Звіт цього тижня показує, що кібератакники зосереджені на створенні атак, які спеціалізуються на обійти стандартну безпеку Microsoft демонструє тривожну еволюцію тактики фішингу, заявили цього тижня експерти з безпеки.
Зловмисники все краще пропускають фішингові атаки через слабкі місця захисту електронної пошти платформи, використовуючи різноманітні методи, наприклад, обфускацію шрифтів нульової точки, приховування за службами обміну хмарними повідомленнями та затримку активації корисного навантаження, наприклад. Вони також проводять більше таргетування та дослідження жертв.
У результаті майже 1 із 5 фішингових електронних листів (18.8%) обійшли захист платформи Microsoft і потрапили до вхідних скриньок працівників у 2022 році. Цей показник збільшився на 74% порівняно з 2020 роком, згідно з дослідженням, опублікованим 6 жовтня компанією з кібербезпеки Check Point. програмне забезпечення. Зловмисники дедалі частіше використовували методи для проходження перевірок безпеки, наприклад Sender Policy Framework (SPF), і обфускації функціональних компонентів електронної пошти, як-от використання шрифтів нульового розміру або приховування шкідливих URL-адрес від аналізу.
Збільшення можливостей зловмисників пояснюється кращим розумінням поточних засобів захисту, каже Гіл Фрідріх, віце-президент із безпеки електронної пошти компанії Avanan, що займається захистом електронної пошти. придбано компанією Check Point у серпні 2021 року.
«Це сімейство з 10 до 20 методів, але всі вони ведуть до мети обману рівнів безпеки компанії», — каже він. «Кінцевим результатом завжди є електронний лист, який виглядає справжнім для одержувача, але відрізняється від алгоритму, який аналізує вміст».
Microsoft відмовилася коментувати дослідження. Проте компанія має попередив передові методики, Такі, як фішинг противника посередині (AiTM), який використовує спеціальну URL-адресу для розміщення проксі-сервера між жертвою та її потрібним сайтом, що дозволяє зловмиснику отримувати конфіденційні дані, такі як імена користувачів і паролі. У липні компанія попереджала про це більш ніж 10,000 XNUMX організацій були мішенню протягом однієї кампанії AiTM.
Check Point не єдиний постачальник, який попереджає про це фішингові атаки покращуються. Під час опитування фірма з безпеки електронної пошти Proofpoint виявила, що 83% організацій зазнали успішної фішингової атаки на основі електронної пошти, майже вдвічі більше, ніж постраждало від такої атаки у 2020 році. Згідно з даними фірми Trend Micro, що займається кібербезпекою, кількість фішингових атак зросла більш ніж удвічі, збільшившись на 137% у першій половині 2022 року порівняно з тим самим періодом 2021 року. Звіт про кібербезпеку за півріччя 2022 року.
Тим часом служби кіберзлочинців, такі як фішинг як послуга та зловмисне програмне забезпечення як послуга, інкапсулюють найуспішніші методи в прості у використанні пропозиції. В опитуванні тестувальників проникнення та червоних команд, майже половина (49%) розглядали фішинг і соціальну інженерію бути методами атаки з найкращим поверненням інвестицій.
Дослідження та розвідка Інформ про фішинг
Зловмисники також покращуються завдяки зусиллям, які кібератаки докладають для збору інформації для націлювання на жертв за допомогою соціальної інженерії. По-перше, вони використовують величезні обсяги інформації, яку можна зібрати в Інтернеті, каже Джон Клей, віце-президент із аналізу загроз компанії Trend Micro з кібербезпеки.
«Актори розслідують своїх жертв, використовуючи розвідувальні дані з відкритих джерел, щоб отримати багато інформації про своїх жертв [і] створюють дуже реалістичні фішингові електронні листи, щоб змусити їх натиснути URL-адресу, відкрити вкладений файл або просто зробити те, що повідомляє електронний лист, наприклад у випадку атак компрометації бізнес-електронної пошти (BEC), — каже він.
Дані свідчать про те, що зловмисники також стають кращими в аналізі захисних технологій і визначенні їх обмежень. Наприклад, щоб обійти системи, які виявляють шкідливі URL-адреси, кіберзлочинці все частіше використовують динамічні веб-сайти, які можуть виглядати легітимними, коли електронний лист надсилається, наприклад, о 2 годині ночі, але представлятимуть інший сайт о 8 ранку, коли працівник відкриває повідомлення .
Покращення в обороні
Такі прийоми не тільки вводять в оману, але й використовують асиметрію в захисті проти нападу. Сканування кожної URL-адреси, надісланої в електронному листі, не є масштабованим захистом, каже Фрідріх із Check Point. Запуск URL-адрес у повній пісочниці, аналіз посилань на певну глибину та використання обробки зображень для визначення сайтів, які намагаються імітувати бренд, потребують великої обчислювальної потужності.
Натомість фірми, які займаються захистом електронної пошти, використовують аналіз часу натискання, щоб вирішити цю проблему.
«Існують деякі алгоритми чи тести, які ви не можете запустити на кожній URL-адресі, оскільки обчислення є величезними, і згодом це стає забороненим», — каже він. «Роблячи це під час натискання, нам потрібно лише перевірити URL-адреси, за якими користувачі фактично натискають, що становить частку, тобто 1% від загальної кількості посилань в електронній пошті».
Крім того, посилення захисту покладається на машинне навчання та штучний інтелект, щоб класифікувати шкідливі URL-адреси та файли так, як це не вдається системам на основі правил, каже Клей з Trend Micro.
«Робота з озброєними вкладеннями може бути важкою для тих засобів контролю безпеки, які все ще покладаються лише на підписи та не мають передових технологій, які можуть сканувати файл за допомогою ML або пісочниці, які можуть виявити багато з цих файлів зловмисного програмного забезпечення», — говорить він. .
Крім того, попередні заяви Microsoft зазначили, що Office 365 включає багато можливостей захисту електронної пошти, які обговорювали інші постачальники, включаючи захист від видавання себе за іншу особу, видимість кампаній атак, а також використання розширеної евристики та машинного навчання для розпізнавання фішингових атак, що впливають на всю організацію чи галузь.
