Uspon phishinga i kako zaštititi svoju organizaciju od naprednih napada

Što je krađa identiteta?

Phishing je vrsta kibersigurnosnog napada u kojem se zlonamjerni akteri prerušavaju u osobu od povjerenja, web stranicu ili drugi entitet i izravno komuniciraju sa žrtvom putem poruka. Loši akteri koriste se ovim porukama za dobivanje osjetljivih informacija ili postavljanje zlonamjernog softvera na infrastrukturu žrtve.

U organizaciji, nakon što je phishing napad uspješan i jedan od zaposlenika je ugrožena, napadaču je lakše zaobići sigurnosne perimetre organizacije, distribuirati zlonamjerni softver unutar zatvorenog okruženja ili dobiti privilegirani pristup zaštićenim podacima tvrtke. To je zato što se napadač sada pojavljuje kao pouzdana i legitimna organizacijska cjelina s privilegijama pristupa.

Phishing je u porastu

Phishing pripada kategorija socijalnog inženjeringa, tj. zlonamjerne aktivnosti koje se ostvaruju kroz ljudske interakcije. Nažalost, ove vrste napada vrlo su popularne i istaknuti su vektor napada u kibernetičkom kriminalu. Istraživanje koje je proveo FBI-jev Centar za žalbe na internetski kriminal (IC3) utvrdio je da je phishing jedna od najraširenijih prijetnji u SAD-u 2020. Nadalje, prema nedavno istraživanje IRONSCALES-a, 81% organizacija diljem svijeta doživjelo je porast phishing napada putem e-pošte između ožujka 2020. i rujna 2021.

Ovo povećanje moglo bi biti rezultat promjena u stilu rada koje je uveo i ubrzao COVID-19. Ove promjene uključuju daljinski rad, povećanje broja uređaja koje radnici koriste (uključujući mobilne telefone i prijenosna računala), veće oslanjanje na SaaS aplikacije, preglednik koji postaje primarni radni alat, a uredska suradnja prebačena na digitalnu komunikaciju putem e-pošte, Microsoft Teams, Slack itd.

Napadači su se brzo prilagodili. Broj phishing e-poruka porastao je za nevjerojatnih 667%, prema Barracuda Networks, budući da su napadači bez gubljenja vremena iskoristili nove okolnosti rada od kuće i njihovu povećanu digitalnu prisutnost. Microsoft Nova budućnost rada prijaviti pokazuje slične rezultate, navodeći da 62% sigurnosnih stručnjaka kaže da su phishing kampanje bile najveća prijetnja tijekom COVID-19.

Čini se da broj phishing napada i danas raste, iako se pandemija relativno povukla. Prema izvješće Interisle Consulting Group, broj phishing napada porastao je za 61% između svibnja 2021. i svibnja 2022. Osim toga, phishing je postojano rastao i prije pandemije. Kao što vidite, u ovom grafikonu po [vidi grafikon iznad], broj stranica za krađu identiteta povećao se tijekom godina u usporedbi s brojem stranica sa zlonamjernim softverom koji se smanjuje od 2017.

Ova otkrića nisu iznenađujuća jer krađa identiteta napadačima nastavlja donositi rezultate. Prema Izvješće Verizona o istrazi povrede podataka za 2022, 2.9% zaposlenika klika na phishing e-poštu, što smatraju postojanim tijekom vremena. Vjerujemo da je to zbog prirodne ljudske osobine da griješi, ali i zbog povećane sofisticiranosti phishing napada, koji mogu oponašati legitimne korisnike i web stranice na vrlo uvjerljive načine. Kako se cyber sigurnost razvijala, tako su i metode napada postale pametnije.

Zastrašujući učinak krađe identiteta

Za pojedinca, uspješan phishing napad može rezultirati neovlaštenim kupnjama, krađom sredstava, krađom identiteta i gubitkom osobnih podataka. Za organizacije, phishing napadi mogu ciljati pojedinca kao način da se uđe u organizaciju. Jednom probijene, organizacije su dramatično pogođene. 

IBM-ovo izvješće o troškovima povrede podataka za 2021. pokazalo je da je krađa identiteta drugi najskuplji vektor napada s kojim se može boriti, a organizacije košta u prosjeku $ 4.65 milijuna. Tvrtke pogođene zlonamjernim napadima morat će kompenzirati više kupaca i riskiraju gubitak povjerenja investitora i općeg povjerenja javnosti u njihov proizvod, koji ima stvarnu financijsku vrijednost. Na primjer, nakon kompromitacije podataka korisnika Facebooka 2018., ukupna vrijednost Facebooka pala je za 36 milijardi dolara, što je gubitak od kojeg se tvrtka još uvijek oporavlja.

Financijski gubitak nije jedini negativni učinak koji treba uzeti u obzir. Uspješni napadi dovode do gubitka podataka, prekida kritičnih operacija i curenja osobnih podataka. To bi zauzvrat moglo dovesti do daljnjeg financijskog opterećenja kompenzacija kupcima ili plaćanja regulatornih kazni za kompromitiranje osobnih podataka koji krše propise o privatnosti poput GDPR-a, kao i pravne implikacije i implikacije na ugled robne marke.

Phishing napadi izbjegavaju naslijeđene sigurnosne mehanizme

Kako se pojava phishing napada širi, čini se da raste sofisticiranost i spretnost phishing napada. Danas postaje sve teže ostati korak ispred napadača jer u svojim kampanjama koriste domišljate i često vrlo varljive tehnike krađe identiteta.

Jedan istaknuti primjer su spear phishing kampanje koje lako zaobilaze sigurnosni softver za e-poštu na radnom mjestu. Na primjer, prijevara e-poštom koja se predstavlja kao Facebook uspjela je zaobići Cisco Email Security Appliance i Microsoftovu Exchange Online Protection. E-pošta je čak dobila razinu pouzdanosti neželjene pošte (SCL) 1, što znači da je uspjela preskočiti Microsoftove filtere neželjene pošte. 

Izvješće Area 1 Security analizirao je 1.5 milijardi poruka poslanih organizacijama u razdoblju od šest mjeseci i otkrio da su Office 365 i drugi poznati SEG-ovi Cisca, Proofpointa i Mimecasta propustili više od 925,000 phishing e-poruka. 

Kompleti za krađu identiteta koje koriste organizacije često uključuju tradicionalne mehanizme izbjegavanja. Međutim, ova stara rješenja kibernetičke sigurnosti ne prepoznaju različite vrste utaje i ne mogu blokirati phishing napade, kao što se vidi u gornjim primjerima.

Evo nekoliko primjera mehanizama koje su napadači mogli primijeniti kako bi nadvladali sigurnosne parametre:

MFA obilaznica

Višefaktorska provjera autentičnosti (MFA) metoda je provjere autentičnosti koja od korisnika zahtijeva da pruži dva ili više faktora provjere kako bi dobio pristup resursu. Na primjer, korisnik će morati unijeti svoje korisničko ime i lozinku, zatim i pin kod koji će biti poslan na telefon korisnika. Glavna prednost MFA je da će poboljšati sigurnost vaše organizacije zahtijevajući od vaših korisnika da se identificiraju više od korisničkog imena i lozinke. 

Međutim, MFA nije neprobojno rješenje za sprječavanje phishing napada. microsoft je nedavno otkrio raširenu phishing kampanju koja zaobilazi višefaktorsku autentifikaciju (MFA). Početni napad preoteo je Office 365 proces provjere autentičnosti, preusmjeravajući korisnike na odredišne ​​stranice za krađu identiteta protivnika u sredini (AiTM) s ciljem krađe kolačića sesije i vjerodajnica. Zatim su napadači oteli korisnikovu sesiju prijave i preskočili proces autentifikacije čak i ako je korisnik omogućio MFA.

Napadači su potom upotrijebili ukradene vjerodajnice i kolačiće sesije za pristup poštanskim sandučićima zahvaćenih korisnika i izvođenje naknadnih kampanja kompromitacije poslovne e-pošte (BEC) protiv drugih meta, kako je detaljno opisao Microsoft Threat Intelligence Center (MSTIC).

Izbjegavanje sandboxa

Sandbox je sigurnosni mehanizam za odvajanje pokrenutih programa, a implementira se pokretanjem softvera ili pokretanjem web stranice u ograničenom okruženju operativnog sustava. Sandboxing štiti od potencijalno zlonamjernih programa ili nesigurnog koda izoliranjem procesa od ostatka okruženja organizacije. Na taj način, ako se otkrije prijetnja, ona ne utječe na uređaj korisnika. 

Međutim, uočeno je da novi phishing napadi izbjegavaju ovaj sigurnosni mehanizam. U tu svrhu koriste "spavače" - interne mehanizme zaustavljanja koje sandbox ne može primijetiti, osiguravajući da će zlonamjerni korisni teret poduzeti akciju samo kada se suoči sa stvarnim krajnjim korisnicima. To znači da napadači mogu prepoznati kada su pristupili stvarnoj radnoj stanici na infrastrukturi tvrtke, a ne sandboxu. Ako postoji sandbox, obično će se prikazati pogreška na phishing web stranici i napad neće započeti. Kao rezultat toga, dobavljači standardne sigurnosti neće klasificirati web-mjesto za krađu identiteta kao zlonamjerno zbog izbjegavanja, a web-mjesto će nastaviti raditi neprimjetno. 

Ograničenje informacijama o uređaju

Još jedna tehnika izbjegavanja kojom se koriste phishing napadi je analiza informacija o uređaju kako bi se iskorijenili dobavljači sigurnosnih usluga koji se pokušavaju maskirati kao korisnici. Slično izbjegavanju sandboxa, napadači imaju za cilj aktivirati phishing shemu samo kada pravi korisnik posjeti web stranicu.

Kako bi to učinili, akteri prijetnji razvili su sposobnost identificiranja ljudskih meta na temelju različitih izvora podataka: podataka iz preglednika, operativnog sustava i načina na koji bi sadržaj web stranice trebao biti prikazan na korisničkom zaslonu. S tim informacijama, komplet za krađu identiteta može odlučiti koristi li uređaj osoba (kao što je prijenosno računalo ili telefon) ili je to sandbox ili sigurnosni mehanizam prerušen u korisnika.

Ove informacije pomažu stranicama za krađu identiteta da klasificiraju korisnike na temelju njihove veličine zaslona ili prikaza. Pristupom podacima posjetitelja koji se odnose na visinu prozora i širinu tehnologije posjetitelja, akter prijetnje zna koju vrstu uređaja cilj koristi i može odlučiti hoće li napasti ili izbjeći. 

Ovo je samo nekoliko primjera krajolika prijetnji koji se neprestano razvija, dok napadači svaki dan pronalaze nove načine za zaobilaženje konvencionalne zaštite kibernetičke sigurnosti. To je vrlo uznemirujuće i zahtijeva nov pristup izazovima sigurnosti preglednika.

Konvencionalna rješenja ne uspijevaju

Kao što smo vidjeli, phishing kampanje razvile su mehanizme za otkrivanje uobičajenih tipova softvera protiv phishinga, bilo da se radi o sandboxu, skeneru e-pošte ili autentifikaciji s više faktora. Nakon što ih kampanje otkriju, napadači će primijeniti drugu vrstu napada i male su šanse da će antiphishing biti učinkovit u blokiranju ili uočavanju zlonamjerne web stranice

Novi pristup temeljen na pregledniku

Nagli porast uloge preglednika u modernom poduzeću zahtijeva rješenja koja štite od cyber napada koji prevladavaju u pregledniku. Phishing se pojavljuje kao vodeća prijetnja, kako u popularnosti tako iu ozbiljnosti, cyber napadima koji se prenose preglednikom. Nadalje, konvencionalni anti-phishing softver propušta mnoge phishing kampanje i dopušta da prođu nezapaženo, ostavljajući zaposlenike i organizaciju ranjivima. 

Vjerujemo da bi odgovarajuće rješenje za ove probleme trebalo biti temeljeno na pregledniku. LayerX Security nudi novi pristup zaštiti od krađe identiteta.

Platforma preglednika LayerX uključuje proširenje preglednika koje nadzire sesije preglednika na sloju aplikacije, stječući izravnu vidljivost svih događaja pregledavanja u fazi nakon dešifriranja, omogućujući analizu i provođenje zaštitnih radnji u stvarnom vremenu bez kašnjenja ili utjecaja na korisničko iskustvo. . LayerX može neprimjetno modificirati prikazanu web-stranicu kako bi prešao okvir grubog blokiranja/dopuštanja pristupa kako bi isporučio granularnu provedbu koja neutralizira zlonamjerne aspekte web-stranice umjesto da joj potpuno blokira pristup. Ovo je od ključne važnosti u slučajevima kada napadači napadnu u biti legitimnu stranicu, kao što je prelazak DOM strukture stranice bankarske aplikacije. LayerX pruža najvišu razinu sigurnosti bez degradacije korisničkog iskustva pregledavanja.

• Podijeli: