För företag inom detaljhandeln och besökssektorn representerar semestershoppingsäsongen deras mest hektiska tid på året, både för försäljning och bekämpning av hot mot cyberbrott.
Det här året är inte annorlunda, med företag i sektorn som förutser att nätfiske, bedrägerier, insamling av autentiseringsuppgifter och det ständigt föränderliga malware-landskapet kommer att kasta en skugga över deras säkerhetsställning under de kommande månaderna, enligt en rapport publicerad av Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC) denna vecka.
RH-ISAC Holiday Season Threat Trends Sammanfattningsrapporten 2022 tillfrågade analytiker och medlemmar av branschgruppen om vad deras säkerhetsfokus är den här säsongen – vilket definieras som tiden mellan 1 oktober och 31 december, då människor tenderar att göra sitt online shopping för helgdagar som firas i stora delar av världen – såväl som vad de upplevde under de föregående semestersäsongerna 2020 och 2021. RH-ISAC associerade medlem Flashpoint tillhandahöll också forskning och data för rapporten.
Medan många hot som plågar sektorn har förblivit konsekventa under åren, utvecklas andra snabbt när hotaktörer utvecklar ny skadlig programvara och utnyttjar nya sårbarheter, vilket skapar nya problem och kräver både förstärkning och förändring av försvarstaktik för varje säsong.
Nätfiske och identitetsstöld
Återförsäljare nämnde återkommande hot som sina största bekymmer i år, med nätfiske – vilket organisationerna noterade är ett problem året runt – en betydande oro som förblir konsekvent. År 2020 sa nästan 20 % av återförsäljarna att nätfiske var det vanligaste delade hotet bland deras medlemsbörs, Slack, och kärnmedlemmarnas listserv-styrelser, medan antalet var 16 % 2021, enligt rapporten.
I själva verket tenderar semesterperioden att ge en mängd socialt utformade reklamkampanjer som syftar till att lura kontoinnehavare att skörda sina referenser och utföra andra skändliga aktiviteter, noterade organisationer.
Mer oroande än nätfiske är dock det som ofta är ett resultat av den hotaktiviteten: insamling av legitimationsuppgifter, som 42 % och 37 % säger var det mest delade hotet 2020 respektive 2021. Återförsäljare oroar sig också för en ökning av hotaktörer i användningen av informationsstöldare som samlar in köp av kunddata på hackerforum, såväl som övertagande av kundkonton som vanligtvis ökar under helgerna.
Andra typer av bedrägerier som involverar presentkort och lojalitetskort – där de förstnämnda tillåter hotaktörer att förbli anonyma och därmed svåra att spåra när de handlar – kommer att vara i fokus i år, liksom bedrägerier relaterat till att returnera varor som inte har köpts lagligt.
Evolving Malware Landscape
Rapporten beskrev förändringar från år till år mellan 2020 och 2021 i detaljhandelshot kopplade till skadlig programvara, bots och sårbarheter – resultat som visar hur snabbt detta hotlandskap i synnerhet kan utvecklas.
Några av dessa hot, som QakBot, Emotet, Agent Tesla, och Dridex - förblir ett konstant bekymmer. Men andra - som Log4Shell - dyker upp snabbt och förutsägbart, vilket tvingar organisationer att svänga i termer av försvar, fann forskare.
Speciellt bots har ökat i profil när det gäller deras inverkan på onlineåterförsäljare, särskilt under de senaste två åren, eftersom individer som annars inte deltar i någon kriminell aktivitet började utforska sätt att tjäna extra inkomster som återförsäljare av stulen information på hotaktörsforum, enligt till rapporten.
"Dessa "sidehustles" stödjer ett redan blomstrande ekosystem där aktörer har skalparerat produkter med hög efterfrågan för att sälja till höga priser, enligt rapporten. "Användningen av automatisering för att stödja denna aktivitet orsakar betydande negativa bieffekter på baksidan och kan till och med leda till DDoS-liknande störningar."
År-för-år förändringar i skadlig programvara och botaktivitet återspeglar hur snabbt detta hotlandskap i synnerhet kan förändras. Till exempel, 2020 Emotet banking Trojan och dess loader var de främsta hoten mot skadlig programvara som delades av återförsäljare – 15 % respektive 8 % – medan trojanen AgentTesla för fjärråtkomst (RAT) fick 4 % av de totala omnämnanden.
Under 2021 blev AgentTesla dock mer framträdande, med 16 % av återförsäljarnas omnämnanden, medan Emotet praktiskt taget försvann från anslagstavlor, sa respondenterna. Dessutom den nu ökända Log4j debacle framstod som ett hot, med 16 % av omnämnanden av detaljhandels- och besöksföretag.
Återförsäljare säger att de förväntar sig att den vanligaste skadliga programvaran och botaktiviteten denna semestersäsong kommer från QakBot, Emotet, Agent Tesla och Dridex, enligt rapporten.
Förändringar i hotaktiviteten hittills i år inkluderar en ökning av bedragarwebbplatser och nya nätfiskeförsök som antingen är produktfokuserade eller efterliknade chefer. Det senare återspeglar en ökning av socialt utvecklade attacker som syftade till att samla in referenser och kringgå multifaktorautentisering, säger återförsäljare.
Detaljhandel och gästfrihet försvar
På grund av mångfalden av hot som detaljhandeln och besöksnäringen förväntar sig att se under julhandelssäsongen, är de försvarstaktik som de planerar att anta i år också varierande och måste omfatta både en makro- och mikrometod för att förstå sina fiender, rapporterade de.
"Medlemmar rapporterade att de fokuserade på att förstå mycket specifik taktik som bedragare och hotaktörer använder över dödande kedjor för att förbättra upptäckts- och begränsningsinsatser", enligt rapporten. "Att förstå breda trender över hotlandskapet och hur de fungerar inom medlemsmiljöer har gjort det möjligt för analytiker att skapa mer effektiva insatser för varning, upptäckt och begränsning."
En taktik de använder sig av är att arbeta nära sina respektive kundtjänstavdelningar, delvis genom att ge kundtjänstrepresentanter hotutbildning. De upprätthåller också varumärkesskyddstjänster för att hjälpa till att ta bort skadliga bedragare, samt inrättar interna bedrägeriarbetsgrupper för att motverka hot.
Personalmässigt nämner återförsäljare och hotellleverantörer konsekvens som nyckeln, med behovet av att se till att de som arbetar direkt för att upptäcka hot har lämplig erfarenhet och kunskap för att reagera. Företagen säger att de kan implementera frysningar av förändringar, personaljusteringar eller andra operativa förändringar för att förbereda sig för säsongen, inklusive en förbättring av slutpunktsdetektering och röda teamoperationer för att validera hotproblem och lyfta fram områden för förbättringar, enligt rapporten.
Bland de verktyg och praxis som företagen tycker är särskilt användbara för att stärka säkerheten under semestern: ledande leverantörers hotintelligensplattformar och cyberhotsinformationsflöden; RH-ISAC-gemenskapsresurser och delningsplattformar; uppdaterade policyer och planer; och partnerskap med ledande cybersäkerhetsföreningar och ideella organisationer för ytterligare hotforskningskontext.
