22 listopada 2022

Powszechne i realne zagrożenie: 3,5 mld wiadomości phishingowych każdego dnia

Jak wynika z danych firm analitycznych Radicati i Statista codziennie wysyłanych jest niemal 3,5 miliarda wiadomości phishingowych. Powszechność zjawiska wpływa na wzrost jego świadomości wśród użytkowników. Reagują na nie także wytwórcy oprogramowania do bezpieczeństwa IT udostępniający rozwiązania takie jak np. filtry antyphishingowe czy dwuskładnikowe uwierzytelnianie. Działania z zakresu cyberbezpieczeństwa wymuszają z kolei wdrażanie nowych taktyk przez przestępców. Jak komentują eksperci Stormshield zagrożenie phishingiem nie maleje, a działania przestępców stają się coraz bardziej wyrafinowane i zawierają silniejszy aspekt psychologiczny.

Phishing to złośliwa technika mająca na celu nakłonienie osoby trzeciej do wykonania działania, którego efektem będzie kradzież danych osobowych – haseł dostępowych, numerów kart kredytowych czy dokumentów tożsamości. Wygrana na loterii, akcje charytatywne, fałszywe inwestycje lub kryptowaluty, zamknięcie konta bankowego czy wzmożone zainteresowanie określoną tematyką np. zakupami w okresie świątecznym - niemal każdy temat może być wykorzystany do oszukania potencjalnych ofiar. 91 proc. cyberataków wykorzystuje pocztę e-mail jako główny wektor. Jednak przestępcy nieustannie modyfikują sposoby swojego działania.

Cyberprzestępcy wykorzystają podstawowe emocje i socjotechniki, aby zapewnić skuteczność swoich działań. Najczęściej wykorzystywany jest strach, powoduje on bowiem naszą instynktowną reakcję. Pierwsze kampanie phishingowe były stosunkowo łatwe do rozpoznania, zawierały liczne błędy ortograficzne czy literówki, co wynikało z niedostępności np. tłumaczy internetowych. Obecnie jednak mamy do czynienia ze skomplikowanymi działaniami, wobec których zwykła ostrożność może nie wystarczyć

Aleksander Kostuch,
ekspert Stormshield, europejskiego lidera branży cyberbezpieczeństwa

Jednym z najczęściej stosowanych nowych mechanizmów jest typosquatting. Niski koszt hostingu strony phishingowej w domenie, której adres różni się od oryginalnej jednym znakiem powoduje, że ten model działania jest z perspektywy przestępców bardzo owocny. Szata graficzna takich serwisów jest zaprojektowana tak, że ofiary zwykle nie zdają sobie sprawy, że odwiedzają stronę phishingową. CERT Polska w 2021 roku zablokował 33 tys. takich domen, powstrzymując we współpracy z operatorami telekomunikacyjnymi blisko 4 miliony prób wejścia na strony oznaczone jako wyłudzające dane. Najczęściej obserwowany phishing był związany z wyłudzaniem danych logowania do Facebooka. W tym przypadku wykorzystywany był motyw weryfikacji wieku niezbędnego do obejrzenia filmu z drastycznego wydarzenia. Z kolei jak podaje raport ESET Threat Report liczba zablokowanych unikalnych phishingowych adresów URL osiągnęła w okresie maj-sierpień 2022 poziom niemal 4,7 miliona.

Kolejną rozpowszechnioną techniką jest ta wykorzystująca dołączone do treści e-maili zainfekowane bannery. Pozwala to ominąć mechanizm filtrowania, a odbiorca otrzymuje informację, że nadawca i załącznik zostały zweryfikowane.

Aby ominąć filtry wykrywania fałszowania logo, cyberprzestępcy wyświetlają je jako tabelę składającą się z zestawu komórek o szerokości jednego piksela. Dla odbiorcy pozostaje ono zatem identyczne, jednak ujęcie go w formie tabeli utrudnia identyfikację przez filtr antyphishingowy. Takie oszustwo jest możliwe do wykrycia za pomocą analizy wizualnej, przy użyciu algorytmu „wizji komputerowej”

Aleksander Kostuch,
ekspert Stormshield, europejskiego lidera branży cyberbezpieczeństwa

Linki phishingowe są również osadzane w łańcuchu linków przekierowujących, co sprawia, że filtry antyphishingowe nie mogą dotrzeć do końcowego adresu URL. Jednak prawdziwą żyłą złota dla przestępców są wycieki baz danych zawierających adresy e-mail, hasła i numery telefonów.

Ofiary same działają na swoją niekorzyść. Powszechne jest stosowanie słabych haseł, dodatkowo używanych wielokrotnie na różnych kontach. W ten sposób staje się ono wytrychem otwierającym wiele drzwi. Co więcej taka wiedza pozwala przestępcom tworzyć wiarygodne scenariusze działań, przyczyniając się do nieustannej popularności phishingu oraz rozwoju nowych technik i kanałów dystrybucji

Aleksander Kostuch,
ekspert Stormshield, europejskiego lidera branży cyberbezpieczeństwa

W ostatnich latach rośnie liczba ataków z wykorzystaniem SMS. Wpływ na to miały lockdowny i związany z nim rozwój handlu internetowego. Próby wyłudzeń „na InPost, Allegro czy Olx”, rozpoczynające się od sms-a przychodzącego do ofiary, który informuje o niedostarczonej czy nieopłaconej paczce wciąż pozostają rozpowszechnioną praktyką. Medium chętnie wykorzystywanym przez przestępców stał się także WhatsApp czy narzędzia do komunikacji pomiędzy pracownikami, takie jak Microsoft Teams i Slack. Jedną z nowych metod jest publikacja oferty pracy zawierająca oprogramowanie szpiegujące, co umożliwia kradzież tożsamości pracownika.

Pozyskanie takich danych to fundament do dalszych działań, które przestępcy przeprowadzają np. w okresie świątecznym, gdy osób których tożsamość wykorzystują nie ma fizycznie w miejscu pracy. W ten sposób udało się w lipcu 2022 roku ukraść ponad 500 milionów euro firmie Sky Mavis

Aleksander Kostuch,
ekspert Stormshield, europejskiego lidera branży cyberbezpieczeństwa

Kolejną innowacją jest atak „Browser-in-the-browser” (przeglądarka w przeglądarce). To strategia polegająca na wyświetlaniu fałszywego okna przeglądarki. Ofiary klikające przycisk logowania są przekonane, że ładują nowe okno uwierzytelniania. Jest to jednak iluzja. W rzeczywistości użytkownik nie zmienia okien, a cyberprzestępca wyświetla prawidłowy adres URL, aby oszukać czujność ofiary, któranastępnie nieświadomie wprowadza swoje dane uwierzytelniające na stronie przestępców. Słabością tej trudnej do wykrycia techniki jest ograniczenie możliwości jej wykorzystania w telefonach komórkowych. Prawdziwe okna logowania można maksymalizować, minimalizować oraz przenosić w dowolne miejsce na ekranie. Fałszywe okna podręczne są powiązane ze stroną, na której się znajdują. Mogą poruszać się tylko w obrębie okna przeglądarki.

Jak zwracają uwagę eksperci cyberprzestępcy w coraz większym stopniu korzystają z narzędzi umożliwiających automatyzację kampanii phishingowych. Na przykład serwisy Gophish lub Sniperphish oferują gotowe do użycia szablony stron i wiadomości e-mail służących do przechwytywania wrażliwych danych. Specjaliści przewidując rozwój phishingu wskazują również na jego dalszą automatyzację i precyzję działań.

Dzięki technologii rozszerzania tekstu możliwe jest teraz generowanie setek e-maili, które mają tożsamy przekaz choć używają zupełnie innych słów. W związku z tym phishing prawdopodobnie zmieni modus operandi. Zamiast jednej treści adresowanej do wielu potencjalnych ofiar będziemy mieli do czynienia z wielką liczbą zróżnicowanych wiadomości, których treść zostanie dopasowana indywidualnie do ofiary. Ta technika wydaje się być inspirowana SEO i algorytmem GPT-3. W obliczu wykorzystania technologii open source również dostawcy cyberbezpieczeństwa będą zmuszeni do wprowadzania nowych metod wykrywania oszustw, aby sprostać rosnącym wyzwaniom

Aleksander Kostuch,
ekspert Stormshield, europejskiego lidera branży cyberbezpieczeństwa

Phishing - jak nie dać się złowić? 5 istotnych faktów

  • Użycie dwuskładnikowej autoryzacji praktycznie uniemożliwia użycie wykradzionego loginu i hasła, nawet jeżeli fałszywa strona wygląda identycznie jak oryginalna.
  • Menadżer haseł weryfikuje adres strony i nie wprowadzi danych logowania w polach należących do nieznanej strony internetowej, bez względu na to czy jest ona łudząco podobna do legalnej.
  • Bądźmy czujni na socjotechnikę. Minęły czasy, gdy niepoprawne językowo komunikaty na pierwszy rzut oka zdradzały oszustwo. Najczęściej wiadomości wysyła „dziwny” nadawca, a jej treść jest tak skonstruowana, aby skłonić nas do podjęcia natychmiastowych reakcji.
  • Nie klikajmy w podejrzane i niezweryfikowane linki oraz nie otwierajmy nieoczekiwanych załączników.
  • Dobrze wdrożone dedykowane urządzenia, takie jak np. firewalle, automatycznie rozpoznają i blokują zagrożenia. Zgodnie z rekomendacjami agencji rządowych ds. bezpieczeństwa firewalle (np. Stormshield), korzystają z listy zablokowanych adresów URL opracowywanej przez CERT Polska, a także z danych kilkunastu globalnych laboratoriów IT.

Piotr Zielaskiewicz
product manager STORMSHIELD

Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38