Wzrost zagrożeń związanych z wyłudzaniem informacji
Phishing to najważniejsza z metod kradzieży danych, służąca do popełniania oszustw i rozpowszechniania złośliwego oprogramowania. Proceder ten stał się istotnym elementem działań grup cyberprzestępczych przyjmując formę zorganizowanych, zaplanowanych i perfekcyjnie wykonywanych akcji. Obejmują one znajdowanie ofiar, tworzenie witryn wyłudzających informacje, pozyskiwanie danych uwierzytelniających i wykorzystanie ich w celach zarobkowych. W raporcie „2020 Phishing and Fraud Report”1, opracowanym przez F5 Networks, poruszono najważniejsze aspekty działań przestępczych i opisano w jaki sposób oszustom udaje się skutecznie budować zaufanie ofiar osiągając zamierzone cele.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Autorzy „2020 Phishing and Fraud Report” odnotowują 15% wzrost liczby przypadków phishingu w porównaniu z rokiem ubiegłym. W szczytowym okresie obaw związanych z pandemią na świecie liczba oszustw tego rodzaju wzrosła aż o 220% w porównaniu ze średnią za cały rok.
W 2020 przestępcy szybko dostrzegli zamieszanie wywołane lockdownem i problemy społeczeństw oraz przedsiębiorstw, co zaowocowało ogromnym wzrostem aktywności phishingowych. Analizując dane zawarte w logach certificate transparency, wystawianych przez dostawców certyfikatów szyfrowanych stron, autorzy raportu zauważyli, że w szczytowym okresie lockdownu aż blisko 15 000 aktywnych certyfikatów używało w nazwie „covid” lub „coronavirus”. W tym okresie we wszystkich witrynach phishingowych gwałtownie wzrosło wykorzystanie protokołu HTTPS. Aktywność phishingowa w okresie lockdownu miała swoje odzwierciedlenie w zwiększonej liczbie skradzionych kart płatniczych, co odnotowano jednak dopiero w maju i czerwcu 2020. Liczba kart wystawianych przez 7 największych światowych banków, które trafiły do przestępców i na podziemny czarny rynek Darknet była prawie dwukrotnie wyższa niż w podobnym okresie szczytowym w 2019 roku.
Narzędzia phishingu ułatwiają przygotowanie ataku
Uzupełniając informacje F5 dodać należy, że w raporcie Verizon Data Breach Investigations Report (DBIR) z 2020 r.2 odnotowano znaczny spadek użycia złośliwego oprogramowania i trojanów na rzecz phishingu i kradzieży danych uwierzytelniających. Z kolei Europol w najnowszej ocenie zagrożeń przestępczością zorganizowaną w Internecie – Internet Organised Crime Threat Assessment (IOCTA)3stwierdza, że „inżynieria społeczna i phishing pozostają kluczowym zagrożeniem” oraz że „obie te metody wykazują znaczny wzrost liczby i stopnia zaawansowania”.
Phishing wykorzystywany jest coraz częściej z uwagi na prostotę i skuteczność z jaką pozwala uzyskiwać rezultaty. W świecie przestępczym stosowane są narzędzia upraszczające wyłudzanie informacji – „Phishing kits”, a nawet tworzone są usługi „phishing-as-a-service” mające na celu płatne ułatwianie procederu innym. Łatwość, z jaką można wejść na tę przestępczą drogę sprawia, że praktycznie każdy początkujący kryminalista może rozpocząć kampanię phishingową dysponując nawet niewielką wiedzą na temat technologii. W efekcie, pomimo wzrastającej świadomości przeciętnego użytkownika, ryzyko wyłudzenia od niego informacji jest obecnie większe niż kiedykolwiek.
Kopiowanie stron internetowych i ataki na Office 365
Oszuści stają się coraz bardziej kreatywni w tworzeniu nazw i adresów swoich witryn phishingowych. Analitycy F5 Networks stwierdzają, że około 55% witryn phishingowych wykorzystywało nazwy popularnych marek w swoich adresach URL mających je uwiarygodnić. Skraca się też czas od wyłudzenia danych do ich wykorzystania w aktywnych atakach. W ostatnim czasie przestępcy próbowali użyć skradzione informacje w ciągu 4 godzin od ich zdobycia. W niektórych przypadkach próby te miały miejsce natychmiast, w czasie rzeczywistym.
Coraz więcej witryn phishingowych korzysta z technik skutecznie omijających systemy zabezpieczeń i unikających inspekcji przez skanery bezpieczeństwa. Przestępcy często upodobniają swoje witryny do innych stron internetowych „klonując” ich zawartość i zmieniając pewne elementy po to, by wyłudzić dane. Spreparowana w ten sposób witryna może udawać na przykład stronę banku, urzędu lub korporacyjną stronę logowania, na której nieuważny użytkownik pozostawi login i hasło. Wyglądem nie różnią się one od oryginału i jeżeli nie zwróci się uwagi na subtelności w adresie witryny – łatwo ulec oszustwu. Z analizy autorów raportu wynika, że strony phishigowe oparte na technologii WordPress stanowiły 20% z analizowanych.
Także Office 365 stanowi atrakcyjny cel dla napastników. Powszechną taktyką wyłudzania danych uwierzytelniających w przypadku Office 365 jest wysłanie ofierze wiadomości e-mail zawierającej fałszywą informację, że udostępniono jej dokument Word lub Excel. Aby go zobaczyć, ofiara musi uwierzytelnić się w fałszywej, przygotowanej przez atakujących, witrynie Office 365. Po uzyskaniu dostępu przestępcy mogą następnie skanować zasoby SharePoint i OneDrive ofiary w poszukiwaniu cennych danych.
Phishing najkrótszą drogą do nieuczciwego zarobku
Liczba przypadków phishingu wzrasta, bo oszuści doszli do wniosku, że skutecznym sposobem na szybkie zarobienie pieniędzy nie jest spędzanie miesięcy na żmudnych próbach włamania się i pokonywanie zabezpieczeń organizacji, ale wystarczy miła prośba o podanie nazwy użytkownika i hasła. W wielu przypadkach pozwala to dostać się do docelowego systemu od razu, przez „frontowe drzwi”.
Do najczęściej spotykanych należą oszustwa związane z płatnościami kartami płatniczymi, skimming (skopiowanie zawartości paska magnetycznego karty płatniczej) lub phishing danych. Jednocześnie działania phishingowe otwierają przestępcom drogę do dalszych ataków. Grupy stanowiące największe zagrożenie – Advanced Persistent Threat (APT) od dawna znane są z prowadzenia aktywnych kampanii cyberszpiegowskich. Phishing stanowi zazwyczaj pierwszy krok w łańcuchu ataków APT. Grupy rozwijają inżynierię społeczną z zastosowaniem poczty elektronicznej i kampanii phishingowych w mediach społecznościowych. Metody psychologii społecznej stosowane przez przestępców stają się coraz bardziej zaawansowane. We wrześniu 2020 r. kampania kojarzonej z Iranem grupy APT Charming Kitten stosowała ukierunkowane wyłudzanie informacji za pośrednictwem aplikacji mobilnej WhatsApp połączone z fałszywymi profilami LinkedIn. W ten sposób przestępcy tworzyli wiarygodne historie. Celem tych działań było nakłonienie ofiary do pobrania złośliwego oprogramowania lub zebranie danych uwierzytelniających ofiary.
W przypadku ataku na biznesową pocztę e-mail (BEC) – phishing typu spear-phishing celem są pracownicy posiadający dostęp i uprawnienia do przesyłania pieniędzy. Liczba tego rodzaju prób wyłudzeń rośnie z każdym rokiem, ponieważ przestępcy coraz lepiej rozumieją wewnętrzne relacje i procesy biznesowe. Raport z drugiego kwartału 2020 r. przygotowany przez Anti-Phishing Working Group (APWG) wykazał, że średnia wartość przelewu bankowego przy atakach tego rodzaju wynosiła ponad 80 000 USD. W jednym z przypadków atakujący w każdym przelewie próbowali wykraść średnio 1,27 mln USD4.
Zdaniem autorów raportu wiele ataków phishingowych wymierzonych w pracowników konstruowanych jest w prosty sposób, ale i tak kończą się one powodzeniem z powodu słabej kontroli bezpieczeństwa i braku świadomości użytkowników.
Ochrona przed phishingiem
Ochronę przed phishingiem zapewnia stałe podnoszenie świadomości dotyczącej tych ataków. Konieczne jest także wyposażenie działów IT w narzędzia zabezpieczające pracowników. Może nim być zarządzany sprzętowy firewall nowej generacji (NGFW). Usługę można zakupić u zewnętrznego dostawcy, np. T‑Mobile. Obejmuje ona konfigurację urządzenia oraz zarządzanie nim przez wykwalifikowany zespół inżynierów bezpieczeństwa monitorujący pracę Firewalla 24h na dobę, uwzględniające upgrade firmware, patche, konfigurację polityk bezpieczeństwa na żądanie oraz cykliczne raporty. Co istotne, firewall nowej generacji potrafi rozpoznać szereg znanych aplikacji, takich jak Facebook, Gmail, czy YouTube działających na tych samych portach. Oprogramowanie „zagląda” do zawartości przesyłanych pakietów i albo dopuszcza albo blokuje ruch zagrażający bezpieczeństwu. Usługa związana z działaniem NGFW obejmuje także zapobieganie włamaniom na telefony i komputery pracowników, filtrowanie stron www, oprogramowanie antywirusowe, antyspamowe i antymalware.
Warto także wspomnieć o innym systemie antymalware usłudze Cyber Guard® nastawionej na wykrywanie prób oszustwa na urządzeniach mobilnych.
Podsumowanie
Przypomnijmy najważniejsze informacje dotyczące ataków phisingowych w 2020 roku:
- W 2020 przestępcy dostrzegli zamieszanie wywołane lockdownem, co przyczyniło się do wzrostu aktywności phishingowych. W szczytowym okresie lockdownu aż blisko 15 000 aktywnych certyfikatów szyfrowanych stron używało w nazwie „covid” lub „coronavirus”
- Liczba przypadków phishingu wzrasta, bo oszuści doszli do wniosku, że jest to skuteczniejszy sposób na szybkie zarobienie pieniędzy niż spędzanie miesięcy na żmudnych próbach włamania się i pokonywanie zabezpieczeń organizacji
- W świecie przestępczym stosowane są narzędzia upraszczające wyłudzanie informacji – „Phishing kits”, tworzone są także usługi „phishing-as-a-service” mające na celu płatne ułatwianie procederu innym
- Przestępcy często upodobniają swoje witryny do innych stron internetowych „klonując” ich zawartość i zmieniając pewne elementy po to, by wyłudzić dane
- Częstą taktyką wyłudzania danych uwierzytelniających w przypadku Office 365 jest wysłanie ofierze wiadomości e-mail zawierającej fałszywą informację, że udostępniono jej dokument Word lub Excel. Aby go zobaczyć, ofiara musi uwierzytelnić się w fałszywej, przygotowanej przez atakujących, witrynie Office 365
- Phishing stanowi zazwyczaj pierwszy krok w łańcuchu ataków najgroźniejszych grup cyberprzestępczych APT – Advanced Persistent Threat
- Ochronę przed phishingiem zapewnia stałe podnoszenie świadomości dotyczącej tych ataków. Konieczne jest także wyposażenie działów IT w narzędzia, takie jak zarządzany sprzętowy firewall nowej generacji (NGFW). Usługa obejmuje konfigurację urządzenia oraz zarządzanie nim przez wykwalifikowany zespół inżynierów bezpieczeństwa monitorujący pracę Firewalla 24h na dobę, uwzględniające upgrade firmware, patche, konfigurację polityk bezpieczeństwa na żądanie oraz cykliczne raporty
12020 Phishing and Fraud Report” https://www.f5.com/labs/articles/threat-intelligence/2020-phishing-and-fraud-report
22020 Data Breach Investigations Report https://enterprise.verizon.com/resources/reports/dbir/
3Internet Organised Crime Threat Assessment https://www.europol.europa.eu/iocta-report
4 Phishing Activity Trends Reports https://apwg.org/trendsreports/
Data publikacji: 22.01.2021