Phishing najczęstszą taktyką cyberataków. F5 Labs opublikowało trzecią edycję, corocznego raportu „Phishing i Fraud Report 2019”
F5 Labs opublikowało trzeci coroczny raport dotyczący phishingu i innych metod oszustw[1], który zawiera najnowszy branżowy przegląd najczęstszych taktyk cyberprzestępców. Analizy wskazały, że phising jest obecnie najbardziej znaną metodą ataku wykorzystywaną do naruszania danych[2]. Zagrożone są przede wszystkim sektory: finansów, ochrony zdrowia, edukacji, organizacji non-profit i rachunkowości.
„Ogromna popularność phishingu wynika z faktu, jest to łatwa i jednocześnie skuteczna metoda” – mówi David Warburton, Principal Threat Evangelist F5 Networks i współautor raportu. „Atakujący nie muszą się martwić o włamanie przez zaporę ogniową, znalezienie exploitów zero-day[3] czy odszyfrowanie ruchu. Największą trudnością jest wymyślenie dobrej sztuczki e-mailowej, aby zachęcić ludzi do kliknięcia oraz fałszywej witryny, do której nastąpi przekierowanie.”
Phishing przestał być sezonowy
Wraz ze wzrostem zagrożeń, F5 sugeruje, że phishing staje się nie tylko coraz mniej przewidywalną, ale także coraz bardziej uniwersalną metodą ataków. Jeszcze w ubiegłym roku SOC F5 odnotował 50% wzrost liczby ataków phishingowych między październikiem a styczniem – kiedy handel elektroniczny jest znacznie intensywniejszy. Ten trend nie jest już aktualny.
„Raport z 2019 nie pokazał tego samego wzoru, co w poprzednich dwóch latach”, podkreślił David Warburton. „Rozwój mediów społecznościowych sprawia, że dane osobowe są swobodnie dostępne w dowolnym momencie. Szeroka gama wydarzeń, takich jak np. święta, turnieje sportowe, różnego rodzaju eventy, zapewniają branding i emocjonujące historie, pod które przestępcy się podpinają, żeby stworzyć przekonujące kampanie phishingowe”.
Sposoby pozyskiwania danych
Według F5 Labs adresy docelowe wiadomości e-mail typu phishing pochodzą z różnych źródeł, takich jak listy: spamowe i inteligentnego zbierania danych typu open source. W zależności od podejścia i intensywności ataku, wiadomości phishingowe mogą być wysyłane do tysięcy potencjalnych ofiar lub konkretnej osoby[4].
Anatomia ataku phishingowego w 2019 r.
Czym charakteryzowały się ataki w ubiegłym roku? Raport wskazuje, że trzy razy bardziej prawdopodobne było umieszczenie w wiadomości phishingowej złośliwego linka niż załącznika. Markami, pod które przestępcy najczęściej się podszywali to: Facebook, Microsoft Office Exachange i Apple.
Wiarygodność, wiarygodność i jeszcze raz wiarygodność…
Rok 2019 przyniósł dążenie do jeszcze większej wiarygodności ataków. Aż 71% stron phishigowych korzystało z HTTPS. F5 Labs zaobserwowało również, że ponad 7% złośliwych stron korzysta z szyfrowanych połączeń przez niestandardowe porty HTTPS (np. 8443). Wykorzystanie szyfrowania HTTPS w celu ukrycia złośliwego oprogramowania przed tradycyjnymi systemami wykrywania włamań (IDS) stało się powszechną taktyką cyberprzestępców. Większość szkodliwego oprogramowania nie może zostać wykryta bez kontroli SSL /TLS.
Certyfikacja
85% przeanalizowanych przez F5 Labs witryn korzystało z certyfikatów cyfrowych podpisanych przez zaufany urząd certyfikacji (CA). Cały sens potwierdzania certyfikatów polega na zapewnieniu o własności domeny organizacji. Zapewnienia te jednak nie działają w odpowiedni sposób. W rzeczywistości Chrome i Firefox ogłosiły plany usunięcia certyfikatów Extended Validation z ekranu głównego, a safari Apple już zdewaluowało jego wartość.
Najczęściej wykorzystywane domeny
Fałszywe strony phishingowe znajdowały się na wielu różnych hostach internetowych.[5] Najważniejszą domeną z unikalnymi stronami phishingowymi okazał się blogspot.com, który był odpowiedzialny za 4% wszystkich analizowanych przypadków phishingu i 43% złośliwego oprogramowania. Popularna platforma blogowa pozwala użytkownikom łatwo hostować złośliwe treści w dobrze rozpoznawalnej domenie, która zapewnia bezpłatne certyfikaty TLS klasy OV dla wszystkich swoich witryn.[6]
Wzrost znaczenia automatyzacji
Kolejnym znaczącym trendem w tegorocznym raporcie jest rosnąca liczba ataków z wykorzystaniem automatyzacji, która pozwala na optymalizację działań. Dane wskazują, że wiele witryn phishingowych uzyskuje certyfikaty za pośrednictwem usług takich jak cPanel (zintegrowany z Comodo CA) i LetsEncrypt. 36% stron phishingowych miało certyfikaty ważne tylko na 90 dni, co wskazuje na użycie narzędzi do automatyzacji w tym zakresie.
„95% domen, które analizowaliśmy, było odwiedzanych mniej niż dziesięć razy, a 47% stron było dostępnych tylko raz. Oznacza to, że osoby atakujące muszą w pełni zautomatyzować proces wstawiania witryny wyłudzającej informacje, aby zmaksymalizować zwrot z inwestycji. Automatyzacja pozwala przestępcom programowo koordynować proces zakupu i wdrażania certyfikatów we wszystkich ich domenach ” – powiedział David Warburton. „Bezpłatne certyfikaty, jak przewidywaliśmy, znacznie ułatwiają atakującym hostowanie witryn phishingowych. Jednak nie wszystko to zależy od usług takich jak LetsEncrypt. Istnieje wiele innych sposobów łatwego tworzenia bezpłatnych certyfikatów TLS. Hakerzy są oszczędni i ponownie wykorzystują certyfikaty w witrynach phishingowych i złośliwych. Wiele znalezionych certyfikatów miało Subject Alternative Names (SAN), co pozwala na wielokrotne wykorzystywanie tych samych certyfikatów w wielu domenach.”
Jak się chronić w obliczu rosnącej liczny ataków?
Wciąż jednym z najważniejszych elementów zabezpieczenia przed atakami phishingowymi są szkolenia i nieustanne edukowanie w tym zakresie. Przedsiębiorstwa powinny również stosować odpowiednie techniki kontrolowania bezpieczeństwa:
- Uwierzytelnianie wieloskładnikowego (MFA) – które zapobiega wykorzystywaniu skradzionych danych logowania, wskazując na ich użycie w nieoczekiwanej lokalizacji lub z nieznanego urządzenia.
- Wyraźne oznaczanie wszystkich wiadomości pochodzących ze źródeł zewnętrznych – co pomaga zapobiegać ich fałszowaniu.
- Priorytetowe traktowanie oprogramowania antywirusowego – w większości przypadków antywirusy przerwą próby instalacji złośliwego oprogramowania. Jest tylko jeden warunek – muszą być na bieżąco aktualizowane. Aktualizacje powinny być ustawione tak, aby odbywały się minimum raz dziennie.
- Rozwiązania do filtrowania stron internetowych – które uniemożliwiają użytkownikom nieumyślne odwiedzanie witryn phishingowym. Po kliknięciu w złośliwy link, ruch wychodzący jest automatycznie blokowany.
- Sprawdzanie zaszyfrowanego ruchu w poszukiwaniu złośliwego oprogramowania – taki ruch komunikuje się z serwerami dowodzenia i kontroli (C&C) przez zaszyfrowane tunele i jest niewykrywalny bez narzędzi deszyfrujących. Konieczne jest odszyfrowanie ruchu wewnętrznego przed wysłaniem go do narzędzi wykrywających incydenty w ramach przeglądu infekcji.
- Ulepszenie mechanizmów raportowania – odpowiedzi na incydenty powinny obejmować usprawnioną i niewskazującą na winę metodę oznaczania podejrzanych ataków typu „phishing”.
- Monitorowanie punktów końcowych – które pozwala na uzyskiwanie lepszej widoczności. Ważne jest zrozumienie, w jaki sposób złośliwe oprogramowanie staje się aktywne w sieci i wiedza o tym, które dane są narażone na ataki.
******
[1]Badanie zostało oparte o dane pochodzące z firmy Weebroot – partnera F5 ds. analizy zagrożeń, a także własnych globalnych centrów operacji bezpieczeństwa. Pełna treść raportu dostępna pod linkiem: F5 Labs 2019 Phishing and Fraud Report
[2] W oparciu o dane z I F5 Labs 2019 Application Protection Report
[3] Atak „w godzinie zero” – w dniu wykrycia słabości w zabezpieczeniach
[4] Więcej informacji o metodach zbierania adresów w raporcie: F5 Labs 2018 Phishing and Fraud Report
[5] Najbardziej dominującymi hostami były 4cn.org (2,7%), airproxyunblocked.org (2,4%), 16u0.com (1,0%) i prizeforyouhere.com (1,0%).
[6] Inne często narażone domeny to 000webhostapp.com, ebaraersc.net i .info. Najczęściej występującymi wzorcami w badanych adresach phishingowych były .htm 19,4%), .php (7,4%), login (3,0%) i admin (1,2%).