Spam vs Phishing: What’s the Difference Between Them?

56,51% wszystkich e-maili to spam (Kaspersky), a 65% amerykańskich organizacji miało do czynienia z udanymi atakami phishingowymi w 2019 roku (Proofpoint)! Ale czy są one różne? Poznajmy spam vs phishing w ujęciu laików!

Spam vs phishing – chociaż ludzie używają słów „spam” i „phishing” zamiennie, terminy te mają powiązane, ale różne znaczenia. Oba terminy opisują natrętne, niechciane wiadomości, które próbują zmanipulować cel do zrobienia czegoś. Może to być podanie informacji o sobie – danych osobowych, danych do logowania itp. – lub skorzystanie ze złośliwego linku lub pliku.

Ale jakie jest znaczenie spamu i co oznacza phishing? W tym artykule omówimy szczegółowo kwestię spamu i phishingu. Zbadamy również różnicę między spamem a phishingiem w odniesieniu do wiadomości e-mail, rozmów telefonicznych i wiadomości tekstowych.

Spam vs Phishing: Pochodzenie i znaczenie terminów

Co to jest spam?

Każda niechciana lub niezamówiona wiadomość handlowa jest ogólnie uważana za spam. Według Digital Trends, termin „spam” sam w sobie jest uważany za pochodzący z lat 80-tych w odniesieniu do skeczu Monty Pythona, który odnosił się do mięsa w puszce Spam. Badania przeprowadzone przez Brada Templetona (założyciela pierwszego na świecie biznesu opartego na Internecie) pokazują, że termin „spam” oznacza „coś, co wciąż się powtarza i powtarza ku wielkiej irytacji”.”

Celem spamu jest zalanie jak największej liczby osób wiadomościami, które wprowadzają na rynek i reklamują produkty i usługi. Jest to w zasadzie cyfrowy odpowiednik wszystkich tych śmieciowych kopert i pocztówek dostarczanych przez pocztę do skrzynki pocztowej w domu. Raport X-Force Threat Intelligence Index 2020 firmy IBM opisuje spam jako grę liczbową: „przy wystarczającej ilości, nawet niewielki wskaźnik sukcesu wystarczy, aby wygenerować wartość dla aktorów zagrożeń”

Zasadniczo, jeśli wyślesz wystarczająco dużo wiadomości e-mail, ktoś, gdzieś, w końcu kupi oszustwo. Dlatego właśnie wiadomości spamowe nie są ukierunkowane i docierają do mas. Istnieją trzy powszechne sposoby, w jakie oszuści wykorzystują spam:

• Wiadomości e-mail,
• Dzwonienia telefoniczne (telemarketing i robo-rozmowy) oraz
• Wiadomości phishingowe SMS (wiadomości tekstowe).

Ale chociaż spam niekoniecznie jest tak niebezpieczny jak phishing, użytkownicy nadal muszą uważać, jeśli chodzi o te wiadomości. Często próbują one nakłonić użytkownika do podania danych osobowych, które mogą zostać wykorzystane w kolejnych próbach spamu. Czasami mogą też być złośliwe (choć zdarza się to rzadziej niż w przypadku phishingu).

Co to jest phishing?

Phishing to sposób, w jaki oszuści i cyberprzestępcy podszywają się pod osoby prawne lub stosują inne metody w celu oszukania swoich celów. Wiadomości phishingowe są zazwyczaj bardziej niebezpieczne niż spam, ponieważ są zaprojektowane tak, aby wyglądać na legalne, ale mają na celu skrzywdzenie, zmanipulowanie lub oszukanie ludzi do zrobienia czegoś, czego normalnie nie zrobiliby lub nie powinni zrobić. Dlatego, gdy mówimy o spamie i phishingu, różnica leży między intencjami nadawcy a treścią wiadomości.

Celem phishingu jest nakłonienie użytkowników do dzielenia się informacjami, klikania odsyłaczy lub korzystania ze złośliwych załączników. W przypadku linków, będą one próbowały wykraść dane uwierzytelniające użytkownika lub skłonić go do nieumyślnego pobrania szkodliwego oprogramowania. W przypadku załączników będą również próbowali nakłonić użytkownika do zainstalowania złośliwego oprogramowania. Tak czy inaczej, jest to zła wiadomość dla Ciebie.

Najczęstsze rodzaje phishingu obejmują

• phishingowe wiadomości e-mail (w tym whale phishing, spear phishing),
• rozmowy telefoniczne (vishing),
• SMS-y (smishing),
• phishing portów Wi-Fi (zły bliźniak),
• phishingHTTPS i
• phishing Anglera (klonowanie postów i profili w mediach społecznościowych).

Spam vs Phishing w e-mailach

Emaile to najpopularniejsze techniki spamowania i phishingu. I właśnie dlatego będziemy rozmawiać o tym, jak można odróżnić spam od phishingu.

Co to jest spam w kontekście wiadomości e-mail?

Wszelkie wiadomości elektroniczne wysyłane w celu komercyjnej reklamy lub promocji produktu, usługi lub zawartości strony internetowej są uważane za spam. E-mail spam jest działalnością prawną w ramach Controlling the Assault of Non-Solicited Pornography And Marketing Act of 2003, który jest znany jako ustawa CAN-SPAM.

Oto kilka kluczowych zasad CAN-SPAM, które nadawca musi przestrzegać:

• Email musi mieć aktywny i widoczny link lub przycisk rezygnacji z subskrypcji. Nadawca dostaje 10 dni na działanie na żądanie rezygnacji i zaprzestanie wysyłania wiadomości do odbiorcy.
• Adres e-mail nadawcy musi być dokładny. Linia „od” nie może wprowadzać w błąd, a temat wiadomości musi być adekwatny do treści wiadomości.
• Adres fizyczny nadawcy musi być wspomniany. Fizyczny adres (lub numer skrytki pocztowej) nadawcy (firmy, indywidualnego nadawcy, reklamodawcy lub agencji marketingowej trzeciej strony) musi być obecny w wiadomości e-mail.
• Odbiorcy muszą być ostrzeżeni, jeśli wiadomość e-mail zawiera treści dla dorosłych. Jeśli treść jest z natury dorosła, musi być oznaczona jako „SEXUALLY EXPLICIT.”
• Nadawca powinien wysyłać wiadomości e-mail z wielu adresów e-mail. Nadawca nie powinien wysyłać wiadomości spamowych do tego samego odbiorcy z różnych adresów email.
• Wiadomości email nie mogą zawierać złośliwego oprogramowania: Wiadomości spamowe nie mogą zawierać złośliwego oprogramowania (wirusów, robaków, koni trojańskich itp.) ani przekierowywać użytkowników na złośliwe strony internetowe.

Gdy firmy wysyłają wiadomości e-mail do obecnych klientów lub leadów biznesowych (osób, które zapytały o produkty/usługi) w celu uzyskania dalszych informacji, opinii, sugestii lub innego rodzaju komunikacji, takie wiadomości również nie są uważane za spam. Te wiadomości są klasyfikowane jako wiadomości o relacjach w ramach CAN-SPAM. Nawet polityczne i religijne e-maile są również wyłączone z definicji SMAP w CAN-SPAM.

Spam e-maile nie są szkodliwe w naturze. Są one po prostu niechciane i zajmują niepotrzebnie miejsce w Twojej skrzynce odbiorczej. Ale wiadomości SPAM są znane z tego, że wykorzystują luki w zabezpieczeniach, które hakerzy mogą wykorzystać do włamania się do klienta poczty elektronicznej odbiorcy i rozprzestrzeniania złośliwego oprogramowania lub phishingu. Na przykład, według raportu IBM X-Force Threat Intelligence Index 2020, luki w zabezpieczeniach o nazwach CVEs 2017-0199 i 2017-11882 stanowiły „prawie 90 procent luk w zabezpieczeniach, które hakerzy próbowali wykorzystać za pośrednictwem kampanii spamowych.”

Spam to przede wszystkim liczby. Kiedy trafiasz w wystarczającą liczbę osób za pomocą wiadomości spamowych, nawet minimalne wskaźniki sukcesu opłacają się na dłuższą metę.

Większość klientów poczty elektronicznej automatycznie wykrywa wiadomości spamowe i wyrzuca je do folderu spam/śmieci. Wszystkie załączniki i obrazy są również zablokowane w takim e-mailu. Jeśli jednak nadal otrzymujesz niechciane wiadomości spam w swojej skrzynce odbiorczej, możesz się z nich wypisać. (Tylko uważaj, aby najpierw sprawdzić link rezygnacji z subskrypcji, aby upewnić się, że nie jest to link phishingowy lub złośliwy). Możesz również kliknąć prawym przyciskiem myszy wiadomość w skrzynce odbiorczej, aby przenieść ją do folderu ze spamem. Możesz również zablokować nadawcę.

Tutaj znajduje się przykład typowej wiadomości spam:

To jest wiadomość spam, którą otrzymałem z witryny internetowej do projektowania logo. Treść w temacie pasuje do treści wiadomości. Możesz również zobaczyć, że email posiada zakładkę „unsubscribed” oraz fizyczny adres firmy. Oznacza to, że jest to wiadomość spamowa, która spełnia wszystkie wytyczne SPAM-CAN.

Co to jest phishing w kontekście poczty elektronicznej?

Oszuści wysyłają wiadomości phishingowe udając firmę lub osobę, której odbiorcy ufają. Wiadomości te są z natury zwodnicze. Wiadomości phishingowe są spreparowane w taki sposób, aby wyglądały, jakby pochodziły z banku, sklepu internetowego, uniwersytetu, rządu, pracodawcy, krewnych lub współpracowników. 96% ataków phishingowych odbywa się za pośrednictwem poczty elektronicznej, jak wynika z raportu Verizon’s 2020 Data Breach Investigations Report (DBIR).

Emaile te mogą zawierać załączniki zawierające złośliwe oprogramowanie, złośliwe odsyłacze lub przekierowania do spamerskich stron internetowych. Czasami napastnicy starają się wywołać emocjonalną reakcję u odbiorców i zachęcają ich do dzielenia się poufnymi informacjami, takimi jak:

• Numery kart płatniczych,
• Numery telefonów,
• Adres fizyczny,
• Numer ubezpieczenia społecznego (SSN),
• Informacje związane z podatkami oraz
• Informacje zdrowotne

Ogólne motywy kryjące się za e-mailami phishingowymi obejmują:

• Oszustwa finansowe,
• Kradzież tożsamości,
• Kradzież poświadczeń logowania,
• Rozpowszechnianie szkodliwego oprogramowania (robaki, wirusy, trojany, rootkity, adware itp.), oraz
• Przekierowywanie odbiorców na złośliwe strony internetowe.

Poniżej znajduje się przykład typowej wiadomości phishingowej. Wygląda na to, że pochodzi od firmy PayPal, ale jeśli dokładnie sprawdzisz adres e-mail nadawcy, przekonasz się, że pochodzi on od oszusta, a łagodnie wyglądający załącznik PDF może zawierać niebezpieczne złośliwe oprogramowanie.

W wielu stanach USA obowiązują różne przepisy dotyczące phishingu. Nie istnieje prawo federalne, które bezpośrednio kryminalizowałoby phishing, ale federalne przepisy karne mają zastosowanie do oszustw finansowych i przestępstw związanych z kradzieżą tożsamości popełnianych za pośrednictwem phishingu.

Jeżeli padłeś ofiarą wiadomości e-mail stanowiących próbę phishingu, możesz zarejestrować skargę na stronie www.ic3.gov, ftc.gov/complaint lub [email protected].

Różnica między spamem a phishingiem

Aby pomóc Ci lepiej zrozumieć różnicę między spamem a phishingiem, pomyśleliśmy, że przydatne może być przedstawienie ich obok siebie w tabeli.

.

	Spam	Phishing
Cel	Promocja i marketing produktów i usług	Wyłudzanie pieniędzy od odbiorców
Natura	Niepożądane komercyjne wiadomości e-mail, które zazwyczaj mają łagodny charakter, ale czasami mogą być złośliwe	Wprowadzające w błąd wiadomości, które wydają się pochodzić od legalnych podmiotów, ale zostały zaprojektowane tak, aby mieć złośliwy charakter.
Zawierają	reklamy produktów/usług, kody kuponów, oferty, zniżki, formularze zapytań lub ankiet	załączniki zawierające złośliwe oprogramowanie, zainfekowane łącza, łącza przekierowujące do stron internetowych będących spamem, zwodnicze wiadomości zmuszające odbiorców do udostępniania informacji osobistych/finansowych
Legislation	The U.S. Non-Solicited Pornography and Marketing Act of 2003 Dla innych krajów: Prawa antyspamowe	Różne prawa stanowe, amerykańskie federalne prawo karne

Spam vs Phishing: Wiadomości głosowe i połączenia telefoniczne

Przestępcy używają połączeń telefonicznych do spamowania i phishowania celów.

Telefony spamowe

Jeśli otrzymasz niechciany telefon w celach marketingowych, zwłaszcza od firmy, z którą nigdy wcześniej nie miałeś do czynienia, może on zostać zakwalifikowany jako spam. Definicja połączeń marketingowych i spamu może być nieostra.

Na przykład, jeśli nagle otrzymasz telefon z prośbą o kartę kredytową od firmy, z którą nigdy wcześniej nie miałeś do czynienia, jest to uważane za spam. Ale jeśli ktoś dzwoni do Ciebie, aby sprzedać nową kartę lub polisy ubezpieczeniowe z banku, w którym masz już konto, jest to uważane za zwykłą rozmowę marketingową w celu sprzedaży dodatkowych produktów. W Stanach Zjednoczonych ustawa o ochronie konsumentów usług telefonicznych (TCPA) oraz Federalna Komisja Łączności (FCC) nakładają ograniczenia na połączenia spamowe i wiadomości telemarketingowe.

Fishing głosowy (Vishing)

Gdy sprawcy wykonują połączenia telefoniczne podszywając się pod kogoś innego w celu wyłudzenia od Ciebie pieniędzy, jest to znane jako phishing głosowy lub vishing. Na przykład, oszust dzwoni podając się za dyrektora banku i prosi o podanie ostatnich czterech cyfr numeru ubezpieczenia społecznego oraz innych danych osobowych w celu wysłania nowej karty kredytowej.

Czasami napastnicy korzystają z wyciekłej bazy danych lub wykorzystują swoje umiejętności socjotechniczne, aby przed wykonaniem telefonu przeprowadzić małe badania na temat potencjalnych ofiar. Na przykład, dzwonią do studentów college’u podszywając się pod pracownika banku, który obsługuje kredyty studenckie lub przedstawiciela stanowego/federalnego działu pomocy studenckiej, który chce uzyskać więcej informacji na temat ich wniosku o stypendium. W skrócie, zamiast dzwonić do przypadkowych numerów, oszuści wykonują telefon rozumiejąc swoją grupę docelową, tak aby brzmiał on legalnie dla potencjalnych ofiar.

Spam vs Phishing: Wiadomości tekstowe

W dzisiejszych czasach dostępne są strony internetowe i narzędzia, które mogą wysyłać masowe wiadomości tekstowe po niewiarygodnie niskich kosztach. To dlatego spamerzy i oszuści phishingowi uwielbiają wysyłać swoje wiadomości za pośrednictwem wiadomości tekstowych, too! Jesteś w stanie dotrzeć do użytkowników na ich telefony komórkowe, gdziekolwiek są.

Spam wiadomości tekstowe

Gdy firmy wysyłają niechciane masowe wiadomości tekstowe dla komercyjnych, nie złośliwych celów, są one znane jako spam wiadomości tekstowych lub spam wiadomości SMS. Wiadomości te mogą zawierać informacje o produktach, szczegóły specjalnych ofert/zniżek, ofert, schematów, kodów kuponów itp. Mogą również zawierać linki do strony internetowej produktu/usługi.

Niektóre spamowe wiadomości tekstowe SMS są wysyłane jako ankieta w celu uzyskania większej ilości informacji o potencjalnych klientach. Celem takich wiadomości tekstowych może być sprzedaż produktu lub usługi, budowanie marki, zbieranie dodatkowych informacji (takich jak dane demograficzne, zwyczaje zakupowe, siła nabywcza, upodobania/preferencje itp. Spamowanie tekstowe jest również objęte ustawą o ochronie konsumentów usług telefonicznych (TCPA).

SMS Phishing (Smishing)

W tym przypadku oszuści wysyłają wiadomości tekstowe, podszywając się pod legalne organizacje. Charakter i cel takich SMS-ów phishingowych jest taki sam jak e-maili phishingowych – czyli wyłudzenie pieniędzy od odbiorców. Napastnicy próbują podstępem zmusić użytkownika do:

• Podzielenia się informacjami osobistymi lub finansowymi,
• Dokonania transakcji finansowych,
• Pobrania załączników zawierających złośliwe oprogramowanie lub
• Kliknięcia odsyłaczy w wiadomościach SMS, które prowadzą do złośliwych stron internetowych.

Podsumowanie Spam vs Phishing

Temat spamu vs phishingu, a dokładniej różnica między spamem a phishingiem, może być mylący. Jednak już teraz możemy bezpiecznie założyć, że wiesz, iż spam to irytujący, ale bardziej łagodny rodzaj wiadomości, podczas gdy phishing ułatwia cyberprzestępczość. Jednak cienka granica między phishingiem a spamem zaciera się, gdy spamer narusza niektóre wytyczne CAN-SPAM (lub prawa obowiązujące w danym kraju w odniesieniu do SPAM-u). Na przykład, treść wiadomości e-mail lub adres e-mail nadawcy jest z natury zwodniczy, lub wiadomości e-mail/tekstowe zawierają złośliwe oprogramowanie (lub odsyłacze do złośliwych stron internetowych).

Spamowanie może być czasami tak irytujące, że masz ochotę zmienić swój numer telefonu lub adres e-mail! Z drugiej strony, phishing może doprowadzić do tego, że staniesz się ofiarą cyberprzestępstwa. Dlatego edukuj siebie i swoich pracowników w zakresie oszustw phishingowych oraz sposobów ich skutecznego rozpoznawania.