Veckans rapport om att cyberattackare är laserfokuserade på att skapa attacker som är specialiserade på kringgå Microsofts standardsäkerhet visar upp en alarmerande utveckling inom nätfisketaktik, sa säkerhetsexperter denna vecka.
Hotaktörer blir bättre på att glida nätfiskeattacker genom de svaga punkterna i plattformens e-postförsvar, med hjälp av en mängd olika tekniker, såsom nollpunkts teckensnittsförvirring, gömma sig bakom molnmeddelandetjänster och fördröja aktivering av nyttolast, till exempel. De gör också mer inriktning och forskning på offer.
Som ett resultat kringgick nästan 1 av 5 nätfiske-e-postmeddelanden (18.8 %) Microsofts plattformsförsvar och landade i arbetarnas inkorgar 2022, en frekvens som ökade med 74 % jämfört med 2020, enligt forskning publicerad den 6 oktober av cybersäkerhetsföretaget Check Point Programvara. Angripare använde allt oftare tekniker för att klara säkerhetskontroller, såsom Sender Policy Framework (SPF), och fördunkla funktionella komponenter i ett e-postmeddelande, till exempel att använda nollstorleksteckensnitt eller dölja skadliga webbadresser från analys.
Angriparnas ökade kapacitet beror på bättre förståelse för nuvarande försvar, säger Gil Friedrich, vice vd för e-postsäkerhet på Avanan, ett e-postsäkerhetsföretag förvärvades av Check Point i augusti 2021.
"Det är en familj på 10 till 20 tekniker, men de leder alla till målet att lura ett företags säkerhetslager", säger han. "Slutresultatet är alltid ett e-postmeddelande som ser äkta ut för mottagaren men som ser annorlunda ut jämfört med algoritmen som analyserar innehållet."
Microsoft avböjde att kommentera forskningen. Det har dock företaget varnade för avancerad teknik, Såsom adversary-in-the-middle-nätfiske (AiTM), som använder en anpassad URL för att placera en proxyserver mellan ett offer och deras önskade webbplats, vilket gör att angriparen kan fånga känslig data, som användarnamn och lösenord. I juli varnade företaget för det mer än 10,000 XNUMX organisationer hade siktats under en AiTM-kampanj.
Check Point är inte den enda leverantören som varnar för det nätfiskeattacker blir bättre. I en undersökning fann e-postsäkerhetsföretaget Proofpoint att 83 % av organisationerna upplevde en framgångsrik e-postbaserad nätfiskeattack, nästan hälften igen så många som drabbades av en sådan attack 2020. Cybersäkerhetsföretaget Trend Micro såg antalet nätfiskeattacker mer än fördubblas och ökade med 137 % under första halvåret 2022 jämfört med samma period 2021, enligt företagets 2022 Halvårsrapport om cybersäkerhet.
Samtidigt kapslar cyberkriminella tjänster, som nätfiske-som-en-tjänst och malware-as-a-service, de mest framgångsrika teknikerna i lättanvända erbjudanden. I en undersökning av penetrationstestare och röda team, nästan hälften (49 %) ansåg nätfiske och social ingenjörskonst att vara attackteknikerna med bäst avkastning på investeringen.
Research & Recon Inform Phishing
Angripare förbättras också på grund av den ansträngning som cyberattackare gör för att samla in information för att rikta in sig på offer med social ingenjörskonst. För det första använder de de enorma mängderna information som kan skördas online, säger Jon Clay, vice vd för hotintelligens för cybersäkerhetsföretaget Trend Micro.
"Skådespelarna undersöker sina offer med hjälp av öppen källkodsintelligens för att få massor av information om deras offer [och] skapar mycket realistiska nätfiske-e-postmeddelanden för att få dem att klicka på en URL, öppna en bilaga eller helt enkelt göra vad e-postmeddelandet säger till dem att göra, som i fallet med affärs-e-postkompromissattacker (BEC)”, säger han.
Uppgifterna tyder på att angripare också blir bättre på att analysera defensiva tekniker och bestämma deras begränsningar. För att komma runt system som upptäcker skadliga webbadresser, till exempel, använder cyberbrottslingar i allt större utsträckning dynamiska webbplatser som kan verka legitima när ett e-postmeddelande skickas till exempel klockan 2, men som kommer att presentera en annan webbplats klockan 8, när arbetaren öppnar meddelandet .
Förbättringar inom försvaret
Sådana tekniker lurar inte bara, utan drar fördel av asymmetrier i försvar kontra attack. Att skanna varje URL som skickas i ett e-postmeddelande är inte ett skalbart försvar, säger Check Points Friedrich. Att köra webbadresser i en full sandlåda, analysera länkarna till ett specifikt djup och använda bildbehandling för att avgöra webbplatser som försöker efterlikna ett varumärke kräver mycket beräkningskraft.
Istället använder e-postsäkerhetsföretag "klicktidsanalys" för att ta itu med problemet.
"Det finns vissa algoritmer eller tester som du inte kan köra på varje URL, eftersom beräkningen är enorm, så blir den så småningom prisförbjuden", säger han. "Om vi gör det vid klicktid behöver vi bara göra testerna på webbadresserna som användare faktiskt klickar på, vilket är en bråkdel, alltså 1% av de totala länkarna i e-post."
Dessutom förlitar sig försvaret i allt högre grad på maskininlärning och artificiell intelligens för att klassificera skadliga webbadresser och filer på sätt som regelbaserade system inte kan, säger Trend Micros Clay.
"Att hantera beväpnade bilagor kan vara svårt för de säkerhetskontroller som fortfarande bara förlitar sig på signaturer och som inte har avancerad teknik som kan skanna filen med ML eller en sandlåda, som båda kan upptäcka många av dessa skadliga filer", säger han .
Dessutom, tidigare uttalanden från Microsoft har noterat att Office 365 innehåller många av de e-postskyddsfunktioner som diskuterats av andra leverantörer, inklusive skydd mot identitetsstöld, synlighet i attackkampanjer och användning av avancerad heuristik och maskininlärning för att känna igen nätfiskeattacker som påverkar en hel organisation eller bransch.
