Co to jest phishing?
Phishing to rodzaj ataku cyberbezpieczeństwa w której złośliwi aktorzy podszywają się pod zaufaną osobę, stronę internetową lub inny podmiot i wchodzą w bezpośrednią interakcję z ofiarą za pośrednictwem wiadomości. Źli aktorzy wykorzystują te wiadomości do uzyskania poufnych informacji lub zainstalowania złośliwego oprogramowania w infrastrukturze ofiary.
W organizacji, gdy atak phishingowy zakończy się sukcesem i uda się jednemu z pracowników zagrożonyatakującemu łatwiej jest ominąć bariery bezpieczeństwa organizacji, rozpowszechniać złośliwe oprogramowanie w zamkniętym środowisku lub uzyskać uprzywilejowany dostęp do zabezpieczonych danych firmowych. Dzieje się tak, ponieważ osoba atakująca wygląda teraz jak zaufana i legalna jednostka organizacyjna z uprawnieniami dostępu.
Phishing staje się coraz popularniejszy
Phishing należy do kategoria Inżynieria społeczna, czyli złośliwe działania dokonywane w wyniku interakcji międzyludzkich. Niestety tego rodzaju ataki są bardzo popularne i stanowią główny wektor ataków w cyberprzestępczości. Badania przeprowadzone przez Internet Crime Complaint Center (IC3) FBI wykazało, że phishing był jednym z najpowszechniejszych zagrożeń w USA w 2020 r. Ponadto według najnowsze badania przeprowadzone przez IRONSCALES81% organizacji na całym świecie odnotowało wzrost liczby ataków phishingowych za pośrednictwem poczty e-mail w okresie od marca 2020 r. do września 2021 r.
Wzrost ten może wynikać ze zmian w stylu pracy wprowadzonych i przyspieszonych przez Covid-19. Zmiany te obejmują zdalnej, wzrost liczby urządzeń, z których korzystają pracownicy (m.in. telefonów komórkowych i laptopów), większa zależność od aplikacji SaaS, przeglądarka staje się podstawowym narzędziem pracy, a współpraca w biurze przenosi się do komunikacji cyfrowej za pośrednictwem poczty elektronicznej, Microsoft Teams, Slacka itp.
Napastnicy szybko się przystosowali. Liczba e-maili phishingowych wzrosła aż o 667%, według Barracuda Networks, ponieważ napastnicy nie tracili czasu, wykorzystując nowe warunki pracy z domu i zwiększoną obecność cyfrową. Microsoft Nowa przyszłość pracy raport pokazuje podobne wyniki, stwierdzając, że 62% specjalistów ds. bezpieczeństwa twierdzi, że kampanie phishingowe były najbardziej zwiększonym zagrożeniem podczas Covid-19.
Wygląda na to, że liczba ataków phishingowych nadal rośnie, mimo że pandemia stosunkowo ustąpiła. Według raport Interisle Consulting Groupmiędzy majem 61 r. a majem 2021 r. liczba ataków phishingowych wzrosła o 2022%. Ponadto jeszcze przed pandemią phishing stale rósł. Jak widać na tym wykresie wg [patrz wykres powyżej], liczba witryn phishingowych wzrosła na przestrzeni lat w porównaniu z liczbą witryn zawierających złośliwe oprogramowanie, która spada od 2017 r.
Odkrycia te nie są zaskakujące, ponieważ phishing w dalszym ciągu przynosi korzyści atakującym. Według Raport z dochodzenia w sprawie naruszeń danych z 2022 r. przeprowadzony przez firmę Verizon, 2.9% pracowników klika wiadomości e-mail phishingowe, a ich wynik utrzymuje się na przestrzeni czasu. Uważamy, że wynika to z naturalnej ludzkiej cechy popełniania błędów, ale także ze zwiększonego wyrafinowania ataków phishingowych, które w bardzo przekonujący sposób potrafią podszywać się pod legalnych użytkowników i strony internetowe. Wraz z ewolucją bezpieczeństwa cybernetycznego metody ataków stały się również mądrzejsze.
Mrożący krew w żyłach wpływ phishingu
Dla danej osoby udany atak phishingowy może skutkować nieautoryzowanymi zakupami, kradzieżą środków, kradzieżą tożsamości i utratą danych osobowych. W przypadku organizacji ataki phishingowe mogą być ukierunkowane na konkretną osobę, aby zyskać dostęp do organizacji. Jeśli dojdzie do naruszenia, organizacje odczuwają dramatyczne skutki.
W raporcie IBM dotyczącym kosztów naruszeń danych za rok 2021 stwierdzono, że phishing jest drugim najkosztowniejszym wektorem ataków, z którym muszą się zmierzyć firmy, które kosztują organizacje średnio $ 4.65 mln. Firmy dotknięte złośliwymi atakami będą musiały zrekompensować wielu klientom, co wiąże się z ryzykiem utraty zaufania inwestorów i opinii publicznej do swojego produktu, który ma rzeczywistą wartość finansową. Na przykład po ujawnieniu danych użytkowników Facebooka w 2018 r. łączna wartość Facebooka spadła o 36 miliardów dolarów, a firma wciąż odrabia straty.
Straty finansowe nie są jedynym negatywnym skutkiem, który należy wziąć pod uwagę. Skuteczne ataki prowadzą do utraty danych, zakłócenia krytycznych operacji i wycieku danych osobowych. To z kolei może prowadzić do dalszych obciążeń finansowych w postaci odszkodowań dla klientów lub płacenia kar finansowych za naruszenie danych osobowych, które narusza przepisy dotyczące prywatności, takie jak RODO, a także konsekwencje prawne i reputację marki.
Ataki phishingowe obchodzą starsze mechanizmy bezpieczeństwa
Wydaje się, że wraz ze wzrostem liczby ataków phishingowych wzrasta ich wyrafinowanie i sprytność. Obecnie coraz trudniej jest pozostać o krok przed atakującymi, ponieważ wykorzystują oni w swoich kampaniach pomysłowe i często bardzo zwodnicze techniki phishingu.
Jednym z charakterystycznych przykładów są kampanie typu spear phishing, które z łatwością omijają oprogramowanie zabezpieczające pocztę e-mail w miejscu pracy. Na przykład oszustwo e-mail podszywające się pod Facebooka zdołało ominąć urządzenie Cisco Email Security Appliance i usługę Exchange Online Protection firmy Microsoft. E-mailowi przyznano nawet poziom zaufania spamu (SCL) 1, co oznacza, że udało mu się ominąć filtry spamu firmy Microsoft.
Raport Area 1 Security przeanalizował 1.5 miliarda wiadomości wysłanych do organizacji w ciągu sześciu miesięcy i odkrył, że Office 365 i inne znane SEG firm Cisco, Proofpoint i Mimecast nie przechwyciły ponad 925,000 XNUMX wiadomości phishingowych.
Zestawy phishingowe stosowane przez organizacje często zawierają tradycyjne mechanizmy unikania ataków. Jednak te przestarzałe rozwiązania w zakresie cyberbezpieczeństwa nie rozpoznają różnych rodzajów obejścia zabezpieczeń i nie są w stanie blokować ataków phishingowych, jak widać w powyższych przykładach.
Oto kilka przykładów mechanizmów, które atakujący mogli zastosować w celu obejścia parametrów bezpieczeństwa:
Obejście MSZ
Uwierzytelnianie wieloskładnikowe (MFA) to metoda uwierzytelniania wymagająca od użytkownika podania co najmniej dwóch czynników weryfikacyjnych w celu uzyskania dostępu do zasobu. Na przykład użytkownik będzie musiał podać swoją nazwę użytkownika i hasło, a następnie kod PIN, który zostanie wysłany na telefon użytkownika. Główną zaletą usługi MFA jest zwiększenie bezpieczeństwa Twojej organizacji, wymagając od użytkowników identyfikowania się za pomocą czegoś więcej niż tylko nazwy użytkownika i hasła.
Jednak usługa MFA nie jest kuloodpornym rozwiązaniem zapobiegającym atakom typu phishing. Microsoft odkrył niedawno szeroko zakrojoną kampanię phishingową omijającą uwierzytelnianie wieloskładnikowe (MFA). Początkowy atak przejął proces uwierzytelniania Office 365, przekierowując użytkowników na strony docelowe phishingowe typu adversary-in-the-middle (AiTM), których celem jest kradzież sesyjnych plików cookie i danych uwierzytelniających. Następnie osoby atakujące przejęły sesję logowania użytkownika i pominęły proces uwierzytelniania, nawet jeśli użytkownik włączył usługę MFA.
Następnie osoby atakujące wykorzystały skradzione dane uwierzytelniające i pliki cookie sesji, aby uzyskać dostęp do skrzynek pocztowych użytkowników, których to dotyczy, i przeprowadzić kolejne kampanie biznesowej poczty e-mail (BEC) przeciwko innym celom, zgodnie ze szczegółami Centrum analizy zagrożeń firmy Microsoft (MSTIC)
Unikanie piaskownicy
Piaskownica to mechanizm bezpieczeństwa służący do oddzielania uruchomionych programów, realizowany poprzez uruchamianie oprogramowania lub uruchamianie strony internetowej w ograniczonym środowisku systemu operacyjnego. Sandboxing chroni przed potencjalnie złośliwymi programami lub niebezpiecznym kodem, izolując proces od reszty środowiska organizacji. Dzięki temu wykryte zagrożenie nie będzie miało wpływu na urządzenie użytkownika.
Zaobserwowano jednak nowe ataki phishingowe mające na celu ominięcie tego mechanizmu bezpieczeństwa. W tym celu wykorzystują „uśpienia” – wewnętrzne mechanizmy opóźniające, których nie da się zaobserwować w piaskownicy, zapewniające, że szkodliwy ładunek podejmie działanie tylko w obliczu prawdziwych użytkowników końcowych. Oznacza to, że atakujący mogą rozpoznać, kiedy uzyskali dostęp do prawdziwej stacji roboczej w infrastrukturze firmy, a nie do piaskownicy. Jeśli istnieje piaskownica, zazwyczaj na stronie phishingowej pojawi się błąd, a atak nie rozpocznie się. W rezultacie standardowi dostawcy zabezpieczeń nie będą klasyfikować witryny phishingowej jako złośliwej w wyniku obejścia, a witryna będzie nadal działać niezauważona.
Ograniczenia ze względu na informacje o urządzeniu
Inną techniką unikania ataków phishingowych jest analizowanie informacji o urządzeniu w celu wykorzenienia dostawców zabezpieczeń, którzy próbują podszywać się pod użytkowników. Podobnie jak w przypadku uchylania się od piaskownicy, celem atakujących jest aktywowanie schematu phishingowego tylko wtedy, gdy stronę internetową odwiedzi prawdziwy użytkownik.
W tym celu cyberprzestępcy rozwinęli zdolność identyfikowania ludzkich celów na podstawie różnych źródeł danych: danych z przeglądarki, systemu operacyjnego oraz sposobu wyświetlania zawartości strony internetowej na ekranie użytkownika. Dzięki tym informacjom zestaw phishingowy może zdecydować, czy z urządzenia korzysta dana osoba (np. laptop lub telefon), czy też jest to piaskownica lub mechanizm bezpieczeństwa udający użytkownika.
Informacje te pomagają witrynom phishingowym klasyfikować użytkowników na podstawie rozmiaru ekranu lub widocznego obszaru. Uzyskując dostęp do danych odwiedzających dotyczących wysokości okna i szerokości technologii odwiedzającego, podmiot zagrażający wie, jakiego typu urządzenia używa cel i może zdecydować, czy zaatakować, czy uniknąć.
To tylko kilka przykładów stale ewoluującego krajobrazu zagrożeń, ponieważ atakujący codziennie znajdują nowe sposoby na ominięcie konwencjonalnych zabezpieczeń cybernetycznych. Jest to bardzo niepokojące i wymaga nowatorskiego podejścia do wyzwań związanych z bezpieczeństwem przeglądarek.
Konwencjonalne rozwiązania są niewystarczające
Jak widzieliśmy, w kampaniach phishingowych rozwinęły się mechanizmy wykrywania konwencjonalnych typów oprogramowania antyphishingowego, czy to piaskownicy, skanera poczty e-mail czy uwierzytelniania wieloskładnikowego. Po wykryciu przez kampanie napastnicy przeprowadzą inny rodzaj ataku i istnieje małe prawdopodobieństwo, że moduł antyphishingowy będzie skuteczny w blokowaniu lub wykrywaniu złośliwej strony internetowej
Nowatorskie podejście oparte na przeglądarce
Gwałtowny wzrost roli przeglądarki we współczesnym przedsiębiorstwie wymaga rozwiązań chroniących przed cyberatakami panującymi w przeglądarce. Phishing staje się głównym zagrożeniem – pod względem popularności i nasilenia – cyberataków przenoszonych przez przeglądarkę. Ponadto, Konwencjonalne oprogramowanie antyphishingowe pomija wiele kampanii phishingowych i pozwala im pozostać niezauważonymi, narażając pracowników i organizację na niebezpieczeństwo.
Uważamy, że właściwym rozwiązaniem tych problemów powinna być przeglądarka. LayerX Security oferuje nowatorskie podejście do ochrony przed phishingiem.
Platforma przeglądarki LayerX zawiera rozszerzenie przeglądarki, które monitoruje sesje przeglądarki w warstwie aplikacji, uzyskując bezpośredni wgląd we wszystkie zdarzenia przeglądania na etapie po odszyfrowaniu, umożliwiając analizowanie i egzekwowanie działań ochronnych w czasie rzeczywistym bez opóźnień i wpływu na wygodę użytkownika . LayerX może bezproblemowo modyfikować renderowaną stronę internetową, aby wykraczać poza proste blokowanie\umożliwiać dostęp, aby zapewnić szczegółowe egzekwowanie, które neutralizuje złośliwe aspekty strony internetowej, zamiast całkowicie blokować do niej dostęp. Ma to kluczowe znaczenie w przypadkach, gdy napastnicy przeprowadzają atak na zasadniczo legalną stronę, na przykład podczas przeglądania struktury DOM strony aplikacji bankowej. LayerX zapewnia najwyższy poziom bezpieczeństwa, nie pogarszając komfortu przeglądania użytkownika.
