This was an authorized phishing simulation

If you ever suspect an email to be a phishing attack, or have any questions or feedback related to this exercise, please email john.doe@example.com.

Spear Phishing

All it takes is one click to compromise our network. Spear phishing is a leading cause of data breaches. As the number of cyber attacks and data breaches continues to increase, it is important to be aware of the latest spear phishing threats.

What is Spear Phishing?

Spear phishing messages are targeted at small groups or individuals. Attackers personalize these messages to bypass technical controls like spam filters.

Spear phishing emails:

Deliver file attachments that can infect your computer with malware
Entice you to click links that take you to websites that will infect your computer
Solicit login credentials and other sensitive information so that the attackers can gain access to our network

Spear phishing attacks are dangerous because they are often highly personalized. Attackers conduct extensive research and tailor the emails to appeal to their targets. For example, attackers frequently use information from your social media profile to make their messages more believable. Additionally, phishing emails play on emotions like fear, curiosity, recognition, opportunity, and a sense of urgency.

Quick Tips

Think twice. Read emails thoroughly and be wary of words like “Caution”, “Act Now”, and “Warning”, which convey urgency and compel you to act quickly.
Look at the domain name. Some attackers modify domains to catch targets off guard. For example, if the correct domain was www.example.com, the phishers may register “examp1e.com” or “example.co”.
Keep your emotions in check. Whether it’s a surprising headline or a notification saying your account is compromised, phishers frequently use emotions like fear or curiosity to trick recipients.
Always verify. Confirm that the email is from the real sender with a quick phone call. Report any suspicious emails.

If you suspect that you have received a spear phishing email at work, follow our procedures for reporting it immediately.

Learn More

According to Symantec, 1 in 2.3 organizations with over 2,500 employees were targeted by at least one spear-phishing attack in 2013. With these odds, it’s not unlikely that a suspicious email might be a phishing attempt.

It’s much easier for a cyber-criminal to obtain access to your systems by obtaining legitimate credentials than to hack into it using blunt tactics. In fact, according to the 2013 Verizon Data Breach Investigations Report, “76% of network intrusions exploited weak or stolen credentials;” the report also indicates that 40% of attacks incorporate malicious software, like keyloggers, which can be used to obtain that same information.

This is important because your credentials are exactly what spear phishers are trying to obtain when they encourage you to click a link, download an attachment, or input sensitive information. Using your credentials, they can do damage your organization in a number of ways, such as stealing intellectual property, encrypting and holding your files for ransom, or logging into financial accounts.

Das war eine autorisierte Phishing-Simulation

Wenn Sie den Verdacht haben, dass es sich bei einer E-Mail um einen Phishing-Angriff handelt, oder wenn Sie Fragen bzw. Feedback in Bezug auf diese Übung haben, schicken Sie bitte eine E-Mail an john.doe@example.com.

Spear Phishing

Taucher, der versucht, einen Fisch zu speeren

Nur ein Klick genügt, um Ihr Netzwerk zu gefährden. Spear-Phishing gehört zu den häufigsten Ursachen von Datenmissbrauch. Da die Zahl der Cyber-Angriffe und Datenverletzungen immer weiter steigt, ist es unerlässlich, die neuesten Gefahren durch Spear-Phishing zu kennen.

Was ist Spear-Phishing?

Spear-Phishing-E-Mails werden an kleine Gruppen und Einzelpersonen versendet. Die Angreifer personalisieren ihre Nachrichten, um technische Kontrollen wie Spamfilter zu umgehen.

Spear-Phishing-E-Mails:

Versenden Dateianhänge, die Ihren Computer mit Malware infizieren können
Verleiten dazu, auf Links zu Websites zu klicken, die Ihren Computer infizieren
Fordern auf zur Eingabe von Anmeldedaten oder anderer vertraulicher Informationen, sodass die Angreifer Zugriff auf unser Netzwerk erlangen können.

Spear-Phishing-Angriffe sind so gefährlich, weil sie oftmals personalisiert sind. Die Angreifer spionieren ihre Zielpersonen im Vorfeld umfassend aus und passen die E-Mails dann genau an diese an. So nutzen Angreifer beispielsweise häufig Informationen aus den Social Media-Profilen ihrer Opfer, um ihre Nachrichten glaubwürdiger erscheinen zu lassen. Darüber hinaus spielen Phishing-E-Mails bewusst mit Emotionen wie Angst oder Neugier, zielen auf den Wunsch nach Anerkennung ab, gaukeln Chancen vor oder klingen besonders dringlich.

Kurztipps

Überlegen Sie zweimal. Lesen Sie die E-Mails gründlich und achten Sie auf Ausdrücke wie „Achtung“, „Handeln Sie jetzt“ oder „Warnhinweis“, die Dringlichkeit vortäuschen und Sie zu einem sofortigen Handeln verleiten.
Achten Sie auf den Domainnamen. Einige Angreifer verändern Domains, um ihre Zielpersonen zu überrumpeln. Lautet beispielsweise die richtige Domain „www.example.com“, könnten die Phishing-Betrüger „examp1e.com“ oder „example.co“ registrieren.
Halten Sie Ihre Emotionen im Zaum. Angreifer zielen häufig auf Ihre Emotionen ab und wollen Angst schüren oder Ihre Neugier wecken. Dazu nutzen sie beispielsweise einen aufmerksamkeitsstarken Betreff oder behaupten, Ihr Konto wäre gefährdet. Fallen Sie nicht darauf herein.
Prüfen Sie stets nach. Vergewissern Sie sich durch einen kurzen Anruf, dass die E-Mail wirklich vom angezeigten Absender stammt. Melden Sie jede verdächtige E-Mail.

Wenn Sie den Verdacht haben, dass in Ihrem Firmenpostfach eine Spear-Phishing-E-Mail eingegangen ist, befolgen Sie bitte unsere Verfahren zur sofortigen Meldung.

Weitere Informationen

Laut Symantec war im Jahr 2013 bereits 1 von 2,3 Organisationen mit mehr als 2.500 Mitarbeitern Ziel von mindestens einem Spear-Phishing-Angriff. Es ist also nicht unwahrscheinlich, dass es sich bei einer verdächtigen E-Mail um einen Phishing-Angriff handelt.

Für Cyberkriminelle ist es durch Abfragen von Anmeldedaten wesentlich einfacher, Zugang zu Ihren Systemen zu erhalten, als sich mithilfe von stumpfen Taktiken in diese zu hacken. Gemäß dem Verizon-Untersuchungsbericht zu Datensicherheitsverletzungen von 2013 wurden bei „76 % der Netzwerkangriffe unsichere oder gestohlene Anmeldedaten ausgenutzt“. Aus dem Bericht geht auch hervor, dass bei 40 % der Angriffe Schadsoftware eingesetzt wurde, z. B. Keylogger, mit der diese Informationen abgerufen werden können.

Das ist wichtig, denn es sind gerade Ihre Anmeldedaten, die Spear-Phisher versuchen abzurufen, wenn sie Sie dazu auffordern, auf einen Link zu klicken, einen Anhang herunterzuladen oder vertrauliche Daten einzugeben. Anhand Ihrer Anmeldedaten können sie Ihrer Organisation auf verschiedene Arten schaden, z. B. geistiges Eigentum stehlen, Dateien verschlüsseln und für die Freigabe Lösegeld fordern oder auf Finanzkonten zugreifen.

لقد كانت هذه عملية محاكاة معتمدة للتصيد الاحتيالي

إذا كنت تشك في أي وقت أن لديك رسالة بريد إلكتروني تمثل هجوم تصيد احتيالي، أو كانت لديك أية أسئلة أو ملاحظات متعلقة بهذا التدريب، يُرجى إرسال رسالة بريد إلكتروني إلى john.doe@example.com.

التصيد الاحتيالي الموجه

كل ما يتطلبه الأمر هو نقرة واحدة حتى تعرض الشبكة الخاصة بنا للخطر. يُعد التصيد الاحتيالي الموجّه سببًا أساسيًا في الانتهاكات المتعلقة بالبيانات. نظرًا لاستمرار تزايد عدد الهجمات السيبرانية والانتهاكات المتعلقة بالبيانات، فمن المهم أن تكون على دراية بتهديدات التصيد الاحتيالي الأخيرة.

ما التصيد الاحتيالي الموجَّه؟

تستهدف رسائل التصيد الاحتيالي الموجّه مجموعات صغيرة أو أفرادًا. يخصّص المهاجمون هذه الرسائل لتجاوز عناصر الرقابة التقنية مثل عوامل تصفية البريد العشوائي.

رسائل البريد الإلكتروني للتصيد الاحتيالي الموجَّه:

تسليم ملفات مرفقة يمكنها أن تصيب الكمبيوتر الخاص بك ببرامج ضارة
استدراجك للنقر فوق روابط تنتقل بك إلى مواقع ويب تصيب الكمبيوتر الخاص بك
طلب بيانات اعتماد تسجيل الدخول ومعلومات أخرى حساسة تُمكّن المهاجمين من الوصول إلى الشبكة الخاصة بنا

تعد هجمات التصيد الاحتيالي الموجّه خطرة لأنها غالبًا ما تكون مخصصة بدرجة كبيرة. يقوم المهاجمون بإجراء بحوث مستفيضة وتصميم رسائل بريد إلكتروني لجذب أهدافهم. على سبيل المثال، كثيرًا ما يستخدم المهاجمون معلومات من ملف التعريف الخاص بك الموجود على مواقع التواصل الاجتماعي لجعل رسائلهم أكثر إقناعًا. بالإضافة إلى ذلك، تتلاعب رسائل البريد الإلكتروني للتصيد الاحتيالي بالعواطف المتعلقة بالخوف والفضول والاهتمام والحصول على إحدى الفرص والحاجة الملحة.

نصائح سريعة

فكر بتأنٍ. اقرأ رسائل البريد الإلكتروني بعناية واحذر من كلمات مثل "انتبه" و"تصرف الآن" و"تحذير"، والتي تشير إلى الحاجة الملحة وتدفعك إلى التصرف بسرعة.
انظر إلى اسم المجال. يقوم بعض المهاجمين بتعديل المجالات لاصطياد الأهداف على حين غرة. على سبيل المثال، إذا كان المجال الصحيح هو www.example.com، فقد يسجل ممارسو التصيد الاحتيالي "examp1e.com" أو "example.co".
تحكّم في مشاعرك. سواء كان التصيد الاحتيالي من خلال عنوان مفاجئ أو إشعار يفيد بأن حسابك معرض للخطر، فإن ممارسي التصيد الاحتيالي غالبًا ما يستخدمون العواطف مثل الخوف والفضول لخداع المستلمين.
تحقق دائمًا. تحقق دائمًا من أن رسالة البريد الإلكتروني تأتي من مرسل حقيقي وذلك بإجراء مكالمة هاتفية سريعة. الإبلاغ عن أي رسائل بريد إلكتروني مريبة.

إذا كنت تشك في أنك قد تلقيت رسالة بريد إلكتروني للتصيد الاحتيالي الموجَّه في العمل، فاتبع الإجراءات الخاصة بنا للإبلاغ عنها على الفور.

معرفة المزيد

According to Symantec, 1 in 2.3 organizations with over 2,500 employees were targeted by at least one spear-phishing attack in 2013. With these odds, it’s not unlikely that a suspicious email might be a phishing attempt.

It’s much easier for a cyber-criminal to obtain access to your systems by obtaining legitimate credentials than to hack into it using blunt tactics. In fact, according to the 2013 Verizon Data Breach Investigations Report, “76% of network intrusions exploited weak or stolen credentials;” the report also indicates that 40% of attacks incorporate malicious software, like keyloggers, which can be used to obtain that same information.

This is important because your credentials are exactly what spear phishers are trying to obtain when they encourage you to click a link, download an attachment, or input sensitive information. Using your credentials, they can do damage your organization in a number of ways, such as stealing intellectual property, encrypting and holding your files for ransom, or logging into financial accounts.

Esta fue una simulación autorizada de phishing.

Si alguna vez sospecha que un correo electrónico puede ser un ataque de phishing o tiene alguna pregunta o comentario relacionado con este ejercicio, envíe un correo electrónico a john.doe@example.com.

Spear phishing

Un clic es suficiente para poner en riesgo a nuestra red. El spear phishing es una de las principales causas de filtración de datos. Como la cantidad de ataques cibernéticos y violaciones de datos sigue en aumento, es importante estar al tanto de las últimas amenazas de spear phishing.

¿Qué es el spear phishing?

Los mensajes de spear phishing se dirigen a grupos pequeños o individuos. Los atacantes personalizan estos mensajes para evadir controles técnicos, como filtros de correo no deseado.

Los correos electrónicos de spear phishing:

Envían archivos adjuntos que pueden infectar su computadora con malware.
Lo tientan para que haga clic en vínculos que llevan a sitios web que infectarán su computadora.
Solicitan sus credenciales de inicio de sesión y otra información confidencial para que los atacantes puedan acceder a nuestra red.

Los ataques de spear phishing son peligrosos porque suelen ser muy personalizados. Los atacantes realizan una profunda investigación y adaptan los correos electrónicos para atraer a sus víctimas. Por ejemplo, con frecuencia, los atacantes utilizan información de su perfil de redes sociales para elaborar sus mensajes de un modo más creíble. Además, los correos electrónicos de phishing juegan con las emociones, como el miedo, la curiosidad, el reconocimiento, la oportunidad y la sensación de urgencia.

Sugerencias rápidas

Piense dos veces. Lea los correos electrónicos cuidadosamente y desconfíe de palabras como “Cuidado”, “Actuar ahora” y “Advertencia” que transmiten urgencia e inducen a actuar con rapidez.
Mire el nombre de dominio. Algunos atacantes modifican dominios para llamar la atención de las víctimas con la guardia baja. Por ejemplo, si el dominio correcto fuera www.example.com, es posible que las personas que realizan phishing registren “examp1e.com” o “example.co”.
Mantenga sus emociones bajo control. Así sea un título sorprendente o una notificación de que su cuenta está en peligro, los estafadores de phishing suelen emplear emociones como el miedo o la curiosidad para engañar a los destinatarios.
Verifique siempre. Confirme con una llamada telefónica rápida que el remitente del correo electrónico sea real. Reporte todos los correos electrónicos sospechosos.

Si sospecha que ha recibido un correo electrónico de spear phishing en el trabajo, siga nuestros procedimientos para denunciarlo de inmediato.

Más información

Según Symantec, 1 de 2,3 organizaciones con más de 2500 empleados sufrieron al menos un ataque de spear phishing en 2013. Con estas estadísticas, no resulta improbable que un correo electrónico sospechoso pueda ser un intento de phishing.

Para un delincuente cibernético, es mucho más sencillo lograr el acceso a sus sistemas mediante la obtención de credenciales legítimas que acceder ilegalmente mediante tácticas directas. De hecho, según el Informe de Verizon basado en las investigaciones de violaciones de datos de 2013, “el 76% de las intrusiones en la red hicieron uso de credenciales débiles o robadas”; en el informe también se señala que el 40% de los ataques incorporan software malintencionado, como registradores de teclas, que pueden utilizarse para obtener esa misma información.

Esto resulta importante porque sus credenciales son precisamente lo que los delincuentes de spear phishing intentan obtener cuando lo incentivan a hacer clic en un enlace, descargar un archivo adjunto o ingresar información confidencial. Con sus credenciales, pueden dañar a la organización de diversas formas, por ejemplo mediante el robo de propiedad intelectual, el cifrado de archivos o su conservación con fines de solicitar el pago de un rescate, o bien el ingreso a cuentas financieras.