Какво е фишинг?
Фишингът е вид атака срещу киберсигурността при които злонамерените участници се маскират като доверено лице, уебсайт или друг субект и взаимодействат директно с жертвата чрез съобщения. Лошите участници използват тези съобщения, за да получат чувствителна информация или да разположат зловреден софтуер в инфраструктурата на жертвата.
В една организация, след като фишинг атаката е успешна и един от служителите е успешен компрометирана, за нападателя е по-лесно да заобиколи периметрите за сигурност на организацията, да разпространи зловреден софтуер в затворена среда или да получи привилегирован достъп до защитени фирмени данни. Това е така, защото нападателят сега изглежда като доверен и легитимен организационен субект с привилегии за достъп.
Фишингът е във възход
Фишингът принадлежи на категория Социално инженерство, т.е. злонамерени дейности, извършвани чрез човешки взаимодействия. За съжаление, тези видове атаки са много популярни и са важен вектор на атака в киберпрестъпността. изследване проведено от Центъра за жалби за интернет престъпления (IC3) на ФБР установи, че фишингът е една от най-разпространените заплахи в САЩ през 2020 г. Освен това, според скорошни изследвания от IRONSCALES, 81% от организациите по света са изпитали увеличение на фишинг атаките по имейл между март 2020 г. и септември 2021 г.
Това увеличение може да е резултат от промените в начина на работа, въведени и ускорени от COVID-19. Тези промени включват отдалечена работа, увеличаване на броя на устройствата, които работниците използват (включително мобилни телефони и лаптопи), по-голяма зависимост от SaaS приложения, браузърът се превръща в основен работен инструмент и офис сътрудничеството се пренасочва към цифрова комуникация чрез имейл, Microsoft Teams, Slack и т.н.
Нападателите бързо се адаптираха. Броят на фишинг имейлите нарасна със зашеметяващите 667%, според Barracuda Networks, тъй като нападателите без да губят време се възползват от новите обстоятелства на работа от вкъщи и засиленото им цифрово присъствие. на Microsoft Новото бъдеще на работата докладва показва подобни резултати, заявявайки, че 62% от специалистите по сигурността казват, че фишинг кампаниите са били най-нарасналата заплаха по време на COVID-19.
Изглежда, че броят на фишинг атаките продължава да расте днес, въпреки че пандемията относително отстъпи. Според доклад на Interisle Consulting Group, броят на фишинг атаките е нараснал с 61% между май 2021 г. и май 2022 г. Освен това фишингът расте стабилно дори преди пандемията. Както можете да видите, в тази диаграма от [виж графиката по-горе], броят на фишинг сайтовете се е увеличил през годините в сравнение с броя на сайтовете със зловреден софтуер, който намалява от 2017 г. насам.
Тези открития не са изненадващи, тъй като фишингът продължава да води до резултати за нападателите. Според Доклад за разследване на изтичане на данни за 2022 г. от Verizon, 2.9% от служителите кликват върху фишинг имейли, констатация, която смятат за стабилна във времето. Вярваме, че това се дължи на естествената човешка черта да прави грешки, но също и на повишената сложност на фишинг атаките, които са в състояние да се представят за легитимни потребители и уебсайтове по изключително убедителни начини. С развитието на киберсигурността методите за атака също станаха по-умни.
Смразяващото въздействие на фишинга
За индивида успешната фишинг атака може да доведе до неоторизирани покупки, кражба на средства, кражба на самоличност и загуба на лични данни. За организации фишинг атаките могат да бъдат насочени към отделно лице като начин за проникване в организациите. Веднъж пробити, организациите са драматично засегнати.
Докладът на IBM за разходите за нарушаване на данните за 2021 г. установи, че фишингът е вторият най-скъп вектор за атака, с който трябва да се борим, струвайки на организациите средно 4.65 милиона долара. Компаниите, засегнати от злонамерени атаки, ще трябва да компенсират множество клиенти и рискуват да загубят доверието на инвеститорите и общественото доверие в техния продукт, който има реална финансова стойност. Например, след компрометирането на потребителските данни на Facebook през 2018 г., общата стойност на Facebook спадна с 36 милиарда долара, загуба, от която компанията все още се възстановява.
Финансовата загуба не е единственото отрицателно въздействие, което трябва да се вземе под внимание. Успешните атаки водят до загуба на данни, прекъсване на критични операции и изтичане на лични данни. Това от своя страна може да доведе до допълнително финансово бреме от компенсиране на клиенти или плащане на регулаторни глоби за компрометиране на лични данни, което нарушава разпоредбите за поверителност като GDPR, както и правни последици и последици за репутацията на марката.
Фишинг атаките избягват наследените механизми за сигурност
Тъй като броят на фишинг атаките се увеличава, изглежда има нарастване на сложността и интелигентността на фишинг атаките. Днес става все по-трудно да сте една крачка пред нападателите, тъй като те използват гениални и често много измамни фишинг техники в своите кампании.
Един изявен пример са кампаниите за фишинг, които лесно заобикалят софтуера за защита на електронната поща на работното място. Например имейл измама, представяща се за Facebook, успя да заобиколи Cisco Email Security Appliance и Exchange Online Protection на Microsoft. Имейлът дори получи ниво на сигурност за нежелана поща (SCL) 1, което означава, че успя да пропусне спам филтрите на Microsoft.
Доклад от Зона 1 Сигурност анализира 1.5 милиарда съобщения, изпратени до организации за период от шест месеца, и установи, че Office 365 и други добре познати SEG от Cisco, Proofpoint и Mimecast са пропуснали над 925,000 XNUMX фишинг имейла.
Комплектите за фишинг, използвани от организации, често включват традиционни механизми за укриване. Въпреки това, тези решения за киберсигурност от старата школа не успяват да разпознаят различни видове укриване и не могат да блокират фишинг атаки, както се вижда в примерите по-горе.
Ето някои примери за механизми, които нападателите са успели да разположат, за да преодолеят параметрите на сигурността:
MFA Bypass
Многофакторното удостоверяване (MFA) е метод за удостоверяване, който изисква от потребителя да предостави два или повече фактора за проверка, за да получи достъп до ресурс. Например, потребителят ще трябва да предостави своето потребителско име и парола, а след това и ПИН код, който ще бъде изпратен на телефона на потребителя. Основното предимство на MFA е, че ще подобри сигурността на вашата организация, като изисква вашите потребители да се идентифицират с повече от потребителско име и парола.
MFA обаче не е бронирано решение за предотвратяване на фишинг атаки. Microsoft наскоро разкри широко разпространена фишинг кампания, която заобикаля многофакторното удостоверяване (MFA). Първоначалната атака отвлече процеса на удостоверяване на Office 365, пренасочвайки потребителите към целеви страници за фишинг на противник по средата (AiTM), насочени към кражба на сесийни бисквитки и идентификационни данни. След това нападателите са отвлекли сесията за влизане на потребителя и са пропуснали процеса на удостоверяване, дори ако потребителят е активирал MFA.
След това нападателите са използвали откраднатите идентификационни данни и сесийни бисквитки, за да получат достъп до пощенските кутии на засегнатите потребители и да извършат последващи кампании за компрометиране на бизнес имейл (BEC) срещу други цели, както е описано подробно от Microsoft Threat Intelligence Center (MSTIC)
Избягване на пясъчник
Пясъчникът е защитен механизъм за разделяне на работещи програми и се реализира чрез изпълнение на софтуер или стартиране на уеб страница в среда с ограничена операционна система. Sandboxing предпазва от потенциално злонамерени програми или опасен код, като изолира процеса от останалата среда на организацията. По този начин, ако бъде открита заплаха, тя не засяга устройството на потребителя.
Въпреки това са наблюдавани нови фишинг атаки за избягване на този защитен механизъм. За тази цел те използват „Sleepers“ – вътрешни механизми за спиране, които пясъчната среда не може да наблюдава, гарантирайки, че злонамереният полезен товар ще предприеме действия само когато е изправен пред реални крайни потребители. Това означава, че нападателите могат да разпознаят кога са осъществили достъп до реална работна станция в инфраструктурата на компанията, а не пясъчник. Ако има пясъчна среда, обикновено ще се покаже грешка на фишинг уеб страницата и атаката няма да започне. В резултат на това доставчиците на стандартна сигурност няма да класифицират фишинг уебсайта като злонамерен поради укриването и сайтът ще продължи да работи незабелязано.
Ограничение по информация за устройството
Друга техника за избягване на фишинг атаките е анализирането на информацията за устройството, за да се изкоренят доставчици на сигурност, които се опитват да се маскират като потребители. Подобно на укриването на sandbox, нападателите целят да активират фишинг схемата само когато истински потребител посети уеб страницата.
За да направят това, участниците в заплахата са разработили способността да идентифицират човешки цели въз основа на различни източници на данни: данни от браузъра, операционната система и начина, по който съдържанието на уеб страницата трябва да се показва на екрана на потребителя. С тази информация комплектът за фишинг може да реши дали устройството се използва от човек (като лаптоп или телефон) или е пясъчна кутия или защитен механизъм, маскиран като потребител.
Тази информация помага на фишинг сайтовете да класифицират потребителите въз основа на техния размер на екрана или прозорец за изглед. Чрез достъп до данните на посетителя относно височината и ширината на прозореца на технологията на посетителя, заплахата знае какъв тип устройство използва целта и може да реши дали да атакува или да избегне.
Това са само няколко примера за непрекъснато развиваща се среда на заплахи, тъй като нападателите намират нови начини всеки ден да заобикалят конвенционалните защити за киберсигурност. Това е силно обезпокоително и изисква нов подход към предизвикателствата на сигурността на браузъра.
Конвенционалните решения не успяват
Както видяхме, фишинг кампаниите са разработили механизми за откриване на конвенционални типове анти-фишинг софтуер, било то пясъчник, имейл скенер или многофакторно удостоверяване. След като бъдат открити от кампаниите, нападателите ще разположат различен тип атака и има малък шанс антифишингът да бъде ефективен при блокиране или забелязване на злонамерена уеб страница
Нов подход, базиран на браузър
Рязкото нарастване на ролята на браузъра в съвременното предприятие изисква решения, които предпазват от кибератаки, преобладаващи в браузъра. Фишингът се очертава като водеща заплаха, както по популярност, така и по сериозност, на кибератаките, пренасяни от браузъра. Освен това, конвенционалния антифишинг софтуер пропуска много фишинг кампании и ги оставя да останат незабелязани, оставяйки служителите и организацията уязвими.
Вярваме, че подходящото решение на тези проблеми трябва да бъде базирано на браузър. LayerX Security предлага нов подход за защита срещу фишинг.
Платформата за браузър LayerX включва разширение за браузър, което следи сесиите на браузъра на приложния слой, като получава директна видимост на всички събития при сърфиране на техния етап след декриптиране, което му позволява да анализира и налага защитни действия в реално време без забавяне или въздействие върху потребителското изживяване . LayerX може безпроблемно да модифицира изобразената уеб страница, за да надхвърли грубия блокиран/разрешаващ достъп, за да достави детайлно прилагане, което неутрализира злонамерените аспекти на уеб страницата, вместо да блокира напълно достъпа до нея. Това е от решаващо значение в случаите, когато нападателите монтират атаката си върху по същество легитимна страница, като например при преминаване през DOM структурата на страница на банково приложение. LayerX осигурява най-високо ниво на сигурност, без да влошава изживяването на потребителя при сърфиране.
