Nowe cyberzagrożenie! Ataki hakerskie przez formularze
2020-06-19 10:33
Phishing © WavebreakmediaMicro - Fotolia.com
Przeczytaj także: Cyberbezpieczeństwo Polski drastycznie w dół. Atakuje nowy malware
Wyróżnione zagrożenia
Ataki oparte na formularzach
Z komunikatu opublikowanego przez Barracuda wynika, że w swoich staraniach o wyłudzenia danych logowania cyberprzestępcy sięgają m.in. po docs.google.com lub sway.office.com.
W phishingowej wiadomości adresaci przeważnie znajdują link do powyższych stron. Jak pisze Barracuda, wystarczy jeden atak, aby cyberprzestępcy otworzyli sobie dostęp do konta ofiary i to nawet bez znajomości danych logowania.
Wśród prawie 100 000 ataków poprzez formularze wykrytych przez analityków z firmy Barracuda od 1 stycznia do 30 kwietnia br., w 65% przypadków do oszustwa wykorzystywane były strony internetowe Google służące do przechowywania i udostępniania plików. Dotyczy to witryn takich jak storage.googleapis.com (25%), docs.google.com (23%), storage.cloud.google.com (13%) czy drive.google.com (4%).
Dla porównania, rozwiązania Microsoft były narzędziem jedynie dla 13% ataków: onedrive.live.com (6%), sway.office.com (4%) i form.office.com (3%). Inne witryny wykorzystywane w atakach polegających na podszywaniu się to sendgrid.net (10%), mailchimp.com (4%) oraz formcrafts.com (2%). Inne strony zostały wykorzystane tylko w 6 procentach tego typu ataków.
fot. mat. prasowe
Ataki oparte na formularzach
fot. mat. prasowe
Strony używane w atakach przez formularze
Sposoby wykorzystywania formularzy do kradzieży danych
Korzystanie z prawdziwych stron internetowych jako pośredników
Cyberprzestępcy wysyłają e-maile, które wydają się być generowane automatycznie przez stronę udostępniającą pliki, taką jak OneDrive. W ten sposób przekierowują swoją ofiarę na stronę phishingową za pośrednictwem prawdziwej strony do udostępniania plików. Atakujący wysyła e-mail z linkiem, który prowadzi do pliku przechowywanego na stronie takiej jak na przykład sway.office.com. Plik ten zawiera zdjęcie z linkiem do strony phishingowej z prośbą o podanie danych uwierzytelniających do logowania.
fot. mat. prasowe
Taktyka 1
Uzyskiwanie dostępu do kont bez użycia haseł
W tym szczególnie złośliwym wariancie ataku cyberprzestępcy mogą uzyskać dostęp do kont swoich ofiar bez kradzieży ich danych uwierzytelniających. Oryginalny e-mail phishingowy zawiera link do strony wyglądającej jak zwykła strona logowania. Nawet nazwa domeny w oknie przeglądarki wydaje się odpowiadać temu, czego użytkownik może się spodziewać.
Link zawiera jednak prośbę o token dostępu do aplikacji. Po wprowadzeniu danych uwierzytelniających ofiara otrzymuje do zaakceptowania listę uprawnień aplikacji. Akceptując te uprawnienia ofiara nie oddaje bezpośrednio swojego hasła, lecz przyznaje aplikacji napastnika token, który umożliwia jej dostęp do danych na prawach użytkownika.
Takie ataki hakerskie mogą pozostać niezauważone przez długi czas – w końcu użyli oni swoich danych na prawdziwej stronie internetowej. Nawet uwierzytelnianie dwuskładnikowe nie powstrzymuje cyberprzestępców, ponieważ złośliwa aplikacja korzysta z tokena i uprawnień dostępu do konta nadanych jej przez prawowitego użytkownika.
W czasie pisania tego tekstu, Microsoft wyłączył już tę konkretną aplikację, ale widzimy, że taktyka ta jest nadal używana.
fot. mat. prasowe
Taktyka 3
Tworzenie formularzy w celu wyłudzenia danych
Atakujący tworzą formularz online, korzystając z ogólnodostępnych rozwiązań tego typu, takich jak forms.office.com. Formularze przypominają stronę logowania do prawdziwego serwisu, a link do formularza jest następnie dołączany do e-maili phishingowych w celu zebrania danych uwierzytelniających.
Ten rodzaj ataków hakerskich jest trudny do wykrycia, ponieważ e-maile zawierają linki wskazujące na prawdziwe strony internetowe wykorzystywane na co dzień przez różne organizacje. Usługi, które wymagają weryfikacji konta lub zmiany hasła, zazwyczaj jednak nie opierają się na tych domenach.
fot. mat. prasowe
Taktyka 2
Ochrona przed atakami hakerskimipoprzez formularze
Ochrona skrzynki odbiorczej wykorzystująca dostęp przez API
Cyberprzestępcy modyfikują taktykę działania w celu omijania bramek pocztowych i filtrów antyspamowych. Potrzebne jest więc rozwiązanie, które wykorzystuje sztuczną inteligencję do wykrywania i blokowania ataków takich jak przejmowanie kont i podszywanie się pod domenę. Nie można już polegać wyłącznie na oprogramowaniu szukającym złośliwych linków lub załączników, lecz należy wykorzystać technologię wykorzystującą uczenie maszynowe do analizy wzorców normalnej komunikacji w obrębie Państwa organizacji. Pozwoli to wykrywać anomalie, które mogą świadczyć o ataku.
Wdrożenie wieloskładnikowego uwierzytelniania
Uwierzytelnianie wieloskładnikowe, zwane też uwierzytelnianiem dwuskładnikowym lub dwuetapowym, zapewnia dodatkową ochronę – w stosunku do tradycyjnej nazwy użytkownika i hasła – dzięki zastosowaniu takich rozwiązań, jak kody uwierzytelniające (np. kody jednorazowe), odciski palca czy skany siatkówki.
Jak chronić się przed przejęciem konta
- Używaj technologii, które mogą wykrywać podejrzane działania i potencjalne symptomy przejęcia konta – takie jak logowanie o nietypowych porach doby czy z nietypowych lokalizacji i adresów IP.
- Śledź adresy IP, które wykazują inne podejrzane zachowania, w tym nieudane logowanie i dostęp z podejrzanych urządzeń.
- Monitoruj również konta e-mail pod kątem fałszywych, złośliwych reguł klasyfikowania wiadomości w skrzynkach odbiorczych. Metoda ta jest często wykorzystywana podczas przejmowania kont. Cyberprzestępcy logują się na konto, zmieniają ustawienia przekierowywania poczty i ukrywają lub usuwają wiadomości, które wysyłają, w celu zatarcia śladów swojej obecności.
- W ramach szkoleń z cyberbezpieczeństwa edukuj użytkowników na temat ataków poprzez pocztę elektroniczną, w tym ataków z wykorzystaniem formularzy.
- Upewnij się, że pracownicy potrafią rozpoznawać ataki hakerskie, rozumieją zagrożenie i wiedzą, jak je zgłaszać.
- Wykorzystaj symulację phishingu do przeszkolenia użytkowników w zakresie rozpoznawania cyberataków, sprawdzania skuteczności szkolenia oraz oceny użytkowników najbardziej narażonych na ataki hakerskie.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)