และเพียงแค่เปลี่ยนองค์ประกอบเล็กๆ น้อยๆ เพียงปุ่มเดียว ซึ่งบังเอิญเป็นปุ่มที่ไม่ดี ปุ่มที่ระบุว่า “คลิกที่นี่” ปุ่มสีแดงหรือสีน้ำเงินขนาดใหญ่ที่ระบุว่า “คลิกที่นี่และคุณสามารถทำได้ การประมูล” แต่เมื่อคุณพยายามทำเช่นนั้น ระบบจะนำคุณไปยังหนึ่งในไซต์เหล่านี้ที่เพิ่งเริ่มก่อตั้ง เช่น ไซต์ที่เราได้ดูข้อมูล “ใครคือ” และเรารู้ว่าไซต์เหล่านั้นตั้งขึ้นหนึ่งสัปดาห์ก่อนที่แคมเปญจะเริ่มต้นขึ้น และพวกเขามีชื่อที่ดูค่อนข้างดี ดังนั้นถ้าคุณไม่มองอย่างใกล้ชิด คุณก็ไม่รู้หรอกว่า ใช่ นั่นไม่ใช่กรมแรงงานจริงๆ แต่เมื่อคุณไปถึง ในกรณีนี้ มันเป็นปุ่มประมูลสีดำขนาดใหญ่ และเบื้องหลังมันคือลิงค์ที่เป็นอันตราย และ
เมื่อคุณไปที่ไซต์ อีกครั้ง มันเป็นไซต์ที่เพิ่งตั้งขึ้นเมื่อไม่นานมานี้
คุณจะถูกขอให้ใช้ข้อมูลรับรองอีเมลของคุณเพื่อเข้าสู่ระบบ ทีนี้ หนึ่งในสิ่งแปลก ๆ ที่เราสังเกตเห็นในแคมเปญต่าง ๆ มากมาย นักฟิชเชอร์มีลักษณะเหมือนการมองย้อนกลับไปที่นักต้มตุ๋นเก่า ๆ ซึ่งเคยเกิดขึ้นในโลกอะนาล็อกที่พวกเขาต้องการสิ่งที่เรียกว่าระเบิด ทิ้งรอยไว้อย่างเบามือ เพื่อที่พวกเขาจะได้ออกจากเมืองก่อนที่มาร์คจะรู้ตัวว่าถูกแฮ็กหรือถูกขโมย หรืออะไรก็ตาม ดังนั้นแม้ในโลกดิจิตอลพวกเขาไม่ได้อยู่ที่นั่น พวกเขาไม่ต้องหนี ดูเหมือนว่าพวกเขาจะทำพิธีกรรมแบบเดียวกัน พวกเขาจึงถามคุณสองครั้ง ถ้าพวกเขาป้อนข้อมูลรับรองของคุณ และคุณป้อนข้อมูลรับรองของคุณ แล้วมันบอกว่า “นั่นไม่ถูกต้อง ลองอีกครั้ง.” ดังนั้น เมื่อสิ่งนั้นเกิดขึ้น หนึ่งในสองสิ่งจะเกิดขึ้น หนึ่งคือคุณยืนยันข้อมูลประจำตัวเหล่านั้น และพวกเขาได้รับสำเนาแน่นอน หรือคุณบอกว่า บางทีมันอาจจะไม่ใช่บัญชีนั้นก็ได้ อาจจะเป็นบัญชีอื่น คุณให้สองบัญชี แต่แล้วในครั้งที่สาม พวกเขาส่งคุณไปที่ไซต์กระทรวงแรงงานจริง ทันใดนั้นคุณก็พบว่าตัวเองกำลังดู DOL ที่เกิดขึ้นจริง ฉันไม่รู้ว่าฉันมาที่นี่ทำไม และพวกมันก็เดินเตร่ไปรอบๆ อย่างงุนงง ไม่ว่านานเท่าใดก็ตาม ในทางทฤษฎีแล้ว พวกฟิชเชอร์ก็มีเวลาออกไปนอกเมือง แม้ว่าพวกเขาจะไม่ต้องการมันจริงๆ ก็ตาม
ทอม เทมิน: แน่นอน ดังนั้น คำถามคือ สิ่งนี้มีอันตรายต่อกรมแรงงานเองหรือไม่?
Roger Kay:กรมแรงงานควรทราบเรื่องนี้ และบ่อยครั้งที่เราเห็นแคมเปญเหล่านี้ เราพยายามจับผู้ที่ถูกแอบอ้างเพื่อพูดว่า โอ้ คุณรู้ไหมว่าคุณถูกแอบอ้าง และบางทีคุณอาจต้องการตรวจสอบเรื่องนี้ แต่ในความเป็นจริงพวกเขาไม่มีอะไรเกี่ยวข้องกับมัน เว็บไซต์ทั้งหมดปลอมตัวเป็นพวกเขาและมาจากที่อื่น ดังนั้นจึงไม่มีอะไรที่ DOL ทำผิด
Tom Temin: สำหรับผู้รับอีเมลประเภทนี้ สถาปัตยกรรม
DMARC [Domain Based Message Authentication Reporting] จะช่วยได้หรือมีวิธีแก้ไขใดๆ ที่คุณสามารถติดตั้งเพื่อป้องกันไม่ให้สิ่งนี้เกิดขึ้นโรเจอร์ เคย์:น่าเสียดายที่ไม่มี ดังนั้นอีเมลวานิลลาที่มีบางสิ่งง่ายๆ ด้านขาออกมี SPF และ DKIM และโดยพื้นฐานแล้ว DKIM นั้นเป็นลายเซ็นเข้ารหัสที่บอกว่าเซิร์ฟเวอร์นี้เป็นที่รู้จักกันทั่วไปว่าเป็นเซิร์ฟเวอร์ที่ถูกต้อง และโดยพื้นฐานแล้ว SPF บอกว่าเซิร์ฟเวอร์มีสิทธิ์ส่งอีเมลจากช่วงที่อยู่ IP ที่กำหนด และมันถูกส่งมาจากที่อยู่ตามกฎหมาย ฝั่ง DMARC อยู่ฝั่งขาเข้า ดังนั้น หากคุณเป็นผู้รับ คุณก็รู้ว่าคนของคุณควรสนับสนุน DMARC และนั่นจะตรวจสอบข้อมูล SPF และ DKIM ที่เข้ามาและบอกว่า ใช่ สิ่งเหล่านี้ใช้ได้ ตอนนี้ปัญหาคือมันง่ายมากที่จะผ่านสิ่งเหล่านั้นเนื่องจากแถบนั้นต่ำมาก ตัวอย่างเช่น หากมีคนเข้าครอบครองบัญชี หรือหากพวกเขาสร้างบัญชีใหม่ เซิร์ฟเวอร์อีเมลใหม่ภายใต้โดเมนใหม่ที่ไม่มีใครเคยเห็นมาก่อน ไม่มีอะไรผิดปกติกับมัน ดังนั้นเซิร์ฟเวอร์จึงแสดง DKIM และข้อมูล SPF ที่ดีออกมา และเครื่องอ่าน DMARC ของคุณจะบอกว่าดูดี ดังนั้น คำตอบคือคุณต้องการการตรวจจับฟิชชิ่งจริงๆ ดังนั้นกุญแจสำคัญในการตรวจจับฟิชชิ่งคือการตรวจจับการแอบอ้างบุคคลอื่น มันเลยบอกว่า “เรารู้ไหมว่าอีเมลนี้พยายามสื่อถึงอะไร? ดูเหมือนว่ามันมาจากใคร? ดูเหมือนว่ามาจากกรมแรงงานหรือเปล่า” เกิดขึ้นกับเราเพราะเราเห็นโลโก้ที่ดูเหมือน DOL และเราเห็นภาษาที่เขียนว่า DOL เป็นต้น ในอีกด้านหนึ่ง เราสามารถมองไปใต้ฝากระโปรง แล้วพูดว่า “มันมาจากไหนจริงๆ” ดังนั้น ถ้ามาจากร้านขายเครื่องจักรในคาซัคสถาน ซึ่งเรารู้ว่าไม่ได้อยู่ภายใต้การควบคุมของกรมแรงงาน ดังนั้น จะต้องเป็นการแอบอ้าง ดังนั้น หากคุณทำเครื่องหมายบางอย่างว่าเป็นการแอบอ้างบุคคลอื่นทอม เทมิน: เข้าใจแล้ว
Credit : ยูฟ่าสล็อต
