Vaatamata asjaolule, et andmepüük on osa tehnoloogiast ja osaliselt psühholoogiast, on see üks tõsisemaid turvaprobleeme, millega spetsialistid ja ettevõtted tänapäeval silmitsi seisavad. Teie e-posti süsteemid on kaitsmata nende andmepüügirünnakute suhtes. Selline tehnoloogia põhineb kindlal arusaamal, kuidas asjad võivad valesti minna - kas haavatavus on võrgus, üksikutes arvutites või kasutajaliideste kujundamisel. Andmepüük on sotsiaaltehnoloogia vorm, kus ründaja petab massiliselt inimesi pahavara linkidele klõpsates, et nende konfidentsiaalset või tundlikku mandaati või teavet petlikult hankida. Sellist suhtlust tehakse sagedamini e-kirjade kaudu, et sihtida laia valikut inimesi.

Viimasel ajal on spetsiifilisem andmepüügivorm, mida kutsutakse odapüügiks, omandanud julgeoleku ökosüsteemis suure rolli. Need rünnakud, erinevalt andmepüügirünnakutest, on suunatud konkreetsetele isikutele või organisatsiooni gruppidele ja kasutavad petuvõtteid, et veenda kasutajaid klikkima lingile, mis installib arvutisse pahatahtliku koodi. Seejärel saab ründaja koguda ohvrilt väärtuslikku isiklikku ja ametialast teavet ning võimaldab mõnikord ohvri arvutit täielikult kontrollida. Erinevalt andmepüügist on see sihipärane katse varastada konkreetse ohvri finantsteavet või konto mandaati. Need petturlikud e-kirjad näivad pärinevat usaldusväärsest allikast, et ründajad saaksid salastatud teavet varastada. Nii andmepüük kui ka odapüük on e-posti rünnakute kõige levinumad vormid, väikeste erinevustega.

Mis on andmepüük?

Andmepüük on e-posti rünnaku kõige levinum vorm, kus ründaja petab inimesi seaduslikuks peetavate pahatahtlike linkide klikkimisel, et nad omandaksid oma tundlikku või konfidentsiaalset teavet ebaseaduslikult, jäljendades usaldusväärse allika või organisatsiooni elektroonilist suhtlust automatiseeritud viisil.

Viimastel aastakümnetel on andmepüügirünnakute arvu kasv olnud murettekitav. Andmepüük on mitmes mõttes evolutsiooniline oht ja Interneti üldlevinud esinemisel muutub andmepüük mitmel põhjusel suuremaks ohuks. Esiteks võib see ohvrile maksta päris raha ja teiseks peavad organisatsioonid, kelle nimesid on andmepüügirünnakus kasutatud, sageli kandma toetuskulud.

Mis on odapüük?

Püügipüük on järgmine e-posti rünnaku tase, kus e-kirjad on hoolikalt kavandatud kindlale rühmale või üksikisikule sihtimiseks ja veenmaks neid klõpsama lingil, mis installib nende arvutisse pahatahtliku koodi. Pärast pahatahtliku koodi sisestamist nende süsteemi saab ründaja oma arvuti täieliku kontrolli ja on seejärel võimeline hankima ohvrilt väärtuslikke isiklikke ja ametialaseid andmeid.

Need rünnakud on väga ohtlikud, kuna need on enamasti suunatud kõrgete ettevõtete töötajatele, kellest enamikul on juurdepääs kommertspangandusele, müügiandmebaasidele ja muule tundlikule teabele. Ründajad varjavad end sageli maineka organisatsioonina ja e-kirjad näivad olevat pärit usaldusväärsetest allikatest, meelitades lõpuks ohvreid sööta võtma.

Erinevus õngitsemise ja odaõngimise vahel

  1. Õngitsemise ja odaõngimise terminoloogia

- Mõisteid andmepüük ja odavat andmepüüki saab hõlpsasti segi ajada, kuna need on kaks kõige levinumat e-posti rünnaku vormi, mille eesmärk on tundliku ja konfidentsiaalse teabe hankimine ohvrite käest, kes on varjatud usaldusväärsete üksuste või organisatsioonidena.

Mõlemad rünnakud viiakse läbi e-kirjade või telefonikõnede, sotsiaalmeedia või tekstsõnumite kaudu. Andmepüügirünnakud on aga suunatud paljudele inimestele, samas kui andmepüügirünnakud on suunatud konkreetsele isikule või rühmale või mõnikord ka organisatsioonile või ettevõttele, kes korraldavad keeruka ja sihipärase rünnaku, et saada selleks volitamata juurdepääs.

  1. Objektiivne

- Ehkki nii andmepüügil kui ka odapüügil on sarnased tehnikad, on nad eesmärkide poolest erinevad. Andmepüük sarnaneb pigem uurimuslikule rünnakule, mis on suunatud laiale ringile, samal ajal kui odaõng on õngevõtmise sihtspetsiifilisem vorm.

Püügipüügi korral koostatakse ja saadetakse organisatsioonis konkreetsele isikule e-kiri, mille ainus eesmärk on nakatada tema süsteemi pahavaraga, et saada tundlikku teavet. Püügipüügi põhieesmärk on rünnata suuri ettevõtteid või kõrge väärtusega ettevõtte töötajaid, mis sageli viib palju keeruka ja sihipärase rünnakuni.

  1. Kurjategija

- Phishing-rünnakute taga olevad ründajad või ründajad meelitavad oma ohvreid neilt väärtuslikku või konfidentsiaalset teavet hankima ning seejärel kasutatakse seda teavet mitmete pahatahtlike tegude jaoks, näiteks pettus, identiteedivargus, andmete varastamine, ettevõtete spionaaž jne.

Põhiliselt on kaks ründajate rühma, kes on enamiku odavate andmepüügirünnakute taga, ning nad jagavad sihtteavet ja luureandmeid kõige tõhusamate odapüügirünnakute kohta. Need rühmad on enamasti ettevõtlusele suunatud pahatahtlike koodide levitajad, kes on spetsialiseerunud sotsiaaltehnikale ja pettustele.

Andmepüük vs odaõng: võrdlusdiagramm

Andmepüügi kokkuvõte Oda õngitsemine

Andmepüük ja odaviskepüük on kaks kõige levinumat e-rünnakute vormi, mis on spetsiaalselt ette nähtud ohvrite söötmiseks, enamasti e-kirjade, telefonikõnede ja tekstisõnumite kujul.

Ehkki andmepüük on kõige tavalisem turvaohu vorm, kus ründaja petab inimesi pahavara linkidele klõpsama, et nende konfidentsiaalset või tundlikku mandaati või teavet petlikult hankida. Selline suhtlus toimub e-kirjade kaudu, mida saadetakse massiliselt. Püügipüük on andmepüügi sihipärasem versioon, kus erinevalt andmepüügist on sihtgrupid konkreetsed rühmad või üksikisikud või kõrgel tasemel töötajad. Erinevalt odapüügist ei ole andmepüügirünnakud isikupärastatud.

Viited

  • Kujutise krediit: http://www.doncio.navy.mil/FileHandler.ashx?id=6818
  • Kujutise krediit: https://www.deviantart.com/paradigm-shifting/art/deviantART-Account-Phishing-WARNING-550782721
  • Howard, Rick. Küberpettused: taktikad, tehnikad ja protseduurid. Boca Raton, Florida: CRC Press, 2009. Prindi
  • Stavroulakis, Peeter ja Mark Stamp. Info- ja kommunikatsiooniturbe käsiraamat. Berlin: Springer, 2010. Trükk
  • Jakobsson, Markus ja Steven Myers. Andmepüük ja vastumeetmed. Hoboken, New Jersey: John Wiley & Sons, 2006. Trükk