Trendy w atakach phishingowych, na które warto uważać w 2021 roku

Phishing – jedno z zagrożeń czasu pandemii

Kiedy koronawirus szybko opanowywał cały świat, wiele państw w ramach niezbędnych działań zapobiegawczych zdecydowało się zawiesić funkcjonowanie różnych publicznych miejsc – zamknięto szkoły, inne instytucje edukacyjne oraz biura, a także wprowadzono zakaz zgromadzeń. W kilku najsilniej dotkniętych pandemią krajach europejskich lockdown był jeszcze bardziej restrykcyjny. Kiedy wiele organizacji w państwach z relatywnie niższą liczbą zakażeń musiało rozważyć przeprowadzenie redukcji zatrudnienia, a inne zastanawiały się nad wprowadzeniem pracy zdalnej, na horyzoncie pojawiło się nowe zagrożenie dla cyberbezpieczeństwa firm.

Raport przygotowany przez firmę Recorded Future zarejestrował tysiące „fejkowych” stron poświęconych koronawirusowi, rzekomo udostępniających najbardziej aktualne informacje o rozwoju pandemii i sposobach jej zwalczania. Żerując na strachu przed pandemią i braku wystarczających zabezpieczeń u osób pracujących zdalnie, hakerzy wykorzystują sytuację i rozsyłają złośliwe oprogramowanie za pomocą phishingu.

Na czym polega phishing w dobie pandemii? Specjaliści ds. analizy zagrożeń z firmy Mimecast przestudiowali ponad 300 wariantów skierowanych do pracowników zdalnych ataków hakerskich i kampanii phishingowych, które udawały sprawdzone informacje zdrowotne podawane przez wiarygodne organizacje medyczne. Najczęściej występujące wersje to mapy pokazujące kierunki rozprzestrzeniania się wirusa oraz listy wskazówek i środków ostrożności. Załadowana na platformie OneDrive, fałszywa wiadomość prosi użytkownika o podanie danych logowania – ludzki błąd ma wynikać z odczuwanego strachu lub ciekawości, na których żeruje phishing.

Producent oprogramowania antywirusowego Kaspersky Lab odkrył jeszcze inny typ związanej z Covidem sieciowej „patologii” – trojana nazwanego „złodziejem ciasteczek”. Wirus ten najpierw zdobywa uprzywilejowany dostęp do urządzenia ofiary, a następnie przenosi pliki cookies z jej przeglądarki do systemu przestępcy.  Przykładowo, na Facebooku ukradzionych ciasteczek można użyć poprzez dostęp do unikatowego identyfikatora sesji, zdobyty przez facebookową aplikację na Androidzie, która pozwala się logować bez hasła i loginu, umożliwiając hakerowi obejście uwierzytelnienia.

Ataki phishingowe – co jeszcze może się wydarzyć?

Zajmujące się cyberbezpieczeństwem  instytucje i organizacje z całego świata donoszą, że liczne przypadki phishingu oraz wzrost aktywności hakerów postępują wraz z rozwojem pandemii koronawirusa.

Jak poinformowała telewizja Sky News, jedną z grup namierzonych przez przestępców byli pracownicy ochrony zdrowia, których zachęcano mailowo do wzięcia udziału w fałszywej ankiecie na temat koronawirusa, mającej przekazać hakerom ich dane osobiste. Firma Check Point wspomniała o podobnych przypadkach w mongolskim sektorze publicznym, zalewanym mailami phishingowymi udającymi informacje na temat koronawirusa z mongolskiego ministerstwa zdrowia. Mailom phishingowym zwykle towarzyszą wirusy typu ransomware (blokujące dostęp do systemów lub uniemożliwiające odczyt danych). Taki przypadek miał miejsce m.in. w Illnois, gdzie agencja zdrowia publicznego została zaatakowana nowym wirusem NetWalker, który uszkodził jej główną stronę internetową. Przestępcy wykorzystują obecną sytuację do realizacji swoich finansowych oraz innych celów. Pandemia umożliwia im żerowanie na ludzkim strachu oraz szerzenie fałszywych, zwodniczych informacji.

Cele phishingu mogą się od siebie znacznie różnić i dotyczą nie tylko pozyskiwania środków finansowych. Głównym obiektem zainteresowania hakerów jest biznes, w wielu krajach znajdujący się obecnie w kryzysie. W związku z powtarzającymi się lockdownami oraz zasadami przechodzenia kwarantann, wielu ludzi pracuje obecnie z domu. Oddaleni od organizacyjnych struktur bezpieczeństwa użytkownicy końcowi są łatwiejsi do zinfiltrowania.

Maile phishingowe były rozpowszechnione na długo przed koronawirusem, może więc powstać pytanie, czym wyróżnia się obecna sytuacja? Rzecz jasna istnieje wiele środków bezpieczeństwa, których organizacje używają na co dzień, obecne czasy nie są jednak normalne.  W kryzysie pandemicznym wiele organizacji oraz instytucji publicznych skupia się na walce z wirusem, osłabiając przy tym swoje zaangażowanie w kwestie cyberbezpieczeństwa. Podobnie jak wszelkie inne działania, cyberbezpieczeństwo zależy od wielu aspektów i procesów organizacyjnych, tworzących sieć wspólnych działań; zamknięcie nawet jednego pionu wpłynie na wydajność całej sieci. W Europie gdzie lockdown był najbardziej intensywny i większość pracowników IT pracuje z domów, jedyne dostępne sposoby wykonywania zawodowych obowiązków to korzystanie z programów chmurowych lub łączenie się z biurową siecią poprzez VPN (Virtual Private Network).

Chmura obliczeniowa, a ochrona przed atakami phishingowymi

Serwery na których opiera się chmura obliczeniowa znajdują się w fizycznych lokalizacjach i zbierają oraz dystrybuują dane z całego świata. Chmura jest wszechobecna; za pomocą przeglądarki internetowej użytkownicy mogą mieć dostęp do informacji w dowolnym czasie i miejscu. Rozwiązania chmurowe pozwalają organizacjom korzystać z nich elastycznie – są bowiem przechowywane przez dostawców, dla których również utrzymywanie jednego centrum danych dla różnych klientów jest bardziej opłacalne. Ponieważ chmura znajduje się w rękach wyspecjalizowanych dostawców, zatrudniających ekspertów ds. cyberbezpieczeństwa, uważa się ją za jedno z najpotężniejszych zabezpieczeń w obszarze bezpieczeństwa cyfrowego.  Firmy wykorzystujące chmurę w swoich procesach biznesowych przenoszą do niej wszystkie swoje zasoby, zapewniając swoim pracownikom dostęp poprzez dane logowania. Mimo, że chmura szturmem zdobywa cały rynek technologii cyfrowych, wciąż niektóre mniejsze i średnie organizacje nie zaczęły jej stosować, tylko nadal używają do korzystania z aplikacji biznesowych i przechowywania danych prywatnych serwerów.

Sieć VPN (Virtual Private Network) – czy chroni przed Phishingiem?

Jak sama nazwa wskazuje, sieć VPN to wirtualny kanał łączący użytkowników z prywatnymi sieciami; „rozszerzanymi” w sieci publicznej. Nawet dostawca usług internetowych nie ma wtedy żadnej kontroli ani wiedzy o ruchu w takiej sieci. Pracownicy oraz poszczególne działy firmy mogą w ten sposób łączyć się z siecią głównego biura. Połączenia sieciowe w VPN nie są całkowicie anonimowe; informacje o użytkownikach w punktach węzłowych są widoczne, ale wymieniane dane pozostają prywatne. VPN zapewnia solidne funkcje zabepieczające, oparte na tunelach albo kryptografii – bezpieczne połączenie dla właściwych użytkowników bazuje na wymaganym protokole uwierzytelniania. Różni dostawcy VPN dostarczają różne kombinacje tuneli, takie jak m.in. protokół komunikacyjny PPTP (Point to Point Tunelling Protocol), protokół L2TP ((Layer Two Tunnelling Protocol), zbiór protokołów IPSec (Internet Protocol Security) oraz szyfrowanie (zarówno symetryczne, jak i asymetryczne), m.in. symetryczny szyfr blokowy AES (Advanced Encryption Standard), asymetryczny algorytm kryptograficzny RSA, szyfr blokowy Blowfish, czy protokół Diffiego-Hellmana.

Niezależnie od użytych środków cyberbezpieczeństwa, nawet dobrze zabezpieczona sieć może zostać zhakowana jeżeli użytkownicy nie są świadomi istniejących zagrożeń oraz tego jak im zapobiegać. Tak jak w powyższych przykładach, w których maile phishingowe skłoniły użytkowników do zalogowania się do złośliwego OneDrive’a, który wyciągnął ich login oraz hasło, uwierzytelnienia zarówno w chmurze i VPN mogą zostać łatwo pozyskane poprzez umieszczenie u końcowego użytkownika sieci snifferów i narzędzi deszyfrowania. Sniffery poszukują rejestrów zdarzeń lub plików, w których mogą być przechowywane uwierzytelnienia, narzędzia deszyfrowania z kolei starają się pracować na słabych szyfrach symetrycznych. Jak więc widać, rola użytkowników jako pierwszej linii obrony przed atakami phishingowymi jest zasadnicza.

Łagodzenie ataków phishingowych dzięki szkoleniom ze świadomości cyberbezpieczeństwa

Zapobieganie phishingowi przez osoby nietechniczne można wzmacniać skierowanymi do pracowników programami edukacyjnymi, tworzonymi przez takie uznane organizacje jak OhPhish. Wyłącznie teoretyczna wiedza o phishingu i tym, że wykorzystuje się w nim złośliwe maile, nie wystarczy; trzeba jeszcze potrafić odróżnić takie wiadomości od „dobrych”. Właśnie dlatego bardzo pomocne jest praktyczne doświadczenie ataków phishingowych i odpowiadania na nie. Rozwiązania OhPhish polegają na wirtualnych symulacjach ataków phishingowych – pracownicy otrzymują takie wiadomości, po czym sprawdzana jest ich reakcja, bazująca na zdobytej wiedzy.

Ponieważ to użytkownicy znajdują się na pierwszej linii obrony przeciwko wszelkim cyberatakom, umiejętność stawiania czoła phishingowi jest szczególnie ważna. Poza poznaniem sposobów rozpoznawania i zwalczania maili  phishingowych, program szkoleń w tym zakresie oferuje również pomoc i wsparcie doświadczonych ekspertów ds. cyberbezpieczeństwa. Szkolenia IT z różnych typów phishingu można podzielić na:

Spear Phishing attack:

Skierowane do konkretnych odbiorców e-maile i kampanie mają dotrzeć do wybranych stanowisk pracy w konkretnej branży. W niektórych przypadkach przestępcy przeprowadzają wcześniej szczegółowe badanie, aby zdobyć jak najwięcej informacji, które uwiarygodnią planowany atak. Hakerzy używają nazwisk i adresów klientów firmy, tak aby ofiara uwierzyła w autentyczność otrzymanej wiadomości.

Vishing & Smishing: (Phishing za pomocą telefonu oraz SMS-ów):

Są to rodzaje phishingu prowadzone za pomocą rozmów telefonicznych albo smsów, w których przestępca czasami udaje konsultanta ds. usług IT albo administratora bezpieczeństwa. Zapobieganie takim atakom obejmuje m.in. symulacje treningowe, w którch pracownicy podnoszą swoją swiadomość istniejącego zagrożenia.

Środki ostrożności, które można wprowadzić od razu, to zabezpieczenie chmury oraz sieci VPN zarówno w systemach zdalnych, jak i w sieci centralnej, wraz z niezwłocznym wprowadzeniem polityk bezpieczeństwa i wytycznych postępowania w przypadku ataków dla pracowników zdalnych. Długofalowa polityka odpowiedzialności za cyberbezpieczeństwo może zostać osiągnięta tylko poprzez ugruntowaną edukację.

FAQ:

Czym jest spear phishing?

Spear Phishing to ukierunkowany atak, w którym przed wysłaniem spersonalizowanej wiadomości, napastnik zbiera wcześniej informacje o swoich ofiarach.

Dowiedz się więcej:  https://blog.eccouncil.org/4-types-of-cyberattacks-that-youre-most-likely-to-face/

Spear phishing vs Phishing; czym się różnią?

Phishing to termin o szerszym znaczeniu; maile typu spear phishing są skierowane do konkretnych odbiorców, a przestępca namierza jednego lub wielu odbiorców o tych samych cechach.

Dowiedz się więcej: https://blog.eccouncil.org/spear-Phishing-101-how-it-differs-from-Phishing/

Jakie są różne rodzaje ataków phishingowych?

Rodzajów ataków phishingowych jest wiele – można wymienić wśród nich wiadomości e-mail, spear phishing, whaling (podszywanie się pod osoby na wysokich stanowiskach menedżerskich), angler phishing (podszywanie się pod profil firmy w mediach społecznościowych), smishing (phishing za pomocą SMS-ów) oraz vishing (phishing za pomocą rozmów telefonicznych).

Dowiedz się więcej: https://blog.eccouncil.org/5-Phishing-scams-that-keep-cybersecurity-professionals-up-at-night/

Tekst przygotowany na podstawie: Phishing Trends to Look Out For in 2021 | Aware | EC-Council (eccouncil.org)