Voor bedrijven in de retail- en horecasector is het kerstinkopenseizoen de drukste tijd van het jaar, zowel voor de verkoop als voor de bestrijding van cybercriminaliteit.
Dit jaar is het niet anders, met bedrijven in de sector die verwachten dat phishing, fraude, het verzamelen van referenties en het zich steeds verder ontwikkelende malwarelandschap de komende maanden een schaduw zullen werpen over hun beveiligingspositie, aldus een rapport deze week gepubliceerd door Retail & Hospitality Information Sharing and Analysis Centre (RH-ISAC).
In het RH-ISAC Holiday Season Threat Trends Summary-rapport voor 2022 werden analisten en leden van de branchegroep ondervraagd over wat hun beveiligingsfocus dit seizoen is – gedefinieerd als de tijd tussen 1 oktober en 31 december, wanneer mensen de neiging hebben om hun online winkelen voor vakanties die in een groot deel van de wereld worden gevierd - evenals wat ze hebben meegemaakt in de voorgaande vakantieseizoenen van 2020 en 2021. RH-ISAC geassocieerd lid Flashpoint leverde ook onderzoek en gegevens voor het rapport.
Hoewel veel dreigingen die de sector teisteren in de loop der jaren consistent zijn gebleven, evolueren andere snel naarmate dreigingsactoren nieuwe malware ontwikkelen en nieuwe kwetsbaarheden benutten, nieuwe problemen opleveren en elk seizoen zowel versterking als verandering in verdedigingstactieken vereisen.
Phishing en diefstal van inloggegevens
Retailers noemden terugkerende bedreigingen dit jaar hun grootste zorg, met phishing - waarvan de organisaties opmerkten dat het het hele jaar door een zorg is - een grote zorg die consistent blijft. In 2020 zei bijna 20% van de detailhandelaren dat phishing de meest gedeelde dreiging was onder hun ledenuitwisseling, Slack, en de belangrijkste ledenlijstserviceborden, terwijl het aantal volgens het rapport in 16 2021% was.
Het vakantieseizoen brengt inderdaad een groot aantal sociaal gemanipuleerde promotiecampagnes met zich mee die erop gericht zijn rekeninghouders voor de gek te houden om hun inloggegevens te verzamelen en andere snode activiteiten uit te voeren, merkten organisaties op.
Zorgwekkender dan phishing is echter wat vaak het gevolg is van die dreigingsactiviteit: het verzamelen van referenties, waarvan 42% en 37% zeggen dat dit de meest gedeelde dreiging was in respectievelijk 2020 en 2021. Winkeliers maken zich ook zorgen over een toename door bedreigingsactoren in het gebruik van info-dieven die klantgegevens verzamelen op hackerforums, evenals over het overnemen van klantaccounts dat doorgaans tijdens de feestdagen toeneemt.
Andere vormen van fraude met cadeaubonnen en klantenkaarten – waarbij de eerste het mogelijk maakt dat kwaadwillenden anoniem blijven en dus moeilijk te volgen zijn tijdens het winkelen – zullen dit jaar aandacht krijgen, evenals fraude met betrekking tot het retourneren van artikelen die niet legitiem zijn gekocht.
Evoluerend malwarelandschap
Het rapport schetst jaar-op-jaar veranderingen tussen 2020 en 2021 in retailbedreigingen die verband houden met malware, bots en kwetsbaarheden - resultaten die aantonen hoe snel met name dit bedreigingslandschap kan evolueren.
Sommige van deze bedreigingen, zoals QakBot, Emotet, Agent Tesla, en Dridex - blijven een constante zorg. Andere, zoals Log4Shell, verschijnen echter snel en voorspelbaar, waardoor organisaties gedwongen worden om te draaien op het gebied van verdediging, ontdekten onderzoekers.
Met name bots zijn in populariteit gestegen wat betreft hun impact op online retailers, vooral in de afgelopen twee jaar, toen individuen die anders niet aan criminele activiteiten deelnemen, manieren begonnen te onderzoeken om extra inkomsten te verdienen als wederverkopers van gestolen informatie op forums van bedreigingsactoren, volgens naar het rapport.
"Deze 'bijzaken' ondersteunen een reeds bloeiend ecosysteem waarin actoren veelgevraagde producten scalperen om tegen hoge markups te verkopen", aldus het rapport. "Het gebruik van automatisering ter ondersteuning van deze activiteit veroorzaakt aanzienlijke negatieve neveneffecten op de backend en kan zelfs leiden tot DDoS-achtige verstoringen."
Jaar-op-jaar veranderingen in malware en botactiviteit weerspiegelen hoe snel met name dit dreigingslandschap kan veranderen. In 2020 zal bijvoorbeeld de Emotet banktrojan en de lader waren de belangrijkste malwarebedreigingen die door detailhandelaren werden gedeeld - respectievelijk 15% en 8% - terwijl de trojan voor externe toegang (RAT) AgentTesla 4% van de totale vermeldingen verdiende.
In 2021 kreeg AgentTesla echter meer bekendheid, met 16% van de vermeldingen door detailhandelaren, terwijl Emotet vrijwel van de prikborden verdween, aldus respondenten. Bovendien is de inmiddels beruchte Log4j-debacle kwam naar voren als een bedreiging, met 16% van de vermeldingen door detailhandel- en horecabedrijven.
Volgens het rapport verwachten winkeliers dat de meest voorkomende malware- en botactiviteit deze feestdagen afkomstig zal zijn van QakBot, Emotet, Agent Tesla en Dridex.
Veranderingen in de dreigingsactiviteit tot nu toe dit jaar zijn onder meer een toename van het aantal oplichterswebsites en opkomende phishing-pogingen die ofwel productgericht zijn ofwel zich voordoen als leidinggevenden. Dit laatste weerspiegelt een toename van sociaal gemanipuleerde aanvallen die tot doel hadden inloggegevens te verzamelen en multifactor-authenticatie te omzeilen, zeggen retailers.
Verdediging detailhandel en horeca
Vanwege de diversiteit aan bedreigingen die de detailhandel en de horeca verwachten tijdens het kerstinkopenseizoen, zijn de verdedigingstactieken die ze dit jaar willen toepassen ook gevarieerd en moeten ze zowel een macro- als een microbenadering omvatten om hun vijanden te begrijpen, meldden ze.
"Leden meldden dat ze zich concentreerden op het begrijpen van zeer specifieke tactieken die fraudeurs en dreigingsactoren in kill-ketens gebruiken om de detectie- en mitigatie-inspanningen te verbeteren", aldus het rapport. "Door brede trends in het bedreigingslandschap te begrijpen en hoe deze werken binnen aangesloten omgevingen, kunnen analisten effectievere waarschuwings-, detectie- en mitigatie-inspanningen creëren."
Een tactiek die ze toepassen, is om nauw samen te werken met hun respectievelijke klantenserviceafdelingen, onder meer door vertegenwoordigers van de klantenservice dreigingstraining te geven. Ze onderhouden ook merkbeschermingsdiensten om kwaadwillende bedriegersites te helpen verwijderen, en stellen interne fraudewerkgroepen in om bedreigingen tegen te gaan.
Wat het personeel betreft, noemen retailers en horecaverkopers consistentie als essentieel, met de noodzaak om ervoor te zorgen dat degenen die direct werken aan het opsporen van bedreigingen, de juiste ervaring en kennis hebben om te reageren. De bedrijven zeggen dat ze wijzigingsbevriezingen, personeelsaanpassingen of andere operationele veranderingen kunnen doorvoeren om zich voor te bereiden op het seizoen, waaronder een verbetering in eindpuntdetectie en rode teamoperaties om bedreigingen te valideren en verbeterpunten te markeren, aldus het rapport.
Van de tools en praktijken die de bedrijven bijzonder nuttig vinden om de beveiliging tijdens de feestdagen te versterken: toonaangevende platforms voor informatie over bedreigingen van leveranciers en feeds voor informatie over cyberdreigingen; RH-ISAC gemeenschapsmiddelen en deelplatforms; bijgewerkt beleid en plannen; en partnerschappen met toonaangevende cyberbeveiligingsverenigingen en non-profitorganisaties voor aanvullende context voor bedreigingsonderzoek.
