Phishing is al lange tijd een cruciaal onderdeel van arsenaal aanvallers. De techniek wordt vaak ingezet tegen bedrijven en hun werknemers, tricking ze in te klikken op de links voorzien en dus het opstarten van diverse kwaadaardige campagnes. Om het succes van phishing tegen te gaan, veel bedrijven hebben verschillende werknemer trainingen om hen te helpen te herkennen frauduleuze pogingen via e-mail gestart, sociale media en op de telefoon.
De psychologie van Phishing
Ondanks het bewustzijn en de toename van het aantal bedrijfstrainingen, mensen nog steeds geen pogingen tot phishing herkennen en uiteindelijk worden besmet. In veel gevallen, gehele bedrijven lijden enorme financiële verliezen als gevolg van een werknemer het openen van een phishing e-mail en het uitvoeren van het kwaadaardige bestand als bijlage in. Met andere woorden, weten over phishing niet altijd voorkomen klikken.
In enkele experimenten uitgevoerd in 2016, onderzoekers gesloten dat 78% van hun proefpersonen verklaarde inderdaad bewust zijn van de risico's van phishing en interactie met onbekende schakels. Alleen 20% uit de eerste studie en 16% van het tweede experiment genoemde dat ze op de link heeft geklikt. Echter, later gevestigde onderzoekers respectievelijk dat 45% en 25% op de links had geklikt. Heeft de deelnemers liggen? Onderzoekers geloven dat ze gewoon kunnen vergeten over het bericht nadat zij op het klikte.
Dus, waarom phishing blijven zo succesvol te zijn, ondanks de bewustmakingsprogramma's in organisaties en de alom beschikbare informatie? Het geheim van het succes ligt in de psychologie van phishing ... en in de onderwerpen van deze misleidende e-mails.
Phishing e-mails worden steeds moeilijker te herkennen en blokkeren alleen maar omdat ze zeer overtuigend zijn geworden. Daarbovenop, werknemers meestal niet aarzelen en ga verder met het openen van de mogelijk schadelijke e-mails, zelfs wanneer ze zich bewust zijn van de risico's.
“Ik denk dat het tot het punt waar het wordt steeds gemeengoed,” hij zegt. “Gebruikers zijn gewend aan phishing e-mails nu. Ze zuigen op niet op in te spelen of door te klikken op hen ... en dat is beangstigend, omdat [aanvallers] prooi op de menselijke natuur,” verklaart Webroot CISO Gary Hayslip. “Het maakt niet uit hoeveel technologie je in plaats om ze te blokkeren, stuff krijgt altijd door middel van,” de security experts voegt.
De meest populaire onderwerpen in Phishing Emails
Om kennis te maken met de recente trends in phishing-e-mails, Webroot onlangs gescand duizenden van dergelijke e-mails verzameld uit het verleden 18 maanden. Hayslip presenteert de bevindingen naar andere CISO's alleen om te ontdekken dat “bijna iedereen is hetzelfde zien,” in zijn eigen woorden. Phishing e-mails hebben over het algemeen een ding gemeen en het is het gevoel van urgentie die ze maken. De urgentie is meestal gebouwd op financiële onderwerpen, te beginnen met de onderwerpregel.
In feite, het is niet echt moeilijk om een phishing e-mail te spotten gewoon door te kijken naar het onderwerp. Dit zijn de zeven meest voorkomende onderwerp lijnen in dergelijke berichten.
- ‘Assist Dringend’, Dringend, Quick review
- Factuur, Betaling, Uitspraak
- bank van [naam van de bank], Kennisgeving [geassocieerd met de bank]
- Verifieer uw account
- Kopiëren, documentkopie
- 'Actie vereist: Betaal uw verkoper rekeningsaldo’
- ‘AMAZON: Uw bestelling Geen #812-4623 misschien KWAM’
Zoals zichtbaar, ze zijn allemaal creëren bovengenoemde urgentie en zijn voorbeelden van call-to-action. De ontvanger wordt aangespoord om onmiddellijk iets te doen, en de actie wordt meestal geassocieerd met het openbaren van persoonsgegevens en financieel gerelateerde informatie.
Als u misleid in onthullen uw persoonlijke of credit card informatie, je echte accounts kan worden aangetast, en uw identiteit kan worden gestolen en misbruikt. In het geval dat een dergelijke e-mail die je tegenkomt, niet openen, of als je openen - geen interactie met een van de links of bijlagen. Naast beroofd, uw systeem kan worden overspoeld met malware.