使用犯罪软件即服务,任何人都可以成为攻击者
犯罪软件即服务(CaaS)是有经验的网络犯罪分子出售对执行网络犯罪所需的工具和知识的访问权的做法——特别是,它通常用于创建网络钓鱼攻击。
对于黑客来说,网络钓鱼是窃取组织数据的最简单方法之一。传统上,执行成功的网络钓鱼活动需要具有技术专长和丰富社会工程经验的网络犯罪分子。但是,随着CaaS的出现,几乎任何人都可以通过支付少量费用成为网络钓鱼高手。
CaaS提供商为业余攻击者提供创建成功网络钓鱼攻击所需的一切,从详细的目标列表到品牌电子邮件模板。攻击者甚至可以支付访问受感染服务器的费用,从而更轻松地隐藏他们的踪迹。通过消除许多进入壁垒,这一趋势使得设计有效的网络钓鱼攻击变得容易。这对于目标组织来说是一个大问题。
01
为什么要关注组织?
犯罪软件即服务使网络钓鱼成为一种对网络犯罪分子更具吸引力的攻击方法,因为它更易于访问且劳动强度更低。当您可以使用现成的网络钓鱼攻击攻击组织的安全漏洞时,为什么还要花费数月的时间寻找组织的安全漏洞?它还使网络钓鱼活动更容易扩展,因为犯罪分子执行攻击所需的时间和精力更少。
CaaS具有技术优势:使用可下载的模板,知识匮乏的攻击者可以创建更有可能进入员工收件箱的规避攻击。他们使用高级方法,例如内容加密、检查阻止和隐藏在附件中的URL来逃避检测。由于攻击者能够执行大量技术复杂的攻击,因此对组织的威胁是显而易见的。
令人担忧的是,这些活动不仅易于执行,而且非常有效。
使用CaaS工具执行的网络钓鱼攻击旨在利用员工,这使组织更难缓解。他们使用社会工程策略来欺骗最终用户,通常是通过建立信任和创造快速响应的紧迫性。他们可以使用开源情报,从公司网站、社交媒体资料和过去的数据泄露中收集数据,以制定可信的鱼叉式网络钓鱼活动。
在使用“犯罪软件即服务”之前,由入门级攻击者发起的攻击很可能是精心设计且笨拙的,很容易被垃圾邮件过滤器阻止或被员工识别。但是,通过访问经验丰富的攻击者的技术知识和模板,业余犯罪分子可以从第一天起开展有效的活动。
即使是一次成功的网络钓鱼攻击的后果也可能对目标组织造成损害。财务成本可能会迅速增加,从补救违规本身的成本到监管罚款,以及在某些情况下向数据主体支付的赔偿。由于业务中断,还可能造成经济损失——特别是如果网络钓鱼电子邮件包含恶意软件。除此之外,受网络钓鱼影响的组织还面临声誉受损,这可能会削弱客户的信任并长期损害其品牌。
02
组织如何保护自己?
许多组织将安全意识培训视为保护员工免遭网络钓鱼的最佳方式。培训可以为员工提供发现网络钓鱼攻击的知识,但许多员工对恶意电子邮件的第一反应是先行动,后思考。对于压力大、心烦意乱和忙碌的员工来说尤其如此,他们只是想快速完成工作。
只有当他们稍后停下来考虑电子邮件时,培训知识才会发挥作用。这就是为什么组织使用正确的技术解决方案支持安全意识培训至关重要。
为了真正保护他们的员工免受网络钓鱼的威胁,组织必须着眼于人的安全层。采用零信任模型的智能技术通过在每封电子邮件到达用户收件箱之前对其内容进行分析来提供最高级别的保护。
此外,利用机器学习和自然语言处理(NLP)的解决方案可以比静态解决方案更有效地检测高级网络钓鱼威胁,例如安全电子邮件网关(SEG),甚至是严重依赖社交图形的更新工具。具有NLP功能的工具甚至可以检测到最复杂的攻击,包括那些使用受损帐户或利用开源情报使其攻击更具说服力的攻击。
正确的技术甚至可以支持和增强现有的安全意识培训计划,通过内置的主动学习向用户指出网络钓鱼企图。这需要超越一键式方法的培训,并帮助员工长期保持敬业度和受教育程度。
犯罪软件即服务使攻击者比以往任何时候都更容易开展危险的网络钓鱼活动,面对不断增加的高级攻击,安全团队必须保持警惕。组织必须确保他们使用正确的技术来保护他们的员工和他们的数据,使其免受新一代网络犯罪分子的侵害。