Фишинг имейлите се опитват да склонят към действие жертвите, използвайки „горещи” теми
(снимка: CC0 Public Domain)
В последните седмици киберпрестъпниците ефективно промениха тактиките си, за да се възползват от страха от COVID-19, алармира доставчикът на решения за сигурност Menlo Security. Фишинг атаките, използващи страшната дума, са много успешни.
Фишинг имейлите се опитват да склонят към действие потенциалните жертви, като привличат вниманието им с тема, предназначена да ги заинтригува или уплаши. Често те представят някаква тема от новините. Предвид нашествието на коронавируса по света, киберпрестъпниците сега експлоатират горещата тема в новите си фишинг кампании. Очевидно тази стратегия работи.
В доклад, публикуван в сряда, Menlo констатира „процъфтяващ успех” при фишинг атаките, свързани с COVID-19. От 25 февруари до 25 март обемът на успешните ежедневни атаки от този вид е нараснал от 200 до 6 400. Цифрата показва броя на хората, които са кликнали на връзка във фишинг имейл с тема, свързана с коронавируса, и са посетили зловреден уебсайт.
Първоначалният скок започва на 11 март – деня, когато Световната здравна организация нарече вируса пандемия. Оттогава тенденцията върви само нагоре.
В най-новите фишинг кампании киберпрестъпниците използват различни стратегии, с които преодоляват традиционната защита и дори предпазливостта на потребителите с добра грамотност с в областта на киберсигурността. Например, използват се прикачени PDF файлове и SaaS услуги.
При един сценарий нападателят е реализирал фишинг кампания, насочена към ключови мениджъри и финансови служители в определени организации с цел да открадне идентификационните им данни. За да извърши атаката, човекът предварително е направил необходимите проучвания. Оформил е персонализирани съобщения с хедъри и футъри, използвани от организациите-жертви, имитирайки по структура имейлите им.
Вместо да постави линк в тялото на имейла, нападателят е включил прикачен PDF файл, който съдържа съкратена URL връзка. Поставянето на такава връзка помага да се заобиколят традиционните защити. Освен това PDF файловете често се считат за безопасни и им се позволява да преминават през много филтри за сигурност.
На следващо място нападателят е използвал действителна услуга на Microsoft, за да състави формуляра, с който изисква от жертвите си да попълнят потребителските имена и паролите си. Използването на уважавана SaaS услуга (софтуер като услуга) е друг начин да се помогне на фишинг схемата да избегне повечето традиционни защити и да се приспи бдителността на жертвата.
Според Menlo, може да се смята, че корпоративните SaaS атаки стават все по-ефективни, като 97% от тях използват само пет популярни SaaS услуги.
В крайна сметка за жертвата – например главния счетоводител – изглежда, че имейлът идва от изпълнителния директор, съдържа „безопасен” прикачен PDF файл и насочва хората към утвърдена и уважавана услуга от Microsoft. С подобна многопластова схема атаката успява успешно да заобиколи съществуващите защитни прегради и да подмами хората да отворят формуляра, за да попълнят своите имена и пароли.
С разпространението на коронавируса вероятно подобни фишинг атаки ще се увеличават, прогнозират специалистите. При това се очаква атакуващите да продължат да развиват своите техники.
„Използването на решения с единично входиране (SSO) или увеличаването на честотата за промяна на паролата може да помогне”, казва пред Tech Republic главният технологичен директор на Menlo Security – Коусик Гурусвами. „Но злощастната реалност е, че наистина няма добър начин организациите да се защитят от този тип атаки”.
Едно от предизвикателствата, пред които днес се изправя индустрията, е, че повечето продукти и стратегии за сигурност разчитат на модел на атака, идентифицирана по-рано, пояснява Гурусвами. „Но броят на успешните атаки, за които четем в новините, показва, че престъпниците са способни да създават иновации и да развиват своите тактики за заобикаляне на защитните сили”.
Специалистите препоръчват служителите да бъдат много бдителни и да гледат със съмнение на всеки имейл, който засяга темата COVID-19 в момента. За да намалят риска от атаки, хората трябва да направят така, че да не използват едни и същи пароли за няколко акаунта. Също така сега е важно паролите да се променят по-често.