Báo cáo tuần này cho thấy những kẻ tấn công mạng tập trung vào tia laser vào việc tạo ra các cuộc tấn công chuyên để bỏ qua bảo mật mặc định của Microsoft Các chuyên gia bảo mật cho biết trong tuần này đã cho thấy sự phát triển đáng báo động của các chiến thuật lừa đảo.
Các tác nhân đe dọa đang trở nên tốt hơn trong việc loại bỏ các cuộc tấn công lừa đảo qua các điểm yếu trong khả năng bảo vệ email của nền tảng, bằng cách sử dụng nhiều kỹ thuật, chẳng hạn như làm mờ phông chữ zero-point, ẩn đằng sau các dịch vụ nhắn tin đám mây và trì hoãn kích hoạt tải trọng chẳng hạn. Họ cũng đang nhắm mục tiêu và nghiên cứu nhiều hơn về nạn nhân.
Kết quả là, gần 1/5 email lừa đảo (18.8%) đã vượt qua các biện pháp bảo vệ nền tảng của Microsoft và lọt vào hộp thư đến của người lao động vào năm 2022, tỷ lệ tăng 74% so với năm 2020, theo nghiên cứu được công bố vào ngày 6 tháng XNUMX bởi công ty an ninh mạng Check Point. Phần mềm. Những kẻ tấn công ngày càng sử dụng các kỹ thuật để vượt qua kiểm tra bảo mật, chẳng hạn như Khung chính sách người gửi (SPF) và làm xáo trộn các thành phần chức năng của e-mail, chẳng hạn như sử dụng phông chữ có kích thước bằng không hoặc ẩn các URL độc hại khỏi phân tích.
Gil Friedrich, phó chủ tịch phụ trách bảo mật email của Avanan, một công ty bảo mật email, cho biết khả năng ngày càng tăng của những kẻ tấn công là do sự hiểu biết tốt hơn về các biện pháp phòng thủ hiện tại. được Check Point mua lại vào tháng 2021 năm XNUMX.
Ông nói: “Đó là một họ gồm 10 đến 20 kỹ thuật, nhưng tất cả đều dẫn đến mục tiêu đánh lừa các lớp bảo mật của công ty. “Kết quả cuối cùng luôn là một email trông chân thực đối với người nhận nhưng lại khác với thuật toán phân tích nội dung”.
Microsoft từ chối bình luận về nghiên cứu này. Tuy nhiên, công ty có cảnh báo về các kỹ thuật tiên tiến, Chẳng hạn như lừa đảo đối thủ ở giữa (AiTM), sử dụng URL tùy chỉnh để đặt máy chủ proxy giữa nạn nhân và trang web mong muốn của họ, cho phép kẻ tấn công nắm bắt dữ liệu nhạy cảm, chẳng hạn như tên người dùng và mật khẩu. Vào tháng XNUMX, công ty đã cảnh báo rằng hơn 10,000 tổ chức đã được nhắm mục tiêu trong một chiến dịch AiTM.
Check Point không phải là nhà cung cấp duy nhất cảnh báo rằng các cuộc tấn công lừa đảo đang trở nên tốt hơn. Trong một cuộc khảo sát, công ty bảo mật email Proofpoint phát hiện ra rằng 83% tổ chức đã trải qua một cuộc tấn công lừa đảo dựa trên email thành công, gần một nửa số người lại phải hứng chịu một cuộc tấn công như vậy vào năm 2020. Công ty bảo mật không gian mạng Trend Micro đã chứng kiến số lượng các cuộc tấn công lừa đảo tăng hơn gấp đôi, tăng 137% trong nửa đầu năm 2022 so với cùng kỳ năm 2021, theo công ty. Báo cáo giữa năm 2022 về An ninh mạng.
Trong khi đó, các dịch vụ của tội phạm mạng, chẳng hạn như phishing-as-a-service và malware-as-a-service, đang đóng gói các kỹ thuật thành công nhất vào các dịch vụ dễ sử dụng. Trong một cuộc khảo sát với những người thử nghiệm thâm nhập và đội đỏ, gần một nửa (49%) coi là lừa đảo và kỹ thuật xã hội trở thành các kỹ thuật tấn công với lợi tức đầu tư tốt nhất.
Nghiên cứu & thu thập thông tin lừa đảo
Những kẻ tấn công cũng đang cải thiện vì nỗ lực mà những kẻ tấn công mạng thực hiện trong việc thu thập thông tin để nhắm mục tiêu nạn nhân bằng kỹ thuật xã hội. Jon Clay, phó chủ tịch phụ trách tình báo về mối đe dọa của công ty an ninh mạng Trend Micro cho biết, họ đang sử dụng một lượng lớn thông tin có thể được thu thập trực tuyến.
“Các diễn viên điều tra nạn nhân của họ bằng cách sử dụng trí thông minh nguồn mở để có được nhiều thông tin về nạn nhân của họ [và] tạo ra các email lừa đảo rất thực tế để khiến họ nhấp vào URL, mở tệp đính kèm hoặc chỉ đơn giản là làm những gì email yêu cầu họ làm, như trong trường hợp các cuộc tấn công xâm nhập thư điện tử doanh nghiệp (BEC), ”ông nói.
Dữ liệu cho thấy rằng những kẻ tấn công cũng đang trở nên tốt hơn trong việc phân tích các công nghệ phòng thủ và xác định các hạn chế của chúng. Ví dụ: để truy cập các hệ thống phát hiện URL độc hại, tội phạm mạng đang ngày càng sử dụng các trang web động có vẻ hợp pháp khi email được gửi vào lúc 2 giờ sáng, nhưng sẽ hiển thị một trang khác lúc 8 giờ sáng, khi nhân viên mở thư. .
Cải tiến trong phòng thủ
Những kỹ thuật như vậy không chỉ đánh lừa, mà còn tận dụng sự bất đối xứng trong phòng ngự so với tấn công. Friedrich của Check Point cho biết việc quét mọi URL được gửi trong email không phải là một biện pháp bảo vệ có thể mở rộng. Việc chạy URL trong một hộp cát đầy đủ, phân tích các liên kết theo độ sâu cụ thể và sử dụng xử lý hình ảnh để xác định các trang web đang cố gắng bắt chước một thương hiệu đòi hỏi rất nhiều sức mạnh tính toán.
Thay vào đó, các công ty bảo mật email đang triển khai phân tích "thời gian nhấp chuột" để giải quyết vấn đề.
Ông nói: “Có một số thuật toán hoặc bài kiểm tra mà bạn không thể chạy trên mọi URL, vì máy tính rất lớn, nên cuối cùng nó trở thành giá bị cấm. “Làm điều đó tại thời điểm nhấp chuột, chúng tôi chỉ cần thực hiện kiểm tra các URL mà người dùng thực sự nhấp vào, đây là một phần nhỏ, do đó 1% tổng số liên kết trong e-mail.”
Ngoài ra, việc gia tăng khả năng phòng thủ dựa vào học máy và trí tuệ nhân tạo để phân loại các URL và tệp độc hại theo cách mà các hệ thống dựa trên quy tắc không thể, Clay của Trend Micro cho biết.
Ông nói: “Đối phó với các tệp đính kèm được vũ khí hóa có thể khó khăn đối với những kiểm soát bảo mật vẫn chỉ dựa vào chữ ký và không có các công nghệ tiên tiến có thể quét tệp bằng ML hoặc hộp cát, cả hai đều có thể phát hiện ra nhiều tệp phần mềm độc hại này. .
Ngoài ra, tuyên bố trước của Microsoft đã lưu ý rằng Office 365 bao gồm nhiều khả năng bảo vệ email đã được các nhà cung cấp khác thảo luận, bao gồm bảo vệ khỏi mạo danh, khả năng hiển thị trước các chiến dịch tấn công và sử dụng phương pháp heuristics và máy học nâng cao để nhận ra các cuộc tấn công lừa đảo ảnh hưởng đến toàn bộ tổ chức hoặc ngành.
