Двоствольний фішинг

Що таке Двоствольний фішинг?

Double barrel phishing — це двоетапна атака, де перше повідомлення повністю нешкідливе, а друге містить шкідливе корисне навантаження. Початковий лист встановлює легітимність та формує довіру. Це може бути просте знайомство, підтвердження зустрічі або звичайне надсилання документа. Нічого в ньому не викликає підозр. Подальший лист надходить через кілька годин або днів, посилається на перше повідомлення та містить посилання або вкладення, що розгортає фактичну атаку. Оскільки Ви вже взаємодіяли з відправником, Ваша пильність знижена. Ця техніка ефективна, тому що вона використовує когнітивну сліпу зону. Після позитивної або нейтральної взаємодії з кимось Ваш мозок відносить цю людину до категорії безпечних. Фільтри безпеки також часто пропускають ці атаки, тому що перше повідомлення справді чисте, а друге надходить з того самого довіреного потоку відправника. У цій симуляції Ви отримуєте дружній вступний лист від людини, яка представляється новим контактом у компанії-партнері. Лист не містить посилань, вкладень та нічого підозрілого. Якщо Ви відповідаєте або навіть просто читаєте його, надходить подальший лист, який посилається на Вашу взаємодію та містить документ, для доступу до якого потрібні Ваші облікові дані. Ви навчитесь розглядати кожне повідомлення незалежно, незважаючи на попередній контекст, перевіряти нових контактів через офіційні довідники компаній перед взаємодією та розпізнавати тонкі поведінкові ознаки, що відрізняють двоетапну підготовку від звичайної ділової кореспонденції.

Що ви дізнаєтесь у Двоствольний фішинг

• Розпізнавати двоетапний шаблон double barrel phishing, де нешкідливе початкове повідомлення передує шкідливому подальшому листу
• Оцінювати кожен лист незалежно, незважаючи на попередні взаємодії з тією самою адресою відправника або потоком листів
• Перевіряти нових зовнішніх контактів через офіційні довідники компаній та відомі канали зв'язку перед наданням інформації
• Визначати когнітивне упередження довіри та розуміти, чому попередня безпечна взаємодія не гарантує, що подальші повідомлення є легітимними
• Пояснити, як зловмисники використовують скомпрометовані легітимні облікові записи електронної пошти та чисті початкові повідомлення для обходу фільтрів безпеки

Двоствольний фішинг — Кроки навчання

1. вступ

   Nexlify Solutions спеціалізується на підключенні талановитих професіоналів до клієнтів. Ви керуєте повною базою даних, що містить конфіденційну інформацію про кандидатів, включаючи резюме, контактні дані, очікувану зарплату та особисті дані.

2. Несподіваний дзвінок

   Аліса переглядає заявки за своїм столом, коли її телефон дзвонить. Той, хто дзвонить, звучить професійно та чітко, представляючись «Девідом Міллером», старшим інженером-програмістом, який цікавиться можливостями Nexlify Solutions.

3. Починається атака

   Під час телефонної розмови Боб (у ролі Девіда) представляє себе як чіткого та обізнаного професіонала. Розмова протікає природно, коли вони обговорюють його досвід, вимоги до ролі та культуру компанії. Приблизно в середині розмови Боб спрямовує розмову в, здавалося б, невинне русло.

4. Збір інформації

   Алісі задають питання, яке здається невинним.

5. Обмін електронною поштою

   Після позитивної телефонної розмови Аліса надсилає Бобу, під виглядом «Девіда», детальну інформацію про кілька відкритих вакансій, які відповідають його минулому. Аліса хоче внести відомості про Девіда в базу даних TalentHub Pro, оскільки він виглядає дуже підходящим кандидатом, і вона може отримати бонус при наймі. Тому вона з нетерпінням чекає його відповіді електронною поштою з його резюме.

6. Підготовка

   Тим часом Боб готує підроблену сторінку входу в TalentHub Pro. Він уже спонукав Алісу використовувати TalentHub Pro і тепер готовий використовувати це.

7. Надходить фішинговий електронний лист

   Аліса отримує електронний лист, начебто від ІТ-відділу компанії. Адреса відправника вказує на it-support@nexlify-solutions-secure.com і містить знайомий логотип компанії та професійне форматування, яке Аліса впізнає з легітимних ІТ-повідомлень.

8. Читання електронної пошти

   Аліса натискає посилання міграції, яке відкриває сторінку входу в TalentHub Pro. Веб-сайт виглядає ідентично системі, якою вона користується щодня – ті самі кольори, логотип, макет і знайомі елементи інтерфейсу. URL-адреса відображає «http://talenthub-pro-migration.nexlify-solutions-secure.com/login», але Аліса надто поспішає, щоб помітити відсутність шифрування HTTPS.

9. Введіть облікові дані

   Відчуваючи напруженість терміну о 17:00 і термінову потребу зберегти доступ до TalentHub для додавання даних Девіда, Аліса вводить своє ім’я користувача та пароль. Фальшивий веб-сайт негайно захоплює її облікові дані та показує переконливе повідомлення.

10. Успішне порушення даних

    Через кілька секунд сторінка переспрямовує на справжню сторінку входу Nexlify Solutions, створюючи ілюзію успішного перенесення.