Jakich technik phishingu obecnie używają przestępcy i jak się przed nimi bronić?

W 2012 r. Agencja UE ds. Cyberbezpieczeństwa (ENISA) ustanowiła październik miesiącem cyberbezpieczeństwa. Jednym z motywów przewodnich tegorocznych kampanii związanych z dbaniem o wirtualne bezpieczeństwo jest phishing.

Jak wynika z 1H 2022 FortiGuard Labs Threat Report w pierwszej połowie br. liczba nowych wariantów oprogramowania ransomware wzrosła aż o 100% w porównaniu z drugą połową 2021 roku. Ataki te stają się coraz bardziej wyrafinowane i agresywne, a napastnicy korzystają z nowych technik mających na celu kradzież danych – stwierdzają eksperci z firmy Fortinet.

Badania wykazały, że najczęściej złośliwe oprogramowanie dostaje się do systemu przedsiębiorstwa poprzez atak phishingowy. Jest to metoda socjotechniczna, wykorzystująca ludzki błąd. Polega na wysyłaniu przez przestępców e-maili z informacją, która ma wywołać silne emocje, najczęściej strach lub euforię. Celem oszustów jest sprawienie, by ofiara kliknęła w podany link do sfałszowanej, łudząco podobnej do oryginalnej strony internetowej i podała swoje dane osobowe lub służące do logowania.

W innym scenariuszu ofiara skłaniana jest do otwarcia znajdującego się w wiadomości e-mail załącznika lub kliknięcia w link, co spowoduje zainstalowanie na urządzeniu złośliwego oprogramowania dającego następnie przestępcom dostęp do danych lub umożliwiającego ich zaszyfrowanie (ransomware).

W celu kradzieży danych przestępcy wykorzystują również nową technikę phishingu, określaną jako Multi-Factor Authentication (MFA) Fatigue. MFA, czyli uwierzytelnianie wieloskładnikowe, polega na logowaniu się do systemu przy użyciu danych logowania oraz dodatkowego elementu uwierzytelniającego, np. odcisku palca lub kodu PIN wysyłanego na inne urządzenie. MFA zwiększa poziom bezpieczeństwa danych - nawet jeśli przestępcy uzyskają dostęp do hasła, nie będą w stanie ukraść poufnych informacji, bo zatrzyma ich drugi etap uwierzytelniania.

Technika MFA Fatigue polega na uruchomieniu skryptu, który próbuje zalogować się do systemu pracownika za pomocą skradzionych danych uwierzytelniających, co z kolei powoduje wysyłanie do użytkownika wielu powiadomień o tej próbie. Celem oszustów jest doprowadzenie do sytuacji, w której osoba przytłoczona liczbą wysyłanych do niej żądań przypadkowo kliknęła „Zatwierdź”, dając przestępcom dostęp do danych lub instalując na urządzeniu złośliwe oprogramowanie.

Oto najlepsze praktyki, które eksperci Fortinet zalecają wdrożyć w przedsiębiorstwie w celu ochrony przed phishingiem:

•     Uruchomienie filtrów spamu w skrzynce pocztowej - jest to prawdopodobnie najbardziej podstawowa technika obrony przed phishingiem, jaką firma może wykorzystać. Większość programów pocztowych zawiera podstawowe filtry antyspamowe, które automatycznie wykrywają znanych spamerów. Możliwe jest dokupienie bardziej kompleksowych filtrów, które usuwają podejrzane wiadomości na podstawie dodatkowych elementów, takich jak nagłówki, język i treść. Minimalizuje to ryzyko odczytania wiadomości phishingowej przez potencjalną ofiarę i kliknięcia w niebezpieczny link lub otwarcia załącznika.
•     Regularne aktualizowanie oprogramowania - bardzo istotne jest upewnianie się, że oprogramowanie i systemy operacyjne używane przez przedsiębiorstwo są regularnie uaktualniane. Aktualizacja narzędzi ochronnych pomaga im lepiej wykrywać i usuwać złośliwe oprogramowanie lub wirusy, które mogły zostać zainstalowane na urządzeniu pracownika za pośrednictwem działań manipulacyjnych wykorzystywanych w phishingu.
•     Tworzenie zapasowych kopii danych - wszystkie dane korporacyjne powinny być szyfrowane, a ich kopie zapasowe umieszczane w odpowiednio zabezpieczonym środowisku. Ma to kluczowe znaczenie, gdy dojdzie do cyberataku i kradzieży danych - tworzenie kopii pozwala uniknąć sytuacji, w której wszystkie dane bezpowrotnie znikają.
•     Blokowanie niewiarygodnych stron internetowych - używanie filtra internetowego blokuje dostęp do złośliwych stron internetowych w przypadku, gdy pracownik nieumyślnie kliknie w link lub załącznik w wiadomości phishingowej.

Chociaż phishing jest popularną techniką ataku wśród cyberprzestępców, w rzeczywistości jest to tylko wierzchołek góry lodowej. Cyberprzestępcy ciągle powiększają arsenał swoich taktyk, aby ominąć mechanizmy obronne, uniknąć wykrycia i zwiększyć skalę swoich działań.  W rezultacie, zespoły odpowiedzialne za cyberbezpieczeństwo muszą reagować na zagrożenia w sposób elastyczny, dostosowując działania obronne do typu ataku.