Kaj je filtriranje?
Lažno predstavljanje je vrsta napada na kibernetsko varnost v katerem se zlonamerni akterji preoblečejo v zaupanja vredno osebo, spletno stran ali drugo entiteto in komunicirajo neposredno z žrtvijo prek sporočil. Zlobni akterji uporabljajo ta sporočila za pridobivanje občutljivih informacij ali nameščanje zlonamerne programske opreme v infrastrukturo žrtve.
V organizaciji, ko je lažni napad uspešen in je eden od zaposlenih uspešen ogroženo, je za napadalca lažje obiti organizacijske varnostne metre, distribuirati zlonamerno programsko opremo v zaprtem okolju ali pridobiti privilegiran dostop do zavarovanih podatkov podjetja. To je zato, ker je napadalec zdaj videti kot zaupanja vreden in legitimen organizacijski subjekt s pravicami dostopa.
Lažno predstavljanje je v porastu
Phishing pripada kategorijo socialni inženiring, tj. zlonamerne dejavnosti, ki se izvajajo prek človeških interakcij. Na žalost so tovrstni napadi zelo priljubljeni in so pomemben vektor napadov v kibernetskem kriminalu. raziskave ki ga je opravil FBI-jev center za pritožbe glede internetnega kriminala (IC3), je bilo ugotovljeno, da je bilo lažno predstavljanje ena najpogostejših groženj v ZDA leta 2020. Poleg tega je glede na nedavna raziskava IRONSCALES81 % organizacij po vsem svetu je med marcem 2020 in septembrom 2021 doživelo porast napadov z lažnim predstavljanjem po e-pošti.
To povečanje bi lahko bilo posledica sprememb delovnega sloga, ki jih je uvedel in pospešil COVID-19. Te spremembe vključujejo delo na daljavo, povečanje števila naprav, ki jih delavci uporabljajo (vključno z mobilnimi telefoni in prenosniki), večja odvisnost od aplikacij SaaS, brskalnik, ki postaja primarno delovno orodje, in pisarniško sodelovanje, ki se preusmerja na digitalno komunikacijo prek e-pošte, Microsoft Teams, Slack itd.
Napadalci so se hitro prilagodili. Število e-poštnih sporočil z lažnim predstavljanjem se je povečalo za osupljivih 667 %, glede na Barracuda Networks, saj so napadalci hitro izkoristili nove okoliščine dela od doma in njihovo povečano digitalno prisotnost. Microsoftova Nova prihodnost dela poročilo kaže podobne rezultate in navaja, da 62 % varnostnih strokovnjakov pravi, da so bile lažno predstavljanje največja grožnja med COVID-19.
Zdi se, da število lažnih napadov še danes narašča, čeprav se je pandemija relativno umirila. Po navedbah poročilo Interisle Consulting Group, je število napadov lažnega predstavljanja med majem 61 in majem 2021 naraslo za 2022 %. Poleg tega je lažno predstavljanje vztrajno naraščalo tudi pred pandemijo. Kot lahko vidite, v tem grafikonu avtor [glej graf zgoraj], število spletnih mest z lažnim predstavljanjem se je z leti povečalo v primerjavi s številom spletnih mest z zlonamerno programsko opremo, ki se od leta 2017 zmanjšuje.
Te ugotovitve niso presenetljive, saj lažno predstavljanje napadalcem še naprej prinaša rezultate. Glede na Verizonovo poročilo o preiskavi kršitve podatkov za leto 20222.9 % zaposlenih klikne e-poštna sporočila z lažnim predstavljanjem, ugotovitev, ki se jim zdi sčasoma nespremenjena. Verjamemo, da je to posledica naravne človeške lastnosti delanja napak, pa tudi povečane sofisticiranosti napadov z lažnim predstavljanjem, ki lahko na zelo prepričljive načine lažno predstavljajo zakonite uporabnike in spletna mesta. Z razvojem kibernetske varnosti so postale tudi metode napadov pametnejše.
Srhljiv učinek lažnega predstavljanja
Za posameznika lahko uspešen phishing napad povzroči nepooblaščene nakupe, krajo sredstev, krajo identitete in izgubo osebnih podatkov. Pri organizacijah lahko napadi z lažnim predstavljanjem ciljajo na posameznika kot način za pridobitev opore v organizacijah. Ko je kršena, so organizacije dramatično prizadete.
IBM-ovo poročilo o stroških kršitve podatkov za leto 2021 je ugotovilo, da je lažno predstavljanje drugi najdražji vektor napadov, s katerim se je treba spopasti, saj organizacije stane v povprečju $ 4.65 milijonov. Podjetja, ki jih bodo prizadeli zlonamerni napadi, bodo morala plačati odškodnino več strankam in tvegajo izgubo zaupanja vlagateljev in splošne javnosti v njihov izdelek, ki ima resnično finančno vrednost. Na primer, po ogrožanju podatkov uporabnikov Facebooka leta 2018 je skupna vrednost Facebooka padla za 36 milijard dolarjev, izguba, ki jo podjetje še vedno okreva.
Finančna izguba ni edini negativni vpliv, ki ga je treba upoštevati. Uspešni napadi vodijo do izgube podatkov, motenj kritičnih operacij in uhajanja osebnih podatkov. To pa bi lahko privedlo do dodatnega finančnega bremena izplačevanja odškodnin strankam ali plačila regulativnih kazni za ogrožanje osebnih podatkov, ki krši predpise o zasebnosti, kot je GDPR, ter pravne posledice in posledice za ugled blagovne znamke.
Napadi z lažnim predstavljanjem se izognejo podedovanim varnostnim mehanizmom
Ko se pojavljanje napadov z lažnim predstavljanjem povečuje, se zdi, da se povečuje prefinjenost in spretnost napadov z lažnim predstavljanjem. Danes postaja vse težje ostati korak pred napadalci, saj v svojih kampanjah uporabljajo domiselne in pogosto zelo zavajajoče tehnike lažnega predstavljanja.
Eden vidnih primerov so kampanje lažnega predstavljanja, ki zlahka zaobidejo varnostno programsko opremo za e-pošto na delovnem mestu. Na primer, e-poštna prevara, ki je lažno predstavljala Facebook, je uspela zaobiti Cisco Email Security Appliance in Microsoftovo Exchange Online Protection. E-poštno sporočilo je dobilo celo stopnjo zaupanja neželene pošte (SCL) 1, kar pomeni, da je uspelo preskočiti Microsoftove filtre za neželeno pošto.
Poročilo Varnostnega področja 1 analiziral 1.5 milijarde sporočil, poslanih organizacijam v obdobju šestih mesecev, in ugotovil, da so Office 365 in drugi znani SEG-ji Cisco, Proofpoint in Mimecast zgrešili več kot 925,000 lažnih e-poštnih sporočil.
Kompleti za lažno predstavljanje, ki jih uporabljajo organizacije, pogosto vključujejo tradicionalne mehanizme izogibanja. Vendar pa te stare šolske rešitve kibernetske varnosti ne prepoznajo različnih vrst utaj in ne morejo blokirati napadov lažnega predstavljanja, kot je razvidno iz zgornjih primerov.
Tukaj je nekaj primerov mehanizmov, ki so jih napadalci lahko uporabili za premagovanje varnostnih parametrov:
Obvoznica MZZ
Večfaktorsko preverjanje pristnosti (MFA) je metoda preverjanja pristnosti, ki zahteva, da uporabnik zagotovi dva ali več faktorjev preverjanja, da pridobi dostop do vira. Uporabnik bo moral na primer vnesti svoje uporabniško ime in geslo, nato pa tudi kodo PIN, ki bo poslana na uporabnikov telefon. Glavna prednost MFA je, da bo povečala varnost vaše organizacije, saj bo od uporabnikov zahtevala, da se identificirajo z več kot z uporabniškim imenom in geslom..
Vendar MFA ni neprebojna rešitev za preprečevanje lažnega predstavljanja. Microsoft je pred kratkim odkril široko razširjeno lažno predstavljanje, ki zaobide večfaktorsko avtentikacijo (MFA). Začetni napad je ugrabil postopek preverjanja pristnosti Office 365 in preusmeril uporabnike na ciljne strani z lažnim predstavljanjem nasprotnika v sredini (AiTM), namenjene kraji sejnih piškotkov in poverilnic. Nato so napadalci ugrabili uporabnikovo prijavno sejo in preskočili postopek preverjanja pristnosti, tudi če je uporabnik omogočil MFA.
Napadalci so nato uporabili ukradene poverilnice in sejne piškotke za dostop do nabiralnikov prizadetih uporabnikov in izvedli nadaljnje kampanje ogrožanja poslovne e-pošte (BEC) proti drugim tarčam, kot je podrobno navedel Microsoft Threat Intelligence Center (MSTIC).
Utaja peskovnika
Peskovnik je varnostni mehanizem za ločevanje delujočih programov in se izvaja z izvajanjem programske opreme ali izvajanjem spletne strani v omejenem okolju operacijskega sistema. Peskovnik ščiti pred potencialno zlonamernimi programi ali nevarno kodo tako, da izolira proces od preostalega okolja organizacije. Na ta način, če je zaznana grožnja, ta ne vpliva na uporabnikovo napravo.
Vendar so opazili nove napade z lažnim predstavljanjem, ki se izogibajo temu varnostnemu mehanizmu. V ta namen uporabljajo »Sleepers« – notranje mehanizme za zastoj, ki jih peskovnik ne more opaziti, s čimer zagotovijo, da bo zlonamerna obremenitev ukrepala le, ko se sooči z resničnimi končnimi uporabniki. To pomeni, da lahko napadalci prepoznajo, kdaj so dostopali do prave delovne postaje na infrastrukturi podjetja in ne do peskovnika. Če obstaja peskovnik, se običajno na lažni spletni strani prikaže napaka in napad se ne bo začel. Zaradi tega proizvajalci standardne varnosti spletnega mesta z lažnim predstavljanjem zaradi utaje ne bodo opredelili kot zlonamerno in spletno mesto bo še naprej delovalo neopaženo.
Omejitev glede na informacije o napravi
Druga tehnika izogibanja napadom z lažnim predstavljanjem je analiziranje informacij o napravi za izkoreninjenje prodajalcev varnosti, ki se poskušajo prikriti kot uporabniki. Podobno kot pri izogibanju peskovniku, napadalci poskušajo aktivirati shemo lažnega predstavljanja šele, ko dejanski uporabnik obišče spletno stran.
Da bi to naredili, so akterji groženj razvili zmožnost prepoznavanja človeških tarč na podlagi različnih virov podatkov: podatkov iz brskalnika, operacijskega sistema in načina, kako naj bo vsebina spletne strani prikazana na uporabnikovem zaslonu. S temi informacijami lahko komplet za lažno predstavljanje odloči, ali napravo uporablja oseba (na primer prenosnik ali telefon) ali pa gre za peskovnik ali varnostni mehanizem, preoblečen v uporabnika.
Te informacije lažnim spletnim mestom pomagajo pri razvrščanju uporabnikov glede na njihovo velikost zaslona ali vidno polje. Z dostopom do podatkov o obiskovalcu glede višine okna in širine tehnologije obiskovalca akter grožnje ve, katero vrsto naprave uporablja tarča, in se lahko odloči, ali bo napadel ali se izognil.
To je le nekaj primerov nenehno razvijajoče se pokrajine groženj, saj napadalci vsak dan najdejo nove načine, kako zaobiti običajne zaščite kibernetske varnosti. To je zelo moteče in zahteva nov pristop k izzivom varnosti brskalnika.
Konvencionalne rešitve ne uspejo
Kot smo videli, so kampanje lažnega predstavljanja razvile mehanizme za odkrivanje običajnih vrst programske opreme za preprečevanje lažnega predstavljanja, pa naj gre za peskovnik, skener elektronske pošte ali večfaktorsko preverjanje pristnosti. Ko jih akcije odkrijejo, bodo napadalci uporabili drugačno vrsto napada in malo je verjetno, da bo zaščita pred lažnim predstavljanjem učinkovita pri blokiranju ali odkrivanju zlonamerne spletne strani.
Nov pristop, ki temelji na brskalniku
Strmo naraščanje vloge brskalnika v sodobnem podjetju zahteva rešitve, ki ščitijo pred kibernetskimi napadi, ki prevladujejo v brskalniku. Lažno predstavljanje se pojavlja kot vodilna grožnja kibernetskih napadov, ki jih prenašajo brskalniki, tako po priljubljenosti kot po resnosti. Poleg tega običajna programska oprema za preprečevanje lažnega predstavljanja zgreši številne kampanje lažnega predstavljanja in jih pusti neopažene, zaradi česar so zaposleni in organizacija ranljivi.
Menimo, da bi morala ustrezna rešitev teh težav temeljiti na brskalniku. LayerX Security ponuja nov pristop za zaščito pred lažnim predstavljanjem.
Platforma brskalnika LayerX vključuje razširitev brskalnika, ki spremlja seje brskalnika na ravni aplikacije, s čimer pridobi neposreden vpogled v vse dogodke brskanja v njihovi fazi po dešifriranju, kar ji omogoča analizo in uveljavljanje zaščitnih dejanj v realnem času brez zakasnitve ali vpliva na uporabniško izkušnjo. . LayerX lahko neopazno spremeni upodobljeno spletno stran, da preseže grobo blokiranje/omogočanje dostopa in zagotovi natančno uveljavljanje, ki nevtralizira zlonamerne vidike spletne strani, namesto da popolnoma blokira dostop do nje. To je ključnega pomena v primerih, ko napadalci izvedejo napad na v bistvu legitimno stran, na primer pri prečkanju strukture DOM strani bančne aplikacije. LayerX zagotavlja najvišjo raven varnosti, ne da bi poslabšal uporabniško izkušnjo brskanja.
