Sezon zimowy, czyli pora na ataki phishingowe

Przeczytaj także: Phishing: jak się bronić?

Jak przedstawia się krajobraz warunków wręcz idealnych dla aktywnej działalności hakerskiej? Ludzie poszukują okazji cenowych w e-sklepach, rozglądają się za ofertami wycieczek, wspierają akcje charytatywne. Są rozproszeni, nie przywiązują należytej uwagi do ochrony swoich danych dostępowych, instalują malware. Firmy podsumowują rok, pracownicy są na urlopie. To właśnie w tym czasie biznesowi szczególnie potrzebna jest uwaga oraz aplikacja dobrych praktyk bezpieczeństwa. Na przestrzeni ostatnich czterech lat organizacja F5 SOC zdołała wyeliminować wiele szkodliwych stron internetowych. Znakomita większość, bo 75,6% z nich było powiązanych z atakami phishingowymi. Kolejne stanowiły: złośliwe skrypty (11,3%) i przekierowania URL, które także są używane w operacjach phishingowych.

Najczęstszą formą ataku phishingowego jest podszywanie się pod znaną markę. 71% wysiłków atakujących w okresie wrzesień-październik 2018 r. skupiała się na podrabianiu jednej z dziesięciu organizacji, najczęściej korporacji technologicznych. Aż 58% phishingowców podszywało się w badanym okresie pod Microsoft, Google, Facebook, Apple, Adobe, Dropbox i DocuSign.

13 z 20 najszybciej rosnących celów stanowiły organizacje finansowe, z czego banki to 55% celów ataków phishingowych; pięć z nich to największe europejskie jednostki. To właśnie najgroźniejsze programy malware wystartowały jako malware bankowy. Przykładem są: Trickbot, Zeus, Dyre, Neverquest, Gozi, GozNym, Dridex i Gootkit – bankowe trojany znane z rozprzestrzeniania się z kampanii phishingowych.

F5 Labs podkreśla istotność implementacji ochrony kontroli dostępu, włączając uwierzytelnianie wieloskładnikowe i kontrolę danych dostępowych dla zapobiegania wyłomom phishingowym. Rekomendacje dobrych praktyk naszych ekspertów zawierają następujące taktyki:

1. Etykietowanie korespondencji mailowej. Czytelne etykietowanie korespondencji przychodzącej ze źródeł zewnętrznych zapobiega podszywaniu się. Prosta specjalnie sformatowana wiadomość – ostrzeżenie – zwiększy czujność użytkowników.
2. Oprogramowanie antywirusowe. AV software jest krytycznym narzędziem do zaimplementowania w każdym systemie, do którego użytkownicy mają dostęp. W większości przypadków, aktualne oprogramowanie antywirusowe zatrzyma próbę instalacji malware. Ustawienie polityki AV na codzienną aktualizację – to niezbędne minimum.
3. Filtrowanie sieci. Rozwiązanie filtrujące sieć pomaga zablokować dostęp do stron phishingowych. Pomoże też edukować pracowników, pokazując błąd wiadomości użytkownikowi.
4. Deszyfrowanie ruchu i inspekcja. F5 Przeanalizowało domeny malware od Webroot, aktywne w okresie IX-X 2018. 68% z nich pochodziło spod portu 443, który jest standardem TCP używanym przez strony szyfrujące komunikację w SSL/TLS. Jeśli organizacje nie deszyfrują ruchu przed inspekcją, malware zainstalowane przy ataku phishingowym nie zostanie wykryte w sieci.
5. Single Sign On. Jeden podpis elektroniczny. Im mniej danych dostępowych muszą pamiętać użytkownicy, tym mniej chętnie dzielą się nimi w aplikacjach, rzadziej tworzą słabe hasła i rzadziej przechowują je w mało bezpieczny sposób.
6. Report Phishing. Niektóre rozwiązania mailowe mają już wbudowany przycisk phish alert do powiadamiania IT o podejrzanej aktywności. Jeśli Twój email nie ma takiej automatyzacji, poinstruuj użytkowników, aby zadzwonili do helpdesku czy zespołu bezpieczeństwa.
7. Uporczywe przypadki – zmiana adresów emailowych. Rozważ zmianę adresów mailowych pracowników, jeśli są regularnie czy częściej atakowani phishingowo.
8. Użyj CAPTcha. Technologia pozwalająca rozpoznać ludzi i boty jest przydatna. Użytkownicy mogą odbierać ją jako denerwującą, jest więc wskazana przy największym prawdopodobieństwie, że skrypty pochodzą od bota.
9. Przeglądy kontroli dostępu. Prawa dostępu dla pracowników powinny być przeglądane regularnie, szczególnie tych, którzy mają dostęp do systemów krytycznych. Priorytetem powinien być trening anty-phishingowy dla tej grupy pracowników.
10. UWAGA: Nowo zarejestrowane domeny. Strony phishingowe są zwykle nowo zarejestrowanymi domenami. Gdy F5 robiło wrześniowy przegląd listy aktywnych domen phishingowych, tylko 62% z nich było aktywnych w kolejnym tygodniu!
11. Zaimplementuj rozwiązania wykrywające oszustwa sieciowe. Pomogą wykryć klientów zainfekowanych malware, zatrzymując możliwość logowania cyberprzestępców do Twojego systemu. Pomogą też zobaczyć nielegalne transakcje.