Phishing najczęstszą taktyką cyberataków. Jak z nim wygrać?
2019-12-31 11:32
Phishing © adrian_ilie825 - Fotolia.com
Phishing ciągle na fali – informuje coroczny raport F5 Labs i wskazuje, że właśnie to zagrożenie pozostaje najpopularniejszym wśród cyberprzestępców narzędziem naruszania danych. I nie jest to w zasadzie zaskoczeniem, ponieważ jest to nie tylko prosta, ale równocześnie niezwykle skuteczna metoda ataku. O swoje bezpieczeństwo powinny obawiać się przede wszystkim takie branże jak finanse, ochrona zdrowia, edukacja, organizacje non-profit i rachunkowość.
Przeczytaj także: Boże Narodzenie: czas na spear phishing
Opracowany przez F5 Labs „Phishing i Fraud Report 2019” wyraźnie zatem potwierdza, że phishing nie traci nic a nic na popularności. Jak jednak tłumaczy David Warburton, Principal Threat Evangelist F5 Networks i współautor raportu, nie powinno to budzić zdziwienia, ponieważ:„Atakujący nie muszą się martwić o włamanie przez zaporę ogniową, znalezienie exploitów zero-day czy odszyfrowanie ruchu. Największą trudnością jest wymyślenie dobrej sztuczki e-mailowej, aby zachęcić ludzi do kliknięcia oraz fałszywej witryny, do której nastąpi przekierowanie.”
Jak podkreśla F5, współczesny phishing charakteryzuje się nie tylko coraz większą nieprzewidywalnością, ale staje się coraz bardziej uniwersalny. Jeszcze do niedawna wzrost ilości ataków phishingowych odnotowywany był głównie pomiędzy październikiem a styczniem, a więc w okresie wzmożonej intensyfikacji pracy e-commerce. Tak było np. w minionym roku (wzrost ataków o 50%). Trend ten zdążył się już jednak zdezaktualizować – aktywność phishingu nie maleje w zasadzie przez cały rok.
„Rozwój mediów społecznościowych sprawia, że dane osobowe są swobodnie dostępne w dowolnym momencie. Szeroka gama wydarzeń, takich jak np. święta, turnieje sportowe, różnego rodzaju eventy, zapewniają branding i emocjonujące historie, pod które przestępcy się podpinają, żeby stworzyć przekonujące kampanie phishingowe” – tłumaczy David Warburton.
Jaki był phishing w 2019 r.
Czym charakteryzowały się ataki w ubiegłym roku? Raport wskazuje, że trzy razy bardziej prawdopodobne było umieszczenie w wiadomości phishingowej złośliwego linka niż załącznika. Markami, pod które przestępcy najczęściej się podszywali to: Facebook, Microsoft Office Exachange i Apple.
fot. adrian_ilie825 - Fotolia.com
Phishing
Sposoby pozyskiwania danych
Według F5 Labs adresy docelowe wiadomości e-mail typu phishing pochodzą z różnych źródeł, takich jak listy: spamowe i inteligentnego zbierania danych typu open source. W zależności od podejścia i intensywności ataku, wiadomości phishingowe mogą być wysyłane do tysięcy potencjalnych ofiar lub konkretnej osoby .
Jak przechytrzyć phishing?
Wciąż jednym z najważniejszych elementów zabezpieczenia przed atakami phishingowymi są szkolenia i nieustanne edukowanie w tym zakresie. Przedsiębiorstwa powinny również stosować odpowiednie techniki kontrolowania bezpieczeństwa:
- Uwierzytelnianie wieloskładnikowego (MFA) – które zapobiega wykorzystywaniu skradzionych danych logowania, wskazując na ich użycie w nieoczekiwanej lokalizacji lub z nieznanego urządzenia.
- Wyraźne oznaczanie wszystkich wiadomości pochodzących ze źródeł zewnętrznych – co pomaga zapobiegać ich fałszowaniu.
- Priorytetowe traktowanie oprogramowania antywirusowego – w większości przypadków antywirusy przerwą próby instalacji złośliwego oprogramowania. Jest tylko jeden warunek – muszą być na bieżąco aktualizowane. Aktualizacje powinny być ustawione tak, aby odbywały się minimum raz dziennie.
- Rozwiązania do filtrowania stron internetowych – które uniemożliwiają użytkownikom nieumyślne odwiedzanie witryn phishingowym. Po kliknięciu w złośliwy link, ruch wychodzący jest automatycznie blokowany.
- Sprawdzanie zaszyfrowanego ruchu w poszukiwaniu złośliwego oprogramowania – taki ruch komunikuje się z serwerami dowodzenia i kontroli (C&C) przez zaszyfrowane tunele i jest niewykrywalny bez narzędzi deszyfrujących. Konieczne jest odszyfrowanie ruchu wewnętrznego przed wysłaniem go do narzędzi wykrywających incydenty w ramach przeglądu infekcji.
- Ulepszenie mechanizmów raportowania – odpowiedzi na incydenty powinny obejmować usprawnioną i niewskazującą na winę metodę oznaczania podejrzanych ataków typu „phishing”.
- Monitorowanie punktów końcowych – które pozwala na uzyskiwanie lepszej widoczności. Ważne jest zrozumienie, w jaki sposób złośliwe oprogramowanie staje się aktywne w sieci i wiedza o tym, które dane są narażone na ataki.
Wiarygodność, wiarygodność i jeszcze raz wiarygodność…
Jak czytamy w komunikacie z raportu F5, w minionym roku cyberprzestępcy przykładali jeszcze większą wagę do wiarygodności ataków. Aż 71% stron phishigowych korzystało z HTTPS. F5 Labs zaobserwowało również, że ponad 7% złośliwych stron korzysta z szyfrowanych połączeń przez niestandardowe porty HTTPS (np. 8443). Wykorzystanie szyfrowania HTTPS w celu ukrycia złośliwego oprogramowania przed tradycyjnymi systemami wykrywania włamań (IDS) stało się powszechną taktyką cyberprzestępców. Większość szkodliwego oprogramowania nie może zostać wykryta bez kontroli SSL /TLS.
Certyfikacja
85% przeanalizowanych przez F5 Labs witryn korzystało z certyfikatów cyfrowych podpisanych przez zaufany urząd certyfikacji (CA). Cały sens potwierdzania certyfikatów polega na zapewnieniu o własności domeny organizacji. Zapewnienia te jednak nie działają w odpowiedni sposób. W rzeczywistości Chrome i Firefox ogłosiły plany usunięcia certyfikatów Extended Validation z ekranu głównego, a safari Apple już zdewaluowało jego wartość.
Najczęściej wykorzystywane domeny
Raport dowodzi również, że fałszywe strony phishingowe znajdowały się na wielu różnych hostach internetowych. Najważniejszą domeną z unikalnymi stronami phishingowymi okazał się blogspot.com, który był odpowiedzialny za 4% wszystkich analizowanych przypadków phishingu i 43% złośliwego oprogramowania. Popularna platforma blogowa pozwala użytkownikom łatwo hostować złośliwe treści w dobrze rozpoznawalnej domenie, która zapewnia bezpłatne certyfikaty TLS klasy OV dla wszystkich swoich witryn.
Wzrost znaczenia automatyzacji
Kolejnym znaczącym trendem w tegorocznym raporcie jest rosnąca liczba ataków z wykorzystaniem automatyzacji, która pozwala na optymalizację działań. Dane wskazują, że wiele witryn phishingowych uzyskuje certyfikaty za pośrednictwem usług takich jak cPanel (zintegrowany z Comodo CA) i LetsEncrypt. 36% stron phishingowych miało certyfikaty ważne tylko na 90 dni, co wskazuje na użycie narzędzi do automatyzacji w tym zakresie.
„95% domen, które analizowaliśmy, było odwiedzanych mniej niż dziesięć razy, a 47% stron było dostępnych tylko raz. Oznacza to, że osoby atakujące muszą w pełni zautomatyzować proces wstawiania witryny wyłudzającej informacje, aby zmaksymalizować zwrot z inwestycji. Automatyzacja pozwala przestępcom programowo koordynować proces zakupu i wdrażania certyfikatów we wszystkich ich domenach ” – powiedział Warburton. „Bezpłatne certyfikaty, jak przewidywaliśmy, znacznie ułatwiają atakującym hostowanie witryn phishingowych. Jednak nie wszystko to zależy od usług takich jak LetsEncrypt. Istnieje wiele innych sposobów łatwego tworzenia bezpłatnych certyfikatów TLS. Hakerzy są oszczędni i ponownie wykorzystują certyfikaty w witrynach phishingowych i złośliwych. Wiele znalezionych certyfikatów miało Subject Alternative Names (SAN), co pozwala na wielokrotne wykorzystywanie tych samych certyfikatów w wielu domenach.”
Przeczytaj także:
Cyberprzestępcy atakują branżę medyczną
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)