Sezon zimowy – phishingowe żniwa. O dobrych praktykach ochrony od F5 w rozmowie z Ireneuszem Wiśniewskim, dyrektorem zarządzającym F5 Poland.

W okresie październik-styczeń ilość incydentów oszustwa rośnie ponad 50 proc. w porównaniu do średniej rocznej, wskazuje raport „Phishing i oszustwo 2018” Webroot i F5 Labs. Dane zostały zaczerpnięte z F5 Security Operations Center (SOC) pod F5® WebSafe™ monitorującego i likwidującego strony phishingowe i fałszywe strony dla konsumentów.

Krajobraz dla wzmożonej aktywności hakerskiej wygląda następująco: ludzie szukają okazji zakupowych, rozglądają się za ofertami wypoczynku, dzielą się charytatywnie. Są rozproszeni, bywa że nieuważnie traktują dane dostępowe, instalują malware. Biznes podsumowuje rok, pracownicy są na wakacjach. W tym czasie biznesowi potrzebna jest wzmożona uwaga i aplikacja dobrych praktyk bezpieczeństwa.

Organizacja F5 SOC zlikwidowała w ostatnich czterech latach[1] wiele szkodliwych stron internetowych. 75,6% z nich było powiązanych z atakami phishingowymi. Kolejne stanowiły: złośliwe skrypty (11,3%) i przekierowania URL, które także są używane w operacjach phishingowych.

Najczęstszą formą ataku phishingowego jest podszywanie się pod znaną markę. 71% wysiłków atakujących w okresie wrzesień-październik 2018 r. skupiała się na podrabianiu jednej z dziesięciu organizacji, najczęściej korporacji technologicznych. Aż 58% phishingowców podszywało się
w badanym okresie pod Microsoft, Google, Facebook, Apple, Adobe, Dropbox i DocuSign.

13 z 20 najszybciej rosnących celów stanowiły organizacje finansowe, z czego banki to 55% celów ataków phishingowych; pięć z nich to największe europejskie jednostki. To właśnie najgroźniejsze programy malware wystartowały jako malware bankowy. Przykładem są: Trickbot, Zeus, Dyre, Neverquest, Gozi, GozNym, Dridex i Gootkit – bankowe trojany znane z rozprzestrzeniania się z kampanii phishingowych.

F5 Labs podkreśla istotność implementacji ochrony kontroli dostępu, włączając uwierzytelnianie wieloskładnikowe i kontrolę danych dostępowych dla zapobiegania wyłomom phishingowym. Rekomendacje dobrych praktyk naszych ekspertów zawierają następujące taktyki:

1. Etykietowanie korespondencji mailowej. Czytelne etykietowanie korespondencji przychodzącej ze źródeł zewnętrznych zapobiega podszywaniu się. Prosta specjalnie sformatowana wiadomość – ostrzeżenie – zwiększy czujność użytkowników.
2. Oprogramowanie antywirusowe. AV software jest krytycznym narzędziem do zaimplementowania w każdym systemie, do którego użytkownicy mają dostęp. W większości przypadków, aktualne oprogramowanie antywirusowe zatrzyma próbę instalacji malware. Ustawienie polityki AV na codzienną aktualizację – to niezbędne minimum.
3. Filtrowanie sieci. Rozwiązanie filtrujące sieć pomaga zablokować dostęp do stron phishingowych. Pomoże też edukować pracowników, pokazując błąd wiadomości użytkownikowi.
4. Deszyfrowanie ruchu i inspekcja. F5 Przeanalizowało domeny malware od Webroot, aktywne w okresie IX-X 2018. 68% z nich pochodziło spod portu 443, który jest standardem TCP używanym przez strony szyfrujące komunikację w SSL/TLS. Jeśli organizacje nie deszyfrują ruchu przed inspekcją, malware zainstalowane przy ataku phishingowym nie zostanie wykryte w sieci.
5. Single Sign On. Jeden podpis elektroniczny. Im mniej danych dostępowych muszą pamiętać użytkownicy, tym mniej chętnie dzielą się nimi w aplikacjach, rzadziej tworzą słabe hasła
   i rzadziej przechowują je w mało bezpieczny sposób.
6. Report Phishing. Niektóre rozwiązania mailowe mają już wbudowany przycisk phish alert do powiadamiania IT o podejrzanej aktywności. Jeśli Twój email nie ma takiej automatyzacji, poinstruuj użytkowników, aby zadzwonili do helpdesku czy zespołu bezpieczeństwa.
7. Uporczywe przypadki – zmiana adresów emailowych. Rozważ zmianę adresów mailowych pracowników, jeśli są regularnie czy częściej atakowani phishingowo.
8. Użyj CAPTcha. Technologia pozwalająca rozpoznać ludzi i boty jest przydatna. Użytkownicy mogą odbierać ją jako denerwującą, jest więc wskazana przy największym prawdopodobieństwie, że skrypty pochodzą od bota.
9. Przeglądy kontroli dostępu. Prawa dostępu dla pracowników powinny być przeglądane regularnie, szczególnie tych, którzy mają dostęp do systemów krytycznych. Priorytetem powinien być trening anty-phishingowy dla tej grupy pracowników.
10. UWAGA: Nowo zarejestrowane domeny. Strony phishingowe są zwykle nowo zarejestrowanymi domenami. Gdy F5 robiło wrześniowy przegląd listy aktywnych domen phishingowych, tylko 62% z nich było aktywnych w kolejnym tygodniu!
11. Zaimplementuj rozwiązania wykrywające oszustwa sieciowe. Pomogą wykryć klientów zainfekowanych malware, zatrzymując możliwość logowania cyberprzestępców do Twojego systemu. Pomogą też zobaczyć nielegalne transakcje.