Η άνοδος του phishing και πώς να προστατέψετε τον οργανισμό σας από προηγμένες επιθέσεις

Τι είναι το Phishing;

Το phishing είναι ένας τύπος επίθεσης στον κυβερνοχώρο στην οποία κακόβουλοι ηθοποιοί μεταμφιέζονται σε αξιόπιστο άτομο, ιστότοπο ή άλλη οντότητα και αλληλεπιδρούν απευθείας με το θύμα μέσω μηνυμάτων. Οι κακοί ηθοποιοί χρησιμοποιούν αυτά τα μηνύματα για να αποκτήσουν ευαίσθητες πληροφορίες ή να αναπτύξουν κακόβουλο λογισμικό στην υποδομή του θύματος.

Σε έναν οργανισμό, όταν μια επίθεση phishing είναι επιτυχής και ένας από τους υπαλλήλους είναι επιτυχής συμβιβασμός, είναι ευκολότερο για τον εισβολέα να παρακάμψει τις περιμέτρους ασφάλειας του οργανισμού, να διανείμει κακόβουλο λογισμικό σε κλειστό περιβάλλον ή να αποκτήσει προνομιακή πρόσβαση σε ασφαλή εταιρικά δεδομένα. Αυτό συμβαίνει επειδή ο εισβολέας εμφανίζεται πλέον ως μια αξιόπιστη και νόμιμη οργανωτική οντότητα με δικαιώματα πρόσβασης.

Το ηλεκτρονικό ψάρεμα είναι σε άνοδο

Το phishing ανήκει σε την κατηγορία Κοινωνικών Μηχανικών, δηλαδή κακόβουλες δραστηριότητες που επιτυγχάνονται μέσω ανθρώπινων αλληλεπιδράσεων. Δυστυχώς, αυτού του είδους οι επιθέσεις είναι πολύ δημοφιλείς και αποτελούν σημαντικό φορέα επιθέσεων στο έγκλημα στον κυβερνοχώρο. Έρευνα που διεξήχθη από το Κέντρο Καταγγελιών Εγκλημάτων Διαδικτύου (IC3) του FBI διαπίστωσε ότι το phishing ήταν μια από τις πιο διαδεδομένες απειλές στις ΗΠΑ το 2020. Επιπλέον, σύμφωνα με πρόσφατη έρευνα από το IRONSCALES, το 81% των οργανισμών σε όλο τον κόσμο έχουν βιώσει αύξηση των επιθέσεων ηλεκτρονικού ψαρέματος μεταξύ Μαρτίου 2020 και Σεπτεμβρίου 2021.

Αυτή η αύξηση θα μπορούσε να είναι αποτέλεσμα των αλλαγών στον τρόπο εργασίας που εισήγαγε και επιτάχυνε ο COVID-19. Αυτές οι αλλαγές περιλαμβάνουν απομακρυσμένη εργασία, αύξηση του αριθμού των συσκευών που χρησιμοποιούν οι εργαζόμενοι (συμπεριλαμβανομένων κινητών τηλεφώνων και φορητών υπολογιστών), μεγαλύτερη εξάρτηση από εφαρμογές SaaS, το πρόγραμμα περιήγησης που γίνεται το κύριο εργαλείο εργασίας και η συνεργασία γραφείου μετατοπίζεται στην ψηφιακή επικοινωνία μέσω email, Microsoft Teams, Slack κ.λπ.

Οι επιτιθέμενοι προσαρμόστηκαν γρήγορα. Ο αριθμός των email phishing αυξήθηκε κατά 667%, σύμφωνα με την Barracuda Networks, καθώς οι επιτιθέμενοι δεν έχασαν χρόνο για να εκμεταλλευτούν τις νέες συνθήκες εργασίας από το σπίτι και την αυξημένη ψηφιακή παρουσία τους. Η Microsoft Το Νέο Μέλλον της Εργασίας αναφέρουν δείχνει παρόμοια αποτελέσματα, δηλώνοντας ότι το 62% των επαγγελματιών ασφαλείας λέει ότι οι εκστρατείες ηλεκτρονικού ψαρέματος ήταν η πιο αυξημένη απειλή κατά τη διάρκεια του COVID-19.

Φαίνεται ότι ο αριθμός των επιθέσεων phishing συνεχίζει να αυξάνεται σήμερα, παρόλο που η πανδημία έχει σχετικά υποχωρήσει. Σύμφωνα με έκθεση της Interisle Consulting Group, ο αριθμός των επιθέσεων phishing αυξήθηκε κατά 61% μεταξύ Μαΐου 2021 και Μαΐου 2022. Επιπλέον, το phishing αυξανόταν σταθερά ακόμη και πριν από την πανδημία. Όπως μπορείτε να δείτε, σε αυτό το γράφημα από [βλέπε παραπάνω γράφημα], ο αριθμός των ιστότοπων phishing έχει αυξηθεί με την πάροδο των ετών σε σύγκριση με τον αριθμό των ιστότοπων κακόβουλου λογισμικού, ο οποίος μειώνεται από το 2017.

Αυτά τα ευρήματα δεν προκαλούν έκπληξη, επειδή το phishing συνεχίζει να οδηγεί σε αποτελέσματα για τους εισβολείς. Σύμφωνα με την Αναφορά έρευνας παραβίασης δεδομένων 2022 από τη Verizon, το 2.9% των εργαζομένων κάνουν κλικ σε μηνύματα ηλεκτρονικού "ψαρέματος" (phishing), μια διαπίστωση που θεωρούν ότι είναι σταθερή με την πάροδο του χρόνου. Πιστεύουμε ότι αυτό οφείλεται στο φυσικό χαρακτηριστικό του ανθρώπου να κάνει λάθη, αλλά και στην αυξημένη πολυπλοκότητα των επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing), οι οποίες είναι σε θέση να υποδύονται νόμιμους χρήστες και ιστότοπους με πολύ πειστικούς τρόπους. Καθώς η ασφάλεια στον κυβερνοχώρο έχει εξελιχθεί, οι μέθοδοι επίθεσης έχουν γίνει επίσης πιο έξυπνες.

Ο ανατριχιαστικός αντίκτυπος του phishing

Για το άτομο, μια επιτυχημένη επίθεση phishing μπορεί να οδηγήσει σε μη εξουσιοδοτημένες αγορές, κλοπή χρημάτων, αναγνώριση κλοπής και απώλεια προσωπικών δεδομένων. Για τους οργανισμούς, οι επιθέσεις phishing μπορούν να στοχεύουν ένα άτομο ως τρόπο να αποκτήσουν ερείσματα σε οργανισμούς. Μόλις παραβιαστούν, οι οργανισμοί επηρεάζονται δραματικά. 

Η Έκθεση Κόστος Παραβίασης Δεδομένων 2021 της IBM βρήκε ότι το phishing είναι ο δεύτερος πιο ακριβός φορέας επίθεσης που μπορεί να αντιμετωπιστεί, κοστίζοντας στους οργανισμούς κατά μέσο όρο $ 4.65 εκατομμύρια. Οι εταιρείες που πλήττονται από κακόβουλες επιθέσεις θα πρέπει να αποζημιώσουν πολλούς πελάτες και κινδυνεύουν να χάσουν την εμπιστοσύνη των επενδυτών και την εμπιστοσύνη του κοινού στο προϊόν τους, το οποίο έχει πραγματική οικονομική αξία. Για παράδειγμα, μετά τον συμβιβασμό των δεδομένων χρηστών του Facebook το 2018, η συνολική αξία του Facebook μειώθηκε κατά 36 δισεκατομμύρια δολάρια, μια ζημία από την οποία η εταιρεία εξακολουθεί να ανακάμπτει.

Η οικονομική ζημία δεν είναι η μόνη αρνητική επίπτωση που πρέπει να ληφθεί υπόψη. Οι επιτυχείς επιθέσεις οδηγούν σε απώλεια δεδομένων, διακοπή κρίσιμων λειτουργιών και διαρροή προσωπικών δεδομένων. Αυτά, με τη σειρά τους, θα μπορούσαν να οδηγήσουν σε περαιτέρω οικονομική επιβάρυνση για την αποζημίωση πελατών ή την καταβολή ρυθμιστικών προστίμων για παραβίαση προσωπικών δεδομένων που παραβαίνουν τους κανονισμούς περί απορρήτου όπως ο GDPR, καθώς και νομικές επιπτώσεις και συνέπειες για τη φήμη της επωνυμίας.

Επιθέσεις phishing Αποφεύγουν τους παλαιούχους μηχανισμούς ασφαλείας

Καθώς η εμφάνιση επιθέσεων phishing επεκτείνεται, φαίνεται να αυξάνεται η πολυπλοκότητα και η ευφυΐα των επιθέσεων phishing. Σήμερα, γίνεται όλο και πιο δύσκολο να παραμείνουμε ένα βήμα μπροστά από τους επιτιθέμενους, καθώς χρησιμοποιούν έξυπνες και συχνά εξαιρετικά παραπλανητικές τεχνικές phishing στις καμπάνιες τους.

Ένα χαρακτηριστικό παράδειγμα είναι οι καμπάνιες ψαρέματος με δόρυ που παρακάμπτουν εύκολα το λογισμικό ασφάλειας email στο χώρο εργασίας. Για παράδειγμα, μια απάτη μέσω email που υποδύθηκε το Facebook κατάφερε να παρακάμψει το Cisco Email Security Appliance και το Exchange Online Protection της Microsoft. Το email έλαβε ακόμη και Spam Confidence Level (SCL) 1, που σημαίνει ότι κατάφερε να παρακάμψει τα φίλτρα ανεπιθύμητης αλληλογραφίας της Microsoft. 

Μια αναφορά από την Area 1 Security ανέλυσε 1.5 δισεκατομμύρια μηνύματα που στάλθηκαν σε οργανισμούς σε διάστημα έξι μηνών και διαπίστωσε ότι το Office 365 και άλλα γνωστά SEG από τις Cisco, Proofpoint και Mimecast έχασαν πάνω από 925,000 μηνύματα ηλεκτρονικού ψαρέματος. 

Τα κιτ phishing που χρησιμοποιούνται από οργανισμούς συχνά περιλαμβάνουν παραδοσιακούς μηχανισμούς φοροδιαφυγής. Ωστόσο, αυτές οι παλιές λύσεις ασφάλειας στον κυβερνοχώρο αποτυγχάνουν να αναγνωρίσουν διαφορετικούς τύπους φοροδιαφυγής και δεν μπορούν να αποκλείσουν επιθέσεις ηλεκτρονικού ψαρέματος, όπως φαίνεται στα παραπάνω παραδείγματα.

Ακολουθούν ορισμένα παραδείγματα μηχανισμών που μπόρεσαν να αναπτύξουν οι εισβολείς για να ξεπεράσουν τις παραμέτρους ασφαλείας:

Παράκαμψη MFA

Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι μια μέθοδος ελέγχου ταυτότητας που απαιτεί από τον χρήστη να παρέχει δύο ή περισσότερους παράγοντες επαλήθευσης για να αποκτήσει πρόσβαση σε έναν πόρο. Για παράδειγμα, ένας χρήστης θα πρέπει να παράσχει το όνομα χρήστη και τον κωδικό πρόσβασής του και, στη συνέχεια, έναν κωδικό PIN που θα σταλεί στο τηλέφωνο του χρήστη. Το κύριο πλεονέκτημα του MFA είναι ότι θα ενισχύσει την ασφάλεια του οργανισμού σας απαιτώντας από τους χρήστες σας να προσδιορίζονται με περισσότερα από ένα όνομα χρήστη και κωδικό πρόσβασης. 

Ωστόσο, το MFA δεν είναι μια αλεξίσφαιρη λύση για την πρόληψη επιθέσεων phishing. Microsoft πρόσφατα αποκάλυψε μια εκτεταμένη εκστρατεία ηλεκτρονικού ψαρέματος που παρακάμπτει τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Η αρχική επίθεση παραβίασε τη διαδικασία ελέγχου ταυτότητας του Office 365, ανακατευθύνοντας τους χρήστες σε σελίδες προορισμού phishing αντιπάλου (AiTM) που στοχεύουν στην κλοπή cookie και διαπιστευτηρίων περιόδου λειτουργίας. Στη συνέχεια, οι εισβολείς κατέλαβαν την περίοδο σύνδεσης ενός χρήστη και παρέλειψαν τη διαδικασία ελέγχου ταυτότητας ακόμα κι αν ο χρήστης είχε ενεργοποιήσει το MFA.

Στη συνέχεια, οι εισβολείς χρησιμοποίησαν τα κλεμμένα διαπιστευτήρια και τα cookie περιόδου λειτουργίας για να αποκτήσουν πρόσβαση στα γραμματοκιβώτια των επηρεαζόμενων χρηστών και να πραγματοποιήσουν επακόλουθες εκστρατείες συμβιβασμού για επιχειρηματικά email (BEC) εναντίον άλλων στόχων, όπως περιγράφεται από το Microsoft Threat Intelligence Center (MSTIC).

Sandbox Evasion

Το sandbox είναι ένας μηχανισμός ασφαλείας για τον διαχωρισμό προγραμμάτων που εκτελούνται και υλοποιείται με την εκτέλεση λογισμικού ή την εκτέλεση μιας ιστοσελίδας σε περιβάλλον περιορισμένου λειτουργικού συστήματος. Το Sandboxing προστατεύει από δυνητικά κακόβουλα προγράμματα ή μη ασφαλή κώδικα απομονώνοντας τη διαδικασία από το υπόλοιπο περιβάλλον του οργανισμού. Με αυτόν τον τρόπο, εάν εντοπιστεί μια απειλή, δεν επηρεάζει τη συσκευή του χρήστη. 

Ωστόσο, έχουν παρατηρηθεί νέες επιθέσεις phishing για την αποφυγή αυτού του μηχανισμού ασφαλείας. Για το σκοπό αυτό χρησιμοποιούν "Sleepers" - εσωτερικούς μηχανισμούς ακινητοποίησης που ένα sandbox δεν μπορεί να παρατηρήσει, διασφαλίζοντας ότι το κακόβουλο ωφέλιμο φορτίο θα αναλάβει δράση μόνο όταν αντιμετωπίζει πραγματικούς τελικούς χρήστες. Αυτό σημαίνει ότι οι εισβολείς μπορούν να αναγνωρίσουν πότε έχουν πρόσβαση σε έναν πραγματικό σταθμό εργασίας στην υποδομή της εταιρείας και όχι σε ένα sandbox. Εάν υπάρχει sandbox, συνήθως εμφανίζεται ένα σφάλμα στην ιστοσελίδα phishing και η επίθεση δεν θα ξεκινήσει. Ως αποτέλεσμα, οι τυπικοί προμηθευτές ασφαλείας δεν θα ταξινομήσουν τον ιστότοπο ηλεκτρονικού ψαρέματος ως κακόβουλο, λόγω της φοροδιαφυγής, και ο ιστότοπος θα συνεχίσει να λειτουργεί απαρατήρητος. 

Περιορισμός βάσει πληροφοριών συσκευής

Μια άλλη τεχνική φοροδιαφυγής που αξιοποιεί τις επιθέσεις phishing είναι η ανάλυση πληροφοριών συσκευής για την εξάλειψη των προμηθευτών ασφαλείας που προσπαθούν να μεταμφιεστούν ως χρήστες. Ομοίως με την αποφυγή sandbox, οι επιτιθέμενοι στοχεύουν να ενεργοποιήσουν το σύστημα ψαρέματος μόνο όταν ένας πραγματικός χρήστης επισκέπτεται την ιστοσελίδα.

Για να γίνει αυτό, οι φορείς απειλών έχουν αναπτύξει την ικανότητα να αναγνωρίζουν ανθρώπινους στόχους με βάση διαφορετικές πηγές δεδομένων: δεδομένα από το πρόγραμμα περιήγησης, το λειτουργικό σύστημα και τον τρόπο με τον οποίο το περιεχόμενο της ιστοσελίδας πρέπει να εμφανίζεται στην οθόνη του χρήστη. Με αυτές τις πληροφορίες, το κιτ phishing μπορεί να αποφασίσει εάν η συσκευή χρησιμοποιείται από άτομο (όπως φορητός υπολογιστής ή τηλέφωνο) ή εάν πρόκειται για sandbox ή μηχανισμό ασφαλείας μεταμφιεσμένο ως χρήστη.

Αυτές οι πληροφορίες βοηθούν τους ιστότοπους ηλεκτρονικού ψαρέματος να ταξινομούν τους χρήστες με βάση το μέγεθος της οθόνης ή τη θύρα προβολής τους. Με την πρόσβαση σε δεδομένα επισκεπτών σχετικά με το ύψος και το πλάτος του παραθύρου της τεχνολογίας του επισκέπτη, ο παράγοντας απειλής γνωρίζει τον τύπο συσκευής που χρησιμοποιεί ο στόχος και μπορεί να αποφασίσει εάν θα επιτεθεί ή θα αποφύγει. 

Αυτά είναι μόνο μερικά παραδείγματα ενός συνεχώς εξελισσόμενου τοπίου απειλών, καθώς οι επιτιθέμενοι βρίσκουν καθημερινά νέους τρόπους για να παρακάμψουν τις συμβατικές προστασίες κυβερνοασφάλειας. Αυτό είναι εξαιρετικά ανησυχητικό και απαιτεί μια νέα προσέγγιση στις προκλήσεις της ασφάλειας του προγράμματος περιήγησης.

Οι συμβατικές λύσεις υπολείπονται

Όπως είδαμε, οι καμπάνιες ηλεκτρονικού "ψαρέματος" έχουν αναπτύξει μηχανισμούς για τον εντοπισμό συμβατικών τύπων λογισμικού κατά του "ψαρέματος", είτε πρόκειται για sandbox, είτε για σαρωτή email είτε για έλεγχο ταυτότητας πολλαπλών παραγόντων. Μόλις εντοπιστούν από τις καμπάνιες, οι εισβολείς θα αναπτύξουν έναν διαφορετικό τύπο επίθεσης και υπάρχει μικρή πιθανότητα το anti-phishing να είναι αποτελεσματικό στον αποκλεισμό ή τον εντοπισμό μιας κακόβουλης ιστοσελίδας

Μια νέα προσέγγιση που βασίζεται σε πρόγραμμα περιήγησης

Η απότομη άνοδος του ρόλου του προγράμματος περιήγησης στη σύγχρονη επιχείρηση απαιτεί λύσεις που προστατεύουν από επιθέσεις στον κυβερνοχώρο που επικρατούν στο πρόγραμμα περιήγησης. Το ηλεκτρονικό ψάρεμα (phishing) αναδεικνύεται ως η κορυφαία απειλή, σε δημοτικότητα και σε σοβαρότητα, των επιθέσεων στον κυβερνοχώρο που μεταδίδονται μέσω προγράμματος περιήγησης. Επί πλέον, Το συμβατικό λογισμικό κατά του phishing χάνει πολλές εκστρατείες phishing και τις αφήνει απαρατήρητες, αφήνοντας ευάλωτους τους εργαζόμενους και τον οργανισμό. 

Πιστεύουμε ότι μια κατάλληλη λύση σε αυτά τα προβλήματα θα πρέπει να βασίζεται στο πρόγραμμα περιήγησης. Το LayerX Security προσφέρει μια νέα προσέγγιση για την προστασία από το ηλεκτρονικό ψάρεμα.

Η πλατφόρμα προγράμματος περιήγησης LayerX περιλαμβάνει μια επέκταση προγράμματος περιήγησης που παρακολουθεί τις περιόδους σύνδεσης του προγράμματος περιήγησης στο επίπεδο εφαρμογής, αποκτώντας άμεση ορατότητα σε όλα τα συμβάντα περιήγησης στο στάδιο μετά την αποκρυπτογράφηση, επιτρέποντάς του να αναλύει και να επιβάλλει προστατευτικές ενέργειες σε πραγματικό χρόνο χωρίς καθυστέρηση ή αντίκτυπο στην εμπειρία του χρήστη . Το LayerX μπορεί να τροποποιήσει απρόσκοπτα την αποδοθείσα ιστοσελίδα ώστε να υπερβεί τον ακατέργαστο αποκλεισμό\να επιτρέψει την πρόσβαση για την παροχή λεπτομερούς επιβολής που εξουδετερώνει τις κακόβουλες πτυχές της ιστοσελίδας αντί να αποκλείει εντελώς την πρόσβαση σε αυτήν. Αυτό είναι κρίσιμης σημασίας σε περιπτώσεις όπου οι εισβολείς τοποθετούν την επίθεσή τους σε μια ουσιαστικά νόμιμη σελίδα, όπως όταν διασχίζουν τη δομή DOM μιας σελίδας τραπεζικής εφαρμογής. Το LayerX παρέχει το υψηλότερο επίπεδο ασφάλειας χωρίς να υποβαθμίζει την εμπειρία περιήγησης του χρήστη.

• Μοιραστείτε το: