerche e spesso personalizzano le e-mail. Ad esempio, per aumentare la credibilità dei loro messaggi, gli autori degli attacchi usano frequentemente le informazioni presenti sui profili social

Controllo di un collegamento senza fare clic

Ogni collegamento ipertestuale si compone di due parti: l’ancora e la destinazione.

L’ancora è la parte visibile del collegamento ipertestuale sul quale si fa clic. Un’ancora può essere un URL, testo semplice o persino un’immagine. Un’ancora può essere fuorviante, perché non indica la destinazione di un collegamento. La destinazione è la pagina alla quale porta realmente il collegamento.

Desktop (OSx e Windows):

passa il cursore sul collegamento per visualizzare l’URL.

ispositivi mobili (Android, iOS, Windows):

tocca e tieni premuto sul collegamento fino a quando non visualizzi un menu popup.

Suggerimenti rapidi

Tenere a mente i seguenti suggerimenti ti aiuterà a individuare un attacco di phishing:

Leggi le e-mail con attenzione e sii diffidente in presenza di parole quali “Attenzione”, “Azione immediata” e “Avvertenza”, che catturano l’attenzione e spingono ad agire rapidamente.

Verifica che il messaggio e-mail provenga dal mittente effettivo con una breve telefonata. Segnala qualsiasi messaggio e-mail sospetto.

Alcuni autori di attacchi modificano i domini per trarre in inganno i destinatari. Ad esempio, se il dominio corretto era www.example.com, gli autori di attacchi di phishing possono registrare “examp1e.com” o “example.co”.

Che si tratti di un titolo che desta sorpresa o un’e-mail di ringraziamento, gli autori di attacchi di phishing sfruttano spesso le emozioni per indurre i destinatari ad aprire gli allegati o fare clic sui collegamenti.

Come si può individuare un messaggio e-mail di phishing?

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

Da: admin@secure-scans.com

Oggetto: Il documento scansionato è pronto

Salve,

un documento è stato scansionato e inviato tramite e-mail dal Laser Pro i280 al terzo piano..

Visualizza file sicuri

Svolgi un rapido quiz

Vero o Falso

L’ancora è la pagina alla quale porta realmente il collegamento.

Gli autori di attacchi di phishing sfruttano spesso le emozioni per indurre i destinatari ad aprire gli allegati o fare clic sui collegamenti.

Per aumentare la credibilità dei loro messaggi, gli autori di attacco utilizzano le informazioni presenti sui profili dei social media.

Generalmente, i filtri antispam bloccano le e-mail di spear phishing.

Hai ottenuto un punteggio di 0 su 4. Ottimo lavoro! Puoi fare meglio.

そのリンクは悪意のある可能性があります...

スクロールして詳細をご覧ください。

これは、情報セキュリティオフィスによる公認の phishing 認識実習です。 電子メールが Phishing 攻撃である疑いがある場合、こちらのアドレス(john.doe@example.com)にメールにてご連絡ください。本トレーニングに関するご質問やフィードバックにつきましても同じアドレスにお送りください。

Spear Phishing(スピアフィッシング)

1回クリックしただけでも、当社のネットワークが不正アクセスされるのには十分です。

サイバー攻撃とデータ侵害が増加し続けている今日、最新の脅威を認識していることが重要です。皆さんも、銀行口座情報を提供すれば引き換えにお金を贈呈すると約束する悪名高いナイジェリア銀行の詐欺メールについては聞いたことがあるでしょう。このような類の攻撃を識別することは簡単ですが、spear phishing(スピアフィッシング)は見分けるのがずっと困難です。

Spear Phishing(スピアフィッシング)とは何か

Spear phishing(スピアフィッシング)メッセージは、少人数のグループや個人を対象とします。攻撃者はこれらのメッセージをパーソナライズして、スパムフィルタなどの技術コントロール手段を迂回してしまいます。

Spear phishing(スピアフィッシング)メールは:

  • お使いのコンピュータをマルウェアに感染させる恐れのある添付ファイルを送ります
  • コンピュータをマルウェアに感染させるウェブサイトへと誘導するリンクをクリックさせようとします
  • 会社のネットワークや他のサイトへのアクセスを可能にするため、巧妙にログイン認証情報を聞き出します。

見知らぬ人にはドアを開けず、家の中に入れさせないのと同じように、未知の送信者からの電子メールは開かないでください。

スパム、phishing、spear phishing(スピアフィッシング)はいずれも迷惑メールに関連しているため、混同しがちです。以下で相違点を確認してください:

スパム

製品やサービスを販売しようとする迷惑メール

Phishing

受信者をだまして機密情報を共有させるように設計された、多数の人々に送信される電子メール

Spear Phishing(スピアフィッシング)

組織内の重要な個人に送信される電子メール。マネージャーやクレジットカード会社といった信頼できるソースが発信源だと見えるように工夫されています

Spear Phishing(スピアフィッシング)はなぜこれほど成功しているのでしょうか。

感情に訴える

不安・恐怖

 

Your account has been compromised!

切迫感

 

Please respond within 24 hours

好奇心

 

Click here for breaking news alerts.

チャンス

 

You'd be a great fit for a position on my team.

感謝・表彰

 

Click here
to view your eCard

パーソナライズされている

Spear Phishing(スピアフィッシング)は大規模なリサーチを行い、多くの場合メールをパーソナライズします。たとえば、攻撃者はあなたのソーシャルメディアのプロフィールからの情報を頻繁に使用して、メッセージをより真実味のあるものにします。

クリックせずに真のリンク先を確認する

すべてのハイパーリンクには、アンカーとリンク先という2つの部分があります。

アンカーとは、クリックするときのハイパーリンクの可視部分のことです。アンカーは、URLであったり、プレーンテキスト、さらには画像であることもあります。アンカーは、真のリンク先を教えてはいないので、人を誤らせる可能性があります。リンク先は、そのリンクが実際にどこに誘導されるかを示します。

デスクトップ(OSxとWindows)の場合

リンクの上にカーソルを置くと URL が表示されます。

モバイルデバイス

(Android、iOS、Windows): ポップアップメニューが表示されるまで、リンクをタッチアンドホールドします。

クイックヒント

これらのヒントを覚えておくことは phishing を見抜くのに役立ちます:

電子メールをよく読み、あなたの注意を引いてすぐに行動するように訴える「注意」、「今すぐ行動」、「警告」といった言葉には特に警戒してください。

電子メールが本物の送信者からのものであることを、電話ですぐ確認します。不審な電子メールは報告してください。

攻撃者の中には、ドメインを変えて標的を油断させ、そこにつけいるものもいます。例えば、正しいドメインが www.example.com だった場合、phishing 詐欺では examp1e.com とか example.co などと登録するかもしれません。

驚くような見出しであれ、感謝のメールであれ、 phishing 詐欺師はしばしば受信者の感情に訴えて添付ファイルを開いたりリンクをクリックするよう仕向けます。

Phishing メールを見抜く方法

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

送信者: admin@secure-scans.com

件名: スキャン済みドキュメントが準備完了です

お知らせします。

このドキュメントは、3階の  Laser Pro i280 でスキャンされ、送受信されたものです。

セキュアファイルの表示

クイッククイズ

正誤問題

アンカーは、そのリンクが実際にどこに誘導されるかを示します。

攻撃者はしばしば標的の感情に訴えて、添付ファイルを開いたりリンクをクリックするよう仕向けます。

メッセージをより真実らしくみせるために、攻撃者はしばしばソーシャルメディアプロファイルからの情報を使用します。

スパムフィルターは通常、spear phishing(スピアフィッシング)メールをブロックします。

あなたの得点は 0 / 4 でした。 よくできました! 改善の余地があります。

Ese enlace podría haber sido malicioso...

Desplácese para obtener más información.

Este fue un ejercicio de concientización autorizado sobre phishing de la Oficina de seguridad de la información. Si alguna vez sospecha que un correo electrónico es un ataque de phishing, o si tiene alguna pregunta o comentario en relación con este ejercicio, escríbanos a la siguiente dirección: john.doe@example.com

Spear Phishing

Basta con un clic para poner en riesgo a nuestra red.

Como la cantidad de ataques cibernéticos y filtraciones de datos no deja de crecer, es importante estar al tanto de las últimas amenazas. Todos hemos sido testigos del infame correo electrónico con la estafa al banco de Nigeria en el cual se le promete al destinatario un obsequio de dinero a cambio de proporcionar su información bancaria. Si bien es fácil identificar estos tipos de ataques, detectar los ataques de spear phishing (ataque de suplantación de identidad focalizado) es más complejo.

¿Qué es el spear phishing?

Los mensajes de spear phishing se dirigen a grupos pequeños o personas. Los atacantes personalizan estos mensajes para evadir controles técnicos, como filtros de spam.

Los correos electrónicos de spear phishing tienen las siguientes características:

  • Envían archivos adjuntos que pueden infectar su computadora con malware.
  • Lo/a tientan para que haga clic en enlaces que llevan a sitios web que infectarán su computadora.
  • Lo/a engañan para que entregue sus credenciales de inicio de sesión para que dichos delincuentes obtengan acceso a su red u otros sitios.

Así como usted no abriría la puerta ni dejaría pasar a un extraño a su casa, tampoco abra correos electrónicos de remitentes desconocidos.

Los términos spam, phishing y spear phishing suelen confundirse porque están asociados con correos electrónicos no deseados. Conozca las diferencias a continuación:

Correo no deseado

Correos electrónicos no solicitados que tienen como finalidad vender un producto o servicio.

Phishing

Correos electrónicos que se envían a muchas personas y están diseñados para engañar al destinatario para que comparta información confidencial.

Spear Phishing

Correos electrónicos dirigidos que se envían a personas importantes de una organización. Están diseñados para simular que los envía una fuente de confianza, como un gerente o una compañía de tarjetas de crédito.

¿Por qué son exitosos los mensajes de spear phishing?

Apelan a las emociones.

Miedo

 

Your account has been compromised!

Urgencia

 

Please respond within 24 hours

Curiosidad

 

Click here for breaking news alerts.

Oportunidad

 

You'd be a great fit for a position on my team.

Reconocimiento

 

Click here
to view your eCard

Son personalizados.

Los atacantes de spear phishing llevan a cabo una extensa investigación y suelen personalizar los correos electrónicos. Por ejemplo, con frecuencia los atacantes utilizan información de su perfil de redes sociales para elaborar sus mensajes de un modo más creíble.

Verifique un enlace sin hacer clic en él

Cada hipervínculo contiene dos partes: un delimitador y un destino.

El delimitador es la parte visible del hipervínculo sobre el que se puede hacer clic. Un delimitador puede consistir de una URL, de texto simple o incluso de una imagen. Es engañoso, porque no indica a dónde lo lleva realmente un enlace. El destino es el que indica a dónde lleva realmente el enlace.

Equipo de escritorio (OSx y Windows):

Pase el cursor sobre el enlace para ver la URL.

Dispositivos móviles

(Android, iOS, Windows): Mantenga presionado el enlace hasta que aparezca un menú emergente.

Sugerencias rápidas

Tenga en cuenta estas sugerencias para detectar un ataque de phishing:

Lea los correos electrónicos cuidadosamente y desconfíe de palabras como “cuidado”, “actuar ahora” y “advertencia” que llaman su atención y lo/a inducen a actuar con rapidez.

Confirme con una llamada telefónica rápida que el remitente del correo electrónico sea real. Informe si recibió correos electrónicos de phishing.

Algunos atacantes modifican dominios para llamar la atención de las víctimas con la guardia baja. Por ejemplo, si el dominio correcto fuera www.example.com, es posible que las personas que realizan phishing registren “examp1e.com” o “example.co”.

Ya sea a través de un titular sorprendente o de un correo electrónico de agradecimiento, los atacantes de phishing suelen usar las emociones para instar a las víctimas a abrir los archivos adjuntos o hacer clic en los enlaces.

Cómo distinguir si un correo electrónico es un ataque de phishing

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

De: admin@secure-scans.com

Asunto: Su documento escaneado está listo

Hola,

Se escaneó un documento y se envió por correo electrónico desde el equipo Laser Pro i280 del tercer piso..

Ver archivo seguro

Realice un cuestionario rápido.

Verdadero o falso

El delimitador es el que indica a dónde lleva realmente el enlace.

Los atacantes suelen usar las emociones para instar a las víctimas a abrir los archivos adjuntos o hacer clic en los enlaces.

Para que los mensajes sean más creíbles, los atacantes suelen usar información proveniente de los perfiles de redes sociales.

Normalmente, los filtros de spam bloquean los correos electrónicos de spear phishing (ataque de suplantación de identidad focalizado).

Usted obtuvo 0 de 4. ¡Buen trabajo! Podría hacerlo mejor.

To łącze mogło być złośliwe...

Przewiń, aby dowiedzieć się więcej.

To było autoryzowane ćwiczenie szkoleniowe dotyczące ataku typu phishing zatwierdzone przez zespół ds. bezpieczeństwa informacji. Jeśli podejrzewasz, że jakaś wiadomość e-mail może być atakiem typu phishing, chcesz zadać pytanie lub wyrazić opinię dotyczącą tej symulacji, napisz na adres: john.doe@example.com

Spear Phishing

Do narażenia sieci wystarczy jedno kliknięcie.

Rosnąca liczba cyberataków i naruszeń bezpieczeństwa danych sprawia, że ważna jest świadomość najnowszych zagrożeń. Każdy z nas słyszał o rozsławionych oszustwach nigeryjskich, w ramach których można otrzymać wiadomość e-mail z obietnicą uzyskania pieniędzy w zamian za podanie swoich danych bankowych. Tego rodzaju ataki łatwo zidentyfikować — w przeciwieństwie do bardziej subtelnych ataków typu spear phishing.

Co to jest atak typu spear phishing?

Wiadomości typu spear phishing są skierowane do małych grup lub pojedynczych użytkowników. Hakerzy je personalizują, aby obejść zabezpieczenia techniczne, takie jak filtry spamu.

Wiadomości e-mail typu spear phishing mają na celu:

  • Dostarczenie załączników, które mogą zainfekować komputer złośliwym oprogramowaniem.
  • Zachęcenie do klikania łączy prowadzących do witryn internetowych infekujących komputer złośliwym oprogramowaniem.
  • Nakłonienie do podania poświadczeń logowania, a następnie korzystanie z nich do uzyskiwania dostępu do sieci i innych stron.

Podobnie jak nie otwieramy drzwi obcym i nie wpuszczamy ich do domu, nie powinno się również otwierać wiadomości e-mail pochodzących od nieznanych nadawców.

Pojęcia spam, phishing i spear phishing są często mylone, ponieważ wszystkie dotyczą niechcianych wiadomości e-mail. Różnice opisano poniżej:

Spam

Niechciane wiadomości e-mail zachęcające do zakupu produktów lub usług.

Phishing

Wysyłane do dużej grupy osób wiadomości e-mail mające przekonać odbiorców do udostępniania poufnych danych.

Spear Phishing

Wiadomości e-mail skierowane do osób zajmujących ważne stanowiska w organizacji. Wyglądają jakby pochodziły z zaufanych źródeł, np. od kierownika lub firmy obsługującej karty kredytowe.

Dlaczego wiadomości e-mail typu spear phishing są tak skuteczne?

Odwołują się do emocji

Strach

 

Your account has been compromised!

Pośpiech

 

Please respond within 24 hours

Ciekawość

 

Click here for breaking news alerts.

Okazja

 

You'd be a great fit for a position on my team.

Uznanie

 

Click here
to view your eCard

Personalizacja treści

Cyberprzestępcy przeprowadzający ataki typu spear phishing starannie się przygotowują, gromadząc przydatne informacje, i zazwyczaj personalizują wiadomości e-mail. Na przykład w celu zwiększenia wiarygodności często używają informacji z profili społecznościowych.

Sprawdź łącze bez klikania

Każde hiperłącze składa się z dwóch elementów: kotwicy i adresu docelowego.

Kotwica to widoczna część łącza, którą się klika. Może to być adres URL, zwykły tekst, a nawet obraz. Kotwica może być zwodnicza, ponieważ nie wskazuje, dokąd prowadzi link. Rzeczywiste miejsce przekierowania zależy od adresu docelowego.

Komputery (OSx i Windows):

Umieść wskaźnik myszy na łączu, aby wyświetlić adres URL.

Urządzenia przenośne (Android, iOS, Windows):

Dotknij łącza i przytrzymaj je, aż pojawi się menu podręczne.

Wskazówki

Aby nie paść ofiarą ataku typu phishing, stosuj się do poniższych wskazówek:

Dokładnie czytaj wiadomości e-mail i zachowaj ostrożność, jeśli znajdują się w nich słowa „Uwaga”, „Nie czekaj” czy „Ostrzeżenie”. Przyciągają one uwagę i nakłaniają do szybkiego działania.

Zawsze sprawdzaj, czy wiadomość e-mail pochodzi od rzeczywistego nadawcy, przeprowadzając krótką rozmowę telefoniczną. Zgłaszaj wszelkie podejrzane wiadomości.

Niektórzy oszuści modyfikują domeny, aby wykorzystać nieuwagę swoich ofiar. Na przykład jeśli prawidłowa domena to „www.example.com”, oszuści mogą utworzyć domenę „examp1e.com” lub „example.co”.

Oszuści często odwołują się do emocji, by zachęcić do kliknięcia łącza lub otwarcia załącznika — nie ma to znaczenia, czy wysłana wiadomość e-mail ma zaskakujący nagłówek, czy też zawiera podziękowania.

Jak rozpoznać wiadomość e-mail typu phishing?

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

Od: admin@secure-scans.com

Temat: Zeskanowany dokument jest gotowy

Witaj,

Dokument został zeskanowany i wysłany z urządzenia Laser Pro i280 na trzecim piętrze.

Wyświetl bezpieczny plik

Weź udział w szybkim quizie

Prawda czy fałsz

Kotwica wskazuje, dokąd naprawdę prowadzi łącze.

Oszuści często odwołują się do emocji, by nakłonić do kliknięcia łącza lub otwarcia załącznika.

Oszuści często używają informacji z profili społecznościowych, aby uwiarygodnić swoje wiadomości.

Filtry antyspamowe zazwyczaj blokują wiadomości typu spear phishing.

Uzyskany przez Ciebie wynik to 0 na 4. Brawo! Mogło być lepiej.

Αυτή η σύνδεση ενδέχεται να είναι κακόβουλη...

Κάντε κύλιση για να μάθετε περισσότερα.

Αυτή ήταν μια άσκηση ενημέρωσης για το ηλεκτρονικό «ψάρεμα» (phishing), με την εξουσιοδότηση του γραφείου ασφάλειας πληροφοριών. Εάν τυχόν υποπτευτείτε ότι κάποιο e-mail αποτελεί επίθεση ηλεκτρονικού «ψαρέματος» (phishing) ή εάν έχετε τυχόν ερωτήσεις ή σχόλια όσον αφορά αυτή την άσκηση, επικοινωνήστε με την ηλεκτρονική διεύθυνση john.doe@example.com

Στοχευμένο ηλεκτρονικό «ψάρεμα» (spear phishing)

Το μόνο που χρειάζεται για να τεθεί σε κίνδυνο το δίκτυό μας είναι ένα απλό κλικ.

Καθώς ο αριθμός των κυβερνοεπιθέσεων και των παραβιάσεων δεδομένων συνεχίζει να αυξάνεται, είναι σημαντικό να γνωρίζετε τις πιο πρόσφατες απειλές. Όλοι μας έχουμε ακούσει για τη διαβόητη απάτη με το e-mail από μια τράπεζα της Νιγηρίας που υπόσχεται να σας χαρίσει χρήματα αν δώσετε τα στοιχεία του τραπεζικού λογαριασμού σας. Παρόλο που είναι εύκολο να αναγνωρίσετε αυτούς τους τύπους επιθέσεων, οι επιθέσεις στοχευμένου ηλεκτρονικού «ψαρέματος» (spear phishing) είναι πιο δύσκολο να γίνουν αντιληπτές.

Τι είναι το στοχευμένο ηλεκτρονικό «ψάρεμα» (spear phishing);

Τα μηνύματα στοχευμένου ηλεκτρονικού «ψαρέματος» (spear phishing) έχουν στόχο μικρές ομάδες ή άτομα. Οι εισβολείς εξατομικεύουν αυτά τα μηνύματα ώστε να παρακάμπτουν τους τεχνικούς ελέγχους, όπως τα φίλτρα ανεπιθύμητης αλληλογραφίας.

Ε-mail στοχευμένου ηλεκτρονικού «ψαρέματος» (spear phishing):

  • Αποστέλλουν συνημμένα αρχεία τα οποία μπορεί να μολύνουν τον υπολογιστή σας με κακόβουλο λογισμικό
  • Σας δελεάζουν ώστε να κάνετε κλικ σε συνδέσεις που σας μεταφέρουν σε ιστοτόπους οι οποίοι θα μολύνουν τον υπολογιστή σας
  • Σας παρασύρουν να υποβάλετε τα διαπιστευτήρια χρήστη σας, ώστε να μπορούν να αποκτήσουν πρόσβαση στο δίκτυό σας ή σε άλλες τοποθεσίες.

Όπως δεν θα ανοίγατε την πόρτα για να μπει κάποιος άγνωστος στο σπίτι σας, μην ανοίγετε e-mail από άγνωστους αποστολείς.

Ο κόσμος μπερδεύει συχνά τους όρους ανεπιθύμητη αλληλογραφία (spam), ηλεκτρονικό «ψάρεμα» (phishing) και στοχευμένο ηλεκτρονικό «ψάρεμα» (spear phishing), διότι όλα αυτά σχετίζονται με ανεπιθύμητα e-mail. Δείτε τις διαφορές παρακάτω:

Ανεπιθύμητη αλληλογραφία

Απρόσκλητα e-mail που προσπαθούν να πουλήσουν ένα προϊόν ή μια υπηρεσία

Ηλεκτρονικό «ψάρεμα» (phishing)

E-mail που αποστέλλονται σε μια μεγάλη ομάδα ατόμων σχεδιασμένα έτσι ώστε να εξαπατήσουν το χρήστη προκειμένου να μοιραστεί ευαίσθητες πληροφορίες

Στοχευμένο ηλεκτρονικό «ψάρεμα» (spear phishing)

Στοχευμένα e-mail που αποστέλλονται σε σημαντικά άτομα μιας εταιρείας. Σχεδιασμένα να μοιάζουν ότι αποστέλλονται από έμπιστη πηγή, όπως ένας προϊστάμενος ή μια εταιρεία πιστωτικών καρτών.

Γιατί έχουν τόσο μεγάλη επιτυχία τα e-mail στοχευμένου ηλεκτρονικού «ψάρεμα» (spear phishing);

Απευθύνονται στο συναίσθημα

Φόβος

 

Your account has been compromised!

Χρονική πίεση

 

Please respond within 24 hours

Περιέργεια

 

Click here for breaking news alerts.

Ευκαιρία

 

You'd be a great fit for a position on my team.

Αναγνώριση

 

Click here
to view your eCard

Είναι εξατομικευμένα

Οι εισβολείς που χρησιμοποιούν το στοχευμένο ηλεκτρονικό «ψάρεμα» (spear phisher) διενεργούν εκτεταμένη έρευνα και συχνά εξατομικεύουν τα e-mail τους. Για παράδειγμα, οι εισβολείς χρησιμοποιούν συχνά πληροφορίες από το προφίλ σας στα μέσα κοινωνικής δικτύωσης ώστε να κάνουν τα μηνύματά τους πιο πιστευτά.

Ελέγξετε μια σύνδεση χωρίς να κάνετε κλικ

Κάθε υπερ-σύνδεση αποτελείται από δύο μέρη: το σημείο αγκύρωσης και τον προορισμό.

Το σημείο αγκύρωσης είναι το ορατό τμήμα της υπερ-σύνδεσης στην οποία κάνετε κλικ. Το σημείο αγκύρωσης μπορεί να είναι μια διεύθυνση URL, απλό κείμενο ή ακόμη και μια εικόνα. Το σημείο αγκύρωσης μπορεί να είναι παραπλανητικό, διότι δεν σας λέει που πραγματικά οδηγεί μια σύνδεση. Ο προορισμός είναι αυτός που σας λέει που πραγματικά οδηγεί η σύνδεση.

Επιτραπέζιος υπολογιστής (OSx και Windows):

Καταδείξτε τη σύνδεση με το δρομέα για να δείτε τη διεύθυνση URL.

Κινητές συσκευές (Android, iOS, Windows):

Πατήστε και κρατήστε τη σύνδεση μέχρι να εμφανιστεί ένα αναδυόμενο μενού.

Γρήγορες συμβουλές

Ακολουθήστε τις παρακάτω συμβουλές για να εντοπίσετε μια απόπειρα ηλεκτρονικού «ψαρέματος»:

Να διαβάζετε προσεκτικά τα e-mail και να είστε προσεκτικοί όταν βλέπετε λέξεις όπως «Προσοχή», «Ενεργήστε άμεσα» και «Προειδοποίηση», οι οποίες τραβούν την προσοχή σας και σας υποχρεώνουν να ενεργήσετε γρήγορα.

Να επαληθεύετε πάντα ότι το e-mail προέρχεται από τον πραγματικό αποστολέα με ένα γρήγορο τηλεφώνημα. Αναφέρετε τυχόν ύποπτα e-mail.

Κάποιοι εισβολείς τροποποιούν τους τομείς για να πιάσουν τους στόχους τους απροετοίμαστους. Για παράδειγμα, αν ο σωστός τομέας ήταν www.example.com, οι εισβολείς που χρησιμοποιούν ηλεκτρονικό «ψάρεμα» (phisher) μπορεί να καταχωρίσουν «examp1e.com» ή «example.co».

Ανεξάρτητα αν πρόκειται για μια επικεφαλίδα που προκαλεί έκπληξη ή ένα ευχαριστήριο e-mail, οι phisher χρησιμοποιούν συχνά τα συναισθήματα για να προτρέψουν τους παραλήπτες να ανοίξουν συνημμένα ή να κάνουν κλικ σε συνδέσεις.

Πώς μπορώ να διακρίνω ένα e-mail ηλεκτρονικού «ψαρέματος»;

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

Από: admin@secure-scans.com

Θέμα: Το σαρωμένο έγγραφό σας είναι έτοιμο 

Γεια σας,

Ένα έγγραφο σαρώθηκε και στάλθηκε με e-mail από το μηχάνημα Laser Pro i280 στον τρίτο όροφο. 

Προβολή ασφαλούς αρχείου

Κάντε ένα γρήγορο κουίζ

Αληθές ή Ψευδές

Το σημείο αγκύρωσης είναι αυτό που σας λέει που πραγματικά οδηγεί η σύνδεση.

Οι εισβολείς χρησιμοποιούν συχνά τα συναισθήματα για να προτρέψουν τους στόχους τους να ανοίξουν συνημμένα ή να κάνουν κλικ σε συνδέσεις.

Για να κάνουν πιο πιστευτά τα μηνύματά τους, οι εισβολείς χρησιμοποιούν συχνά πληροφορίες από τα προφίλ των μέσων κοινωνικής δικτύωσης.

Τα φίλτρα ανεπιθύμητης αλληλογραφίας αποκλείουν συνήθως τα e-mail στοχευμένου ηλεκτρονικού «ψαρέματος» (spear phishing).

Απαντήσατε σωστά στα 0 από τα 4. Μπράβο! Μπορείτε να βελτιωθείτε.

Aquele link podia ser mal-intencionado...

Role para saber mais.

Essas informações foram obtidas de um exercício autorizado de conscientização sobre phishing realizado pelo escritório de segurança da informação. Caso suspeite que um e-mail é um ataque de phishing ou tenha dúvidas ou opiniões relacionadas a este exercício, envie um e-mail para john.doe@example.com

Spear Phishing

Basta um clique para comprometer nossa rede.

À medida que a quantidade de ataques cibernéticos e vazamentos de dados continua a aumentar, é importante estar ciente das ameaças mais recentes. Todos nós já ouvimos falar da famigerado fraude por e-mail do banco nigeriano, na qual é prometido dinheiro em troca de suas informações bancárias. Esses tipos de ataque são fáceis de identificar, mas ataques de spear phishing são bem mais desafiadores.

O que é spear phishing?

Mensagens de spear phishing são direcionadas a grupos pequenos ou a indivíduos. Os invasores personalizam as mensagens para escapar de controles técnicos, como filtros de spam.

Os e-mails de spear phishing:

  • Enviam arquivos anexados que podem infectar seu computador com malware
  • Instigam você a clicar em links que levam a sites que infectarão seu computador
  • Enganam você para que entregue suas credenciais de login para que eles possam ter acesso à sua rede ou outros sites

Assim como você não abriria a porta de casa para deixar um estranho entrar, não deve abrir e-mails de remetentes desconhecidos.

Muitas vezes, as pessoas confundem os termos spam, phishing e spear phishing porque todos eles são associados com e-mails indesejados. Veja as diferenças abaixo:

Spam

E-mails não solicitados que tentam vender um produto ou serviço

Phishing

E-mails enviados para um grupo grande de pessoas. São criados para enganar o destinatário para que compartilhe informações confidenciais

Spear Phishing

E-mails direcionados enviados para indivíduos importantes de uma organização. São criados para aparentarem ter sido enviados por alguém de confiança, como um gerente ou uma empresa de cartão de crédito

Por que os e-mails de spear phishing são tão bem-sucedidos?

Eles apelam para emoções

Medo

 

Your account has been compromised!

Urgência

 

Please respond within 24 hours

Curiosidade

 

Click here for breaking news alerts.

Oportunidade

 

You'd be a great fit for a position on my team.

Reconhecimento

 

Click here
to view your eCard

Eles são personalizados

Os spear phishers fazem pesquisas detalhadas e costumam personalizar seus e-mails. Por exemplo, muitas vezes os invasores usam informações do perfil da vítima em redes sociais para deixar as mensagens mais convincentes

Verifique um link sem clicar nele

Cada hiperlink contém duas partes: o elemento âncora e o destino.

O elemento âncora é a parte visível do hiperlink na qual você clica. Um elemento âncora pode ser uma URL, texto simples ou até mesmo uma imagem. Um elemento âncora pode ser enganador, porque ele não informa o destino real do link. O destino informa para onde o link realmente direciona.

Computador desktop (OSx e Windows):

Passe o cursor do mouse sobre o link para ver a URL.

Dispositivos móveis (Android, iOS, Windows):

Mantenha o toque sobre o link até aparecer um menu pop-up.

Dicas rápidas

Estas dicas podem ajudar você a identificar uma fraude:

Leia os e-mails cuidadosamente e fique atento a palavras como “Cuidado”, “Faça isso agora mesmo” e “Aviso”, pois chamam sua atenção e fazem com que você aja rapidamente.

Confirme se o e-mail foi enviado por um remetente real fazendo uma ligação telefônica rápida. Comunique qualquer e-mail suspeito.

Alguns invasores modificam os domínios para atingir vítimas desatentas. Por exemplo, se o domínio correto é www.example.com, os phishers podem registrar “examp1e.com” ou “example.co”.

Seja por meio de um título surpreendente ou de uma mensagem de agradecimento, os phishers costumam usar emoções para fazer com que os destinatários abram anexos e cliquem em links.

Como identificar um e-mail de phishing?

Below is an Interactive Email. Use the tab keys to navigate the Indicators of this phishing email

De: admin@secure-scans.com

Assunto: Seu documento digitalizado está pronto 

Olá,

A Laser Pro i280 do terceiro andar foi usada para digitalizar e enviar um documento por e-mail para você. 

Visualizar arquivo seguro

Responda a um breve questionário

Verdadeiro ou falso

O elemento âncora informa para onde o link realmente direciona.

Os invasores costumam usar emoções para incitar os destinatários a abrirem anexos e clicarem em links.

Para tornar as mensagens mais convincentes, os invasores costumam usar informações obtidas em perfis de redes sociais.

Os filtros de spam bloqueiam e-mails de spear phishing.

Você acertou 0 de 4 perguntas. Excelente resultado. Poderia ser melhor.