对于零售和酒店行业的公司来说,假日购物季是他们一年中最繁忙的时期,无论是销售还是打击网络犯罪威胁。
今年也不例外,该行业的公司预计网络钓鱼、欺诈、凭证收集和不断发展的恶意软件格局将在未来几个月内给他们的安全状况蒙上阴影。 报告 零售与酒店信息共享与分析中心 (RH-ISAC) 本周发布。
2022 年 RH-ISAC 假日季威胁趋势摘要报告对分析师和行业组织成员进行了调查,了解他们本季度的安全重点是什么——定义为 1 月 31 日至 2020 月 2021 日之间的时间,这段时间人们倾向于上网为世界各地庆祝的节日购物,以及他们在 XNUMX 年和 XNUMX 年之前的节日期间经历过的事情。 RH-ISAC 准成员 Flashpoint 也为该报告提供了研究和数据。
虽然困扰该行业的许多威胁多年来一直保持不变,但随着威胁行为者开发新的恶意软件并利用新的漏洞,其他威胁正在迅速演变,带来新的问题,并需要每个季节加强和改变防御策略。
网络钓鱼和凭据盗窃
零售商表示,反复出现的威胁是他们今年最大的担忧,而网络钓鱼——这些组织指出这是一个全年存在的问题——是一个持续存在的重大担忧。 报告称,2020 年,近 20% 的零售商表示,网络钓鱼是其会员交易所、Slack 和核心成员 Listserv 委员会中最常见的威胁,而 16 年这一数字为 2021%。
事实上,各组织指出,假期往往会带来一系列社会策划的促销活动,旨在欺骗账户持有者获取他们的凭证并进行其他邪恶活动。
然而,比网络钓鱼更令人担忧的是这种威胁活动通常造成的结果:凭据窃取,分别有 42% 和 37% 的人表示这是 2020 年和 2021 年最常见的威胁。 零售商还担心威胁行为者使用信息窃取程序收集客户数据购买黑客论坛的情况有所增加,以及通常在假期期间增加的客户帐户接管行为。
涉及礼品卡和会员卡的其他类型的欺诈(前者允许威胁行为者保持匿名,因此在购物时难以追踪)以及与退回非合法购买的物品相关的欺诈将成为今年的焦点。
不断变化的恶意软件格局
该报告概述了 2020 年至 2021 年与恶意软件、机器人和漏洞相关的零售威胁的逐年变化,这些结果表明这种威胁形势的演变速度有多快。
其中一些威胁,例如 QakBot, Emotet, 特斯拉特工和 Dridex — 仍然是一个持续的担忧。 然而,研究人员发现,其他工具(例如 Log4Shell)迅速且可预测地出现,迫使组织在防御方面进行调整。
机器人对在线零售商的影响尤其明显,特别是在过去两年中,因为原本不参与犯罪活动的个人开始探索如何通过在威胁行为者论坛上转售被盗信息来赚取额外收入。到报告。
报告称:“这些‘副业’支持了一个已经蓬勃发展的生态系统,其中参与者一直在倒卖高需求的产品,以高价出售。” “使用自动化来支持这项活动会对后端造成严重的负面影响,甚至可能导致类似 DDoS 的中断。”
恶意软件和机器人活动的逐年变化反映了这种威胁形势变化的速度。 例如,2020 年, Emotet 银行木马 及其加载程序是零售商分享的最大恶意软件威胁,分别占 15% 和 8%,而远程访问木马 (RAT) AgentTesla 则占总体提及量的 4%。
然而,受访者表示,到 2021 年,AgentTesla 的知名度越来越高,零售商提及的次数达到 16%,而 Emotet 几乎从留言板上消失了。 而且,现在臭名昭著的 Log4j 崩溃 零售和酒店公司中有 16% 提到了这一威胁。
报告称,零售商表示,他们预计本假期最流行的恶意软件和机器人活动将来自 QakBot、Emotet、Agent Tesla 和 Dridex。
今年迄今为止威胁活动的变化包括冒名顶替网站的增加,以及新出现的以产品为中心或冒充高管的网络钓鱼尝试。 零售商表示,后者反映了旨在获取凭证并绕过多因素身份验证的社会工程攻击的增加。
零售和酒店防御
他们报告说,由于零售和酒店业预计在假日购物季遇到的威胁多种多样,因此他们今年计划采取的防御策略也各不相同,并且必须涵盖宏观和微观的方法来了解敌人。
报告称:“成员们报告称,他们重点关注了解欺诈者和威胁行为者在杀伤链中使用的非常具体的策略,以加强检测和缓解工作。” “了解威胁格局的广泛趋势以及它们在成员环境中的工作方式使分析师能够创建更有效的警报、检测和缓解工作。”
他们采取的一种策略是与各自的客户服务部门密切合作,部分方式是为客户服务代表提供威胁培训。 他们还维护品牌保护服务,以帮助打击恶意冒名顶替网站,并成立内部欺诈工作组来应对威胁。
在人员配置方面,零售商和酒店供应商认为一致性是关键,需要确保直接发现威胁的人员拥有适当的经验和知识来应对。 报告称,这些公司表示,他们可以实施变革冻结、人员配置调整或其他运营变革,为本赛季做好准备,包括改进端点检测和红队运营,以验证威胁问题并突出需要改进的领域。
公司发现对于加强假期安全特别有帮助的工具和实践包括:领先的供应商威胁情报平台和网络威胁情报源; RH-ISAC社区资源和共享平台; 更新的政策和计划; 并与领先的网络安全协会和非营利组织建立伙伴关系,以获取更多威胁研究背景。
