Napredni fišing trikovi zaobilaze multifaktorsku autentifikaciju: Pazite na šta klikćete!

U svetu sajber bezbednosti stalno se pojavljuju nove taktike koje ciljaju kompanije, ali napadaju i obične korisnike. Dok su ranije fišing kampanje uglavnom napadale privatne korisnike masovno, sada sofisticirani napadači sve više ciljaju B2B sektor.

Najnovije metode uključuju zlonamerne kalendarske pozivnice, lažne MFA stranice i minimalističke e-mailove koji privlače pažnju bez da sumnjaju na prevaru. Ove tehnike su dizajnirane tako da prevare čak i obazrive korisnike, što čini edukaciju i zaštitu mreža ključnim elementom bezbednosne strategije.

Kalendarske pozivnice: Retko ko shvati da se radi o hakerskom napadu

Napadači šalju pozivnice za događaje direktno u poslovne kalendare, često sa minimalnim tekstom u telu poruke. Zlonamerni linkovi se kriju u opisu događaja, a kada korisnik otvori pozivnicu, događaj se automatski dodaje u kalendar sa podsetnicima koji podstiču klik na link.

Profimedia

Ovi linkovi vode ka lažnim stranicama za prijavu, koje imitiraju popularne servise poput Microsofta. Cilj je isti – prikupljanje lozinki i pristupnih podataka, a metoda je toliko diskretna da mnogi zaposleni ne prepoznaju opasnost dok nije prekasno.

Fišing preko glasovnih poruka je sve više zastupljen

Jedna od novih taktika uključuje minimalističke e-mailove koji se predstavljaju kao obaveštenja o glasovnim porukama, često bez ikakvog dodatnog teksta. Klikom na link korisnik prolazi kroz CAPTCHA verifikaciju, što zaobilazi bezbednosne botove, i na kraju dolazi do lažne stranice za prijavu koja prikuplja pristupne podatke.

Ovaj višeslojni pristup naglašava važnost obuke zaposlenih i implementacije naprednih rešenja za zaštitu e-pošte koja mogu da detektuju skrivene taktike pre nego što dođe do kompromitovanja naloga.

Zaobilaženje multifaktorske autentifikacije: Lažne MFA stranice u Cloudu

Napredne fišing kampanje sada ciljaju i multifaktorsku autentifikaciju (MFA), imitirajući servise poput pClouda. Zaposleni dobijaju e-mailove maskirane kao neutralna podrška, koji vode do lažnih stranica sa domenima nalik originalima (npr. pcloud.online).

Profimedia

Stranice komuniciraju sa pravim servisom putem API-ja, potvrđuju e-mail adrese i traže jednokratne šifre i lozinke, čime napadači stiču pristup nalogu. Ova sofisticirana taktika pokazuje koliko je važno da organizacije sprovode obavezne programe obuke i koriste napredne alate za zaštitu e-pošte.

Edukacija i tehnološka zaštita: Kako zaštititi svoje naloge i podatke 

S obzirom na sve sofisticiranije fišing taktike, ključno je kombinovati ličnu edukaciju sa tehnološkim rešenjima kako biste zaštitili svoje naloge i podatke. Naučite da prepoznajete sumnjive linkove i lažne stranice, proveravajte adrese domena i koristite multifaktorsku autentifikaciju gde god je moguće. Interaktivni online moduli, tutorijali i simulacije fišing napada mogu vam pomoći da unapred prepoznate prevaru i izbegnete gubitak ličnih informacija.

Paralelno, alati za zaštitu e-pošte i antivirusni softver koji detektuju zlonamerni sadržaj smanjuju rizik od kompromitovanja vaših naloga. Kombinovanjem edukacije i tehnološke zaštite možete značajno povećati sigurnost svojih digitalnih aktivnosti i smanjiti rizik od gubitka podataka ili identiteta.

BONUS VIDEO:

Instalirajte našu iOS ili android aplikaciju – 24sedam Vest koja vredi