W okresie październik-styczeń ilość incydentów oszustwa rośnie ponad 50 proc. w porównaniu do średniej rocznej, wskazuje raport „Phishing i oszustwo 2018” Webroot i F5 Labs. Dane zostały zaczerpnięte z F5 Security Operations Center (SOC) pod F5 WebSafe monitorującego i likwidującego strony phishingowe i fałszywe strony dla konsumentów.
Krajobraz dla wzmożonej aktywności hakerskiej wygląda następująco: ludzie szukają okazji zakupowych, rozglądają się za ofertami wypoczynku, dzielą się charytatywnie. Są rozproszeni, bywa że nieuważnie traktują dane dostępowe, instalują malware. Biznes podsumowuje rok, pracownicy są na wakacjach. W tym czasie biznesowi potrzebna jest wzmożona uwaga i aplikacja dobrych praktyk bezpieczeństwa.
Organizacja F5 SOC zlikwidowała w ostatnich czterech latach wiele szkodliwych stron internetowych. 75,6% z nich było powiązanych z atakami phishingowymi. Kolejne stanowiły: złośliwe skrypty (11,3%) i przekierowania URL, które także są używane w operacjach phishingowych. Najczęstszą formą ataku phishingowego jest podszywanie się pod znaną markę. 71% wysiłków atakujących w okresie wrzesień-październik 2018 r. skupiała się na podrabianiu jednej z dziesięciu organizacji, najczęściej korporacji technologicznych. Aż 58% phishingowców podszywało się w badanym okresie pod Microsoft, Google, Facebook, Apple, Adobe, Dropbox i DocuSign.
13 z 20 najszybciej rosnących celów stanowiły organizacje finansowe, z czego banki to 55% celów ataków phishingowych; pięć z nich to największe europejskie jednostki. To właśnie najgroźniejsze programy malware wystartowały jako malware bankowy. Przykładem są: Trickbot, Zeus, Dyre, Neverquest, Gozi, GozNym, Dridex i Gootkit - bankowe trojany znane z rozprzestrzeniania się z kampanii phishingowych.
F5 Labs podkreśla istotność implementacji ochrony kontroli dostępu, włączając uwierzytelnianie wieloskładnikowe i kontrolę danych dostępowych dla zapobiegania wyłomom phishingowym.
Rekomendacje dobrych praktyk naszych ekspertów zawierają następujące taktyki:
• Etykietowanie korespondencji mailowej. Czytelne etykietowanie korespondencji przychodzącej ze źródeł zewnętrznych zapobiega podszywaniu się. Prosta specjalnie sformatowana wiadomość - ostrzeżenie - zwiększy czujność użytkowników.
• Oprogramowanie antywirusowe. AV software jest krytycznym narzędziem do zaimplementowania w każdym systemie, do którego użytkownicy mają dostęp. W większości przypadków, aktualne oprogramowanie antywirusowe zatrzyma próbę instalacji malware. Ustawienie polityki AV na codzienną aktualizację - to niezbędne minimum.
• Filtrowanie sieci. Rozwiązanie filtrujące sieć pomaga zablokować dostęp do stron phishingowych. Pomoże też edukować pracowników, pokazując błąd wiadomości użytkownikowi.
• Deszyfrowanie ruchu i inspekcja. F5 Przeanalizowało domeny malware od Webroot, aktywne w okresie IX-X 2018. 68% z nich pochodziło spod portu 443, który jest standardem TCP używanym przez strony szyfrujące komunikację w SSL/TLS. Jeśli organizacje nie deszyfrują ruchu przed inspekcją, malware zainstalowane przy ataku phishingowym nie zostanie wykryte w sieci.
• Single Sign On. Jeden podpis elektroniczny. Im mniej danych dostępowych muszą pamiętać użytkownicy, tym mniej chętnie dzielą się nimi w aplikacjach, rzadziej tworzą słabe hasła i rzadziej przechowują je w mało bezpieczny sposób.
• Report Phishing. Niektóre rozwiązania mailowe mają już wbudowany przycisk phish alert do powiadamiania IT o podejrzanej aktywności. Jeśli Twój email nie ma takiej automatyzacji, poinstruuj użytkowników, aby zadzwonili do helpdesku czy zespołu bezpieczeństwa.
• Uporczywe przypadki - zmiana adresów emailowych. Rozważ zmianę adresów mailowych pracowników, jeśli są regularnie czy częściej atakowani phishingowo.
• Użyj CAPTcha. Technologia pozwalająca rozpoznać ludzi i boty jest przydatna. Użytkownicy mogą odbierać ją jako denerwującą, jest więc wskazana przy największym prawdopodobieństwie, że skrypty pochodzą od bota.
• Przeglądy kontroli dostępu. Prawa dostępu dla pracowników powinny być przeglądane regularnie, szczególnie tych, którzy mają dostęp do systemów krytycznych. Priorytetem powinien być trening anty-phishingowy dla tej grupy pracowników.
• UWAGA: Nowo zarejestrowane domeny. Strony phishingowe są zwykle nowo zarejestrowanymi domenami. Gdy F5 robiło wrześniowy przegląd listy aktywnych domen phishingowych, tylko 62% z nich było aktywnych w kolejnym tygodniu!
• Zaimplementuj rozwiązania wykrywające oszustwa sieciowe. Pomogą wykryć klientów zainfekowanych malware, zatrzymując możliwość logowania cyberprzestępców do Twojego systemu. Pomogą też zobaczyć nielegalne transakcje.
Autor: Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland
