Mis on andmepüük lihtsate sõnadega?

Andmepüük on olukord, kus ründaja loob võltsveebisaidi, mis näeb välja identne päris veebisaidiga (teie pank, e-post, töökoha sisselogimine), ja meelitab teid sinna parooli sisestama. Niipea kui vormi esitate, jäädvustab ründaja teie mandaadid ja kasutab neid pärisel saidil.

Kas 2FA peatab andmepüügi?

Rakenduspõhine 2FA (TOTP) ja SMS-koodid EI peata kaasaegset andmepüüki. Ründajad kasutavad reaalajas puhverservereid, mis edastavad teie koodi pärisele saidile mõne sekundi jooksul. Ainult FIDO2/WebAuthn riistvara võtmed ja paroolid on andmepüügikindlad, kuna need seotakse krüptograafiliselt tegeliku domeeniga.

Kuidas tuvastada andmepüügimeili?

Hõljutage hiirt linkide kohal enne klõpsamist ja kontrollige tegelikku sihtkohta. Jälgige kiireloomulisust ("teie konto suletakse 24 tunni jooksul"), üldisi tervitusi ("Lugupeetud klient") ning domeenide väikseid kirjavigasid (paypaI.com suure I-ga, mitte väikese L-iga). Kahtluse korral navigeerige saidile käsitsi selle asemel, et lingile klõpsata.

Mida teha, kui arvan, et langesin andmepüügirünnaku ohvriks?

Muutke viivitamatult mõjutatud konto parool teisest seadmest. Tühistage kõik aktiivsed seansid konto seadetest. Lubage või lubage uuesti 2FA, kui te seda veel teinud pole. Kontrollige kontot volitamata tegevuse suhtes. Kui tegemist on finantskontoga, võtke asutusega otse ühendust.

Kas paroolihaldurite kasutamine andmepüügi vastu on ohutu?

Jah, ja need on üks teie parimaid kaitsevahendeid. Paroolihaldurid täidavad automaatselt täpse domeeni alusel. Kui maandute paypaI.com-ile paypal.com-i asemel, ei täida haldur vormi automaatselt — see on suur ohumärk, et midagi on valesti.

Kuidas kaitsta end andmepüügirünnakute eest

Mis on andmepüük?

Andmepüük on sotsiaalse manipuleerimise rünnak, kus ründaja loob veenva koopia legitiimsest veebisaidist — sageli pikselitäpsusega — ja meelitab ohvrit sinna mandaate sisestama. Niipea kui ohver vormi esitab, jäädvustab ründaja kasutajanime, parooli ja mis tahes teise teguri, kasutades neid seejärel päris konto ülevõtmiseks mõne sekundi jooksul.

Sõna tuleneb metafoorist ohvrite "kalastamisest" söödaga (tavaliselt meil). Kirjaviis muutus rõhutamaks, et ründajad kasutavad sageli phone'i numbreid (SMS-andmepüük ehk "smishing") ja professionaalse välimusega infrastruktuuri.

Miks andmepüük on endiselt peamine oht

Enamik tänapäevaseid suure ulatusega kontode rikkumisi ei hõlma häkkimist, paroolide murdmist ega krüptimise möödaviimist. Need hõlmavad inimest, kes sisestab parooli võltsveebisaidile. Andmepüük on:

Odav — ründaja saab saata miljoneid e-kirju VPS-i ja võltsitud domeeni hinnaga
Raske filtreerida — kaasaegsed komplektid roteerivad domeene, kasutavad legitiimset majutust ja kohanduvad filtritega reaalajas
Tõhus — isegi turvatest teadlikud kasutajad langevad hästi koostatud sihitud katsete (spear phishing) ohvriks
Skaleeruv — üks edukas andmepüügirünnak annab sageli juurdepääsu kümnetele seotud teenustele paroolide taaskasutamise kaudu

aasta Verizoni andmerikkumiste uurimisaruanne leidis, et andmepüük oli esialgne juurdepääsuvahend enam kui 36% kõigist rikkumistest — rohkem kui ükski teine üksik põhjus.

Kuidas kaasaegne andmepüük toimib

Andmepüük on arenenud kaugele 2000ndate "Nigeeria printsi" e-kirjadest. Kaasaegne andmepüügirünnak hõlmab tavaliselt:

1. Veenev peibutis

Tavaliselt meil, tekstsõnum või vestlussõnum, mis tekitab kiireloomulisust ("Teie konto peatatakse"), autoriteetsust ("Microsofti turvacsapant") või uudishimu ("Keegi märkis teid fotol"). Spear-phishing läheb kaugemale, kasutades isiklikke andmeid, mis on kogutud LinkedInist, rikkumise andmebaasidest või varasemast kirjavahetusest.

2. Pikselitäpne võltsveebisait

Ründajad kasutavad valmis andmepüügikomplekte, mis kloonivad sihtveebisaidi HTML-i, CSS-i ja JavaScripti. Paljusid komplekte müüakse teenusena (phishing-as-a-service), koos toimivate töölaudade ja klienditeenindusega.

3. Reaalajas puhverserver 2FA jaoks

Ohtlik osa: kaasaegsed komplektid ei jäädvusta ainult teie parooli. Need toimivad mees-keskel puhverserverina, mis edastab kõik, mida sisestate — sealhulgas teie TOTP-koodi — pärisele saidile mõne sekundi jooksul, möödudes enamikust 2FA-st. Seda tehnikat nimetatakse adversary-in-the-middle (AiTM) ja seda kasutatakse tööriistades nagu Evilginx2 ja Modlishka.

4. Seansitokeni vargus

Kui olete puhverserveri kaudu autentitud, jäädvustab ründaja teie seansiküpsise ja saab seda kasutada sisselogitud olekus püsimiseks isegi pärast parooli muutmist. Seetõttu hõlmab andmepüügile reageerimine alati aktiivsete seanside tühistamist, mitte ainult parooli roteerimist.

Mis tegelikult peatab andmepüügi

Riistvara turvavõtmed (FIDO2 / WebAuthn)

See on ainus kaitskategoria, mis on andmepüügikindel juba disaini poolest. Kui logite sisse FIDO2-võtmega, kontrollib teie võti krüptograafiliselt autentimist taotleva saidi täpset domeeni. Võltsveebisaidil — olenemata sellest, kui visuaalselt täiuslik see on — on erinev domeen, nii et võti keeldub vastamast. Krüptograafiline käepigistus lihtsalt ei lõpule jõua.

Google kohustas kuulsalt kõiki oma 85 000+ töötajat kasutama YubiKey'sid 2017. aastal ja teatas, et sellest saadik ei ole ettevõtte kontodel esinenud ühtegi edukat andmepüügirünnakut.

Paroolid (Passkeys)

Paroolid on FIDO2 tarbijasõbralik areng. Need kasutavad sama domeeniga seotud krüptograafiat ja on sisse ehitatud iOS-i, Androidi, macOS-i ja Windowsisse. Kui kasutataval saidil on paroolide tugi, muudab selle lubamine konto andmepüügikindlaks.

Paroolihaldurid

Paroolihaldur on teie teine kaitseliin, kuna see täidab mandaate automaatselt ainult täpsel domeenis, kuhu need salvestati. Kui maandute paypaI.com-ile (suur I) paypal.com-i asemel, keeldub teie haldur vaikselt vormi täitmisest. See keeldumine on valjusti hoiatus, et midagi on valesti.

E-posti ja DNS-filtreerimine

E-posti teenusepakkujad kasutavad DMARC-i, SPF-i ja DKIM-i võltsitud saatjaaadresside tuvastamiseks. Enamik kaasaegseid teenusepakkujaid püüab ilmsed katsed kinni, kuid sihitud rünnakud pääsevad siiski läbi. Lubage oma meilirakenduses "teata andmepüügist" nupud, et aidata filtritel paraneda.

Ohumärgid, mida jälgida

Kui saate sõnumi, mis palub teil sisse logida, midagi kinnitada või kiiresti tegutseda:

Kiireloomulisus ja ähvardused — "Teie konto suletakse 24 tunni jooksul"
Üldised tervitused — "Lugupeetud klient" teie nime asemel
Sarnase välimusega domeenid — paypaI.com, app1e.com, secure-microsoft-login.net
Ootamatud manused — eriti .zip, .html või .pdf failid, mis paluvad nende vaatamiseks sisse logida
Grammatika- või vormindusvead — suurettevõtted loevad oma e-kirju üle
Lingi mittevastavus — hõljutage hiirt lingi kohal ja kontrollige, kas sihtkoht vastab tekstile

Kui midagi tundub kahtlane, sulgege meil. Navigeerige saidile käsitsi. Kui on tõeline probleem, näete seda tavapärase töövoo kaudu sisse logides.

Mida teha, kui langesite ohvriks

Tegutsege kiiresti — kiirus on oluline, kuna ründajad hakkavad mandaate kasutama mõne minuti jooksul.

Muutke parool kohe teises seadmes (näiteks oma telefonis, kui langsite ohvriks sülearvutis)
Tühistage kõik aktiivsed seansid konto seadetest — see eemaldab kõik, kes hetkel kasutavad varastatud seansitokene
Lubage 2FA, kui see polnud juba lubatud, ja kasutage võimaluse korral riistvara võtit või parooli
Kontrollige volitamata tegevust — saadetud meilid, hiljutised sisselogimised, arveldumuutused, uued edasisuunamise reeglid
Teavitage mõjutatud asutust, kui tegemist on finants- või töökontoga
Kontrollige teisi kontosid, mis kasutasid sama parooli — isegi kui olete kindel, et te paroole ei kordusta, kontrollige siiski

Kokkuvõte

Andmepüük õitseb, kuna see möödab tehnoloogiast ja sihib inimesi. Parimad kaitsemeetmed ühendavad kolm kihti: paroolihaldurid (keelduvad vale domeeni korral automaattäitmisest), andmepüügikindel 2FA (riistvara võtmed või paroolid, mis seotakse tegeliku domeeniga) ja terve skeptitsism (ärge kunagi logige sisse meililingi kaudu).

Lubage kõik kolm oma tähtsaimal kontol — e-postil — kõigepealt. Sealt edasi muutub ülejäänud teie digitaalne elu märkimisväärselt turvalisemaks.