Laporan minggu ini bahwa penyerang siber berfokus pada laser untuk membuat serangan yang dikhususkan untuk melewati keamanan default Microsoft menampilkan evolusi yang mengkhawatirkan dalam taktik phishing, kata pakar keamanan minggu ini.
Pelaku ancaman menjadi lebih baik dalam menyelipkan serangan phishing melalui titik lemah dalam pertahanan email platform, menggunakan berbagai teknik, seperti pengaburan font titik nol, bersembunyi di balik layanan perpesanan cloud, dan menunda aktivasi muatan, misalnya. Mereka juga melakukan lebih banyak penargetan dan penelitian pada korban.
Akibatnya, hampir 1 dari 5 email phishing (18.8%) melewati pertahanan platform Microsoft dan mendarat di kotak masuk pekerja pada tahun 2022, tingkat yang meningkat 74% dibandingkan dengan tahun 2020, menurut penelitian yang diterbitkan pada 6 Oktober oleh perusahaan keamanan siber Check Point Perangkat lunak. Penyerang semakin sering menggunakan teknik untuk melewati pemeriksaan keamanan, seperti Sender Policy Framework (SPF), dan mengaburkan komponen fungsional email, seperti menggunakan font ukuran nol atau menyembunyikan URL berbahaya dari analisis.
Peningkatan kemampuan penyerang adalah karena pemahaman yang lebih baik tentang pertahanan saat ini, kata Gil Friedrich, wakil presiden keamanan email di Avanan, sebuah perusahaan keamanan email diakuisisi oleh Check Point pada Agustus 2021.
"Ini adalah keluarga dari 10 hingga 20 teknik, tetapi semuanya mengarah pada tujuan menipu lapisan keamanan perusahaan," katanya. “Hasil akhirnya selalu berupa email yang terlihat asli bagi penerima tetapi terlihat berbeda dengan algoritme yang menganalisis konten.”
Microsoft menolak mengomentari penelitian tersebut. Namun, perusahaan memiliki memperingatkan teknik-teknik canggih, Seperti phishing musuh-di-tengah (AiTM), yang menggunakan URL khusus untuk menempatkan server proxy antara korban dan situs yang diinginkan, memungkinkan penyerang untuk menangkap data sensitif, seperti nama pengguna dan sandi. Pada bulan Juli, perusahaan memperingatkan bahwa lebih dari 10,000 organisasi telah ditargetkan selama satu kampanye AiTM.
Check Point bukan satu-satunya vendor yang memperingatkan hal itu serangan phishing menjadi lebih baik. Dalam sebuah survei, firma keamanan email Proofpoint menemukan bahwa 83% organisasi mengalami serangan phishing berbasis email yang berhasil, hampir setengahnya lagi sebanyak yang menderita serangan seperti itu pada tahun 2020. Perusahaan keamanan siber Trend Micro melihat jumlah serangan phishing lebih dari dua kali lipat, tumbuh 137% pada paruh pertama tahun 2022 dibandingkan dengan periode yang sama pada tahun 2021, menurut laporan perusahaan. Laporan Keamanan Siber Pertengahan Tahun 2022.
Sementara itu, layanan penjahat dunia maya, seperti phishing-as-a-service dan malware-as-a-service, merangkum teknik-teknik paling sukses ke dalam penawaran yang mudah digunakan. Dalam survei penguji penetrasi dan tim merah, hampir setengah (49%) dianggap sebagai phishing dan rekayasa sosial menjadi teknik serangan dengan pengembalian investasi terbaik.
Penelitian & Pengintaian Menginformasikan Phishing
Penyerang juga meningkat karena upaya yang dilakukan penyerang siber dalam mengumpulkan intel untuk menargetkan korban dengan rekayasa sosial. Pertama, mereka memanfaatkan sejumlah besar informasi yang dapat dikumpulkan secara online, kata Jon Clay, wakil presiden intelijen ancaman untuk perusahaan keamanan siber Trend Micro.
“Para aktor menyelidiki korban mereka menggunakan kecerdasan sumber terbuka untuk mendapatkan banyak informasi tentang korban mereka [dan] membuat email phishing yang sangat realistis untuk membuat mereka mengklik URL, membuka lampiran, atau sekadar melakukan apa yang diperintahkan email tersebut, seperti dalam kasus serangan kompromi email bisnis (BEC),” katanya.
Data menunjukkan bahwa penyerang juga menjadi lebih baik dalam menganalisis teknologi pertahanan dan menentukan batasan mereka. Untuk menyiasati sistem yang mendeteksi URL berbahaya, misalnya, penjahat dunia maya semakin banyak menggunakan situs web dinamis yang mungkin tampak sah saat email dikirim pada pukul 2 pagi, misalnya, tetapi akan menampilkan situs yang berbeda pada pukul 8 pagi, saat pekerja membuka pesan. .
Peningkatan dalam Pertahanan
Teknik seperti itu tidak hanya menipu, tetapi memanfaatkan asimetri dalam bertahan versus menyerang. Memindai setiap URL yang dikirim dalam email bukanlah pertahanan yang terukur, kata Friedrich dari Check Point. Menjalankan URL dalam kotak pasir penuh, menganalisis tautan ke kedalaman tertentu, dan menggunakan pemrosesan gambar untuk menentukan situs yang mencoba meniru merek membutuhkan banyak daya komputasi.
Sebaliknya, perusahaan keamanan email menerapkan analisis "waktu klik" untuk mengatasi masalah tersebut.
“Ada beberapa algoritme atau tes yang tidak dapat Anda jalankan di setiap URL, karena penghitungannya sangat besar, akhirnya menjadi harga yang dilarang,” katanya. “Melakukan itu pada waktu klik, kami hanya perlu melakukan tes pada URL yang benar-benar diklik pengguna, yang merupakan sebagian kecil, jadi 1% dari total tautan dalam email.”
Selain itu, peningkatan pertahanan bergantung pada pembelajaran mesin dan kecerdasan buatan untuk mengklasifikasikan URL dan file berbahaya dengan cara yang tidak dapat dilakukan oleh sistem berbasis aturan, kata Clay dari Trend Micro.
“Berurusan dengan lampiran yang dipersenjatai bisa jadi sulit bagi kontrol keamanan yang masih mengandalkan tanda tangan saja dan tidak memiliki teknologi canggih yang dapat memindai file menggunakan ML atau kotak pasir, yang keduanya dapat mendeteksi banyak file malware ini,” katanya .
Selain itu, pernyataan sebelumnya dari Microsoft telah mencatat bahwa Office 365 menyertakan banyak kemampuan perlindungan email yang dibahas oleh vendor lain, termasuk perlindungan dari peniruan identitas, visibilitas ke dalam kampanye serangan, dan menggunakan heuristik tingkat lanjut dan pembelajaran mesin untuk mengenali serangan phishing yang memengaruhi seluruh organisasi atau industri.
