Cybersec Day 2022: Повечето от течовете на данни са следствие на фишинг

Axence

Cybersec Day 2022: Повечето от течовете на данни са следствие на фишинг

Симулациите на фишинг кампании са най-добрият начин за обучение на служителите

Александър Главчев
502 прочитания

Axence


Сравнително лесното организиране и високата доходност на фишинг атаките ги поставя на първо място сред рисковете при ИТ сигурността на компаниите, като 80% от пробивите са следствие именно на такива кампании. Това сподели Миглен Евлогиев, създател на Българската фондация за киберсигурност, на когото бе поверена встъпителната лекция на форума Cybersec Day 2022, организиран от Axence - полски разработчик на софтуер за цялостно управление на компютърни мрежи. Съорганизатор бе българският представител на компанията - Nikrama. Digitalk пък бе сред партньорите на събитието.

По думите на Евлогиев една от новостите при фишинга последните две-три години е техника, наречена браузър в браузъра. При нея с помощта на JavaScript пред очите на потребителя изскача прозорец, изглеждащ досущ като екрана за влизане с потребителско име и парола в легитимен популярен интернет сайт. Идеята е да се наподоби възможността предлагана от много услуги за улеснено регистриране или влизане в системата с помощта на например Apple, Facebook, Google или друг акаунт. Въвеждайки данните си потребителят ги предава директно в ръцете на измамниците.

Този тип измама може да е трудна за откриване тъй като не се имитира външният вид на цялата страница, в какъвто случай обикновено човек би могъл да забележи странности с нейния адрес. При измамите от типа браузър в браузъра "дори HTTPS връзката и всичко останало и изглежда съвсем легитимно, като за обикновения необразован потребител", подчерта Евлогиев. С други думи при реализиране на подобна атака срещу компания типичният потребител вероятно също не би заподозрял нищо.

Също така често използвани за фишинг са услуги като например CodePen, която позволява хостване на динамичен код, написан на HTML, CSS или JavaScript. Услугата предлага онлайн редактор, както среда за обучение и демонстрация, където разработчиците могат да пишат програми, да ги тестват и демонстрират.

Тези услуги обаче могат да се използват и за измами, защото там може да бъде хостван динамичен код, който може да бъде изпълняван, а идентификационните данни да бъдат споделяни с други участници в атаката.

Допълнително могат да се използват услуги за съкращаване на интернет адреси, чрез които да се създават поредици от връзки. По този начин блокирането на конкретен адрес не спира кампанията. Най-често се използват домейни, които са познати на потребителите. При атака срещу дадена организация пък това могат да бъдат имена на партньорски фирми.

Връзки към документи, най-вече PDF, също често се използват за фишинг. Според Евлогиев това може да е трудно предотвратимо, тъй като служителите често се нуждаят от достъп до услуги за съхранение на файлове като Dropbox, SharePoint и др., т.е. те не могат да бъдат просто забранени. Фишинг порталите пък могат да се адаптират в зависимост от използваното устройство от потребителска страна. Това позволява провеждане на атаки, насочени срещу определени компании. Ако измамниците са запознати с дадената фирма, те могат да използват наличната информация за по-точно насочване на кампаниите - включително изпращане на SMS съобщения със зловредни връзки.

Пример за последното видяхме съвсем скоро. През лятото комуникационната компания Twilio, предлагаща на клиентите си включително решения за двуфакторна автентикация, бе хакната, като атакуващите са използвали информация, че в организацията се използват Cloudflare. Нейни служители са получили SMS-и с измамни съобщения, че достъпът им до облачната услуга е отказан и че трябва да влязат в системата чрез приложена връзка.

Защо фишингът е толкова опасен

Високата доходност както и ниската сложност са основните причини за ръста в сферата през последните години. "Един средностатистически тийнейджър може да инициира такава атака", посочи Евлогиев.

Успеваемостта пък се доказва включително от симулации, провеждани от различни компании. Т.е. изпращане например на имейли, за да се види колко служители биха се подвели. Целенасочените атаки използващи знания за жертвите са още по-успешни.

Идея за доходността на такива кампании дават данни на ФБР, според които става въпрос за "бизнес", носещ приходи от 1,5 млрд. долара годишно. Според Евлогиев е възможно това число да е занижена, тъй като далеч не всички компании докладват подобни инциденти.

Данни на Cisco от миналата година пък сочат, че 80% от всички инциденти и до 90% от течовете на данни са именно заради фишинг. Тези числа са поредно доказателство за това, че нагласата "На мен няма да ми се случи" е наивна в наши дни. Логиката може да бъде сравнена с коланите за безопасност в автомобилите.

"В днешно време за съжаление, данните, особено тези за служителите, са обществено достояние", предупреди още експертът. Има няколко причини за това. На първо място са брокерите на данни онези организации, които събират лични и корпоративни данни (от профили в социални мрежи като LinkedIn) и колекционират информация за всичките крайни точки, сървъри за електронна поща и т.н. Налице е е пазарът в тъмната, неиндексирана, част на интернет (т.нар. даркнет), където такива данни се продават. С други думи бизнесите трябва да живеят с мисълта, че данните за тях са публични и създаването на тясно насочени атаки дори срещу на пръв поглед не много апетитни цели (каквито смятат, че са повечето компании) е по-лесно от всякога.

Какво може да се направи

На първо място компаниите трябва да разполагат с някаква форма на скенер за електронна си поща, т.е. нещо, което да преглежда имейлите и открива евентуални течове и прикачени файлове.

Препоръчва се още да се забрани влизане във вътрешните фирмени системи оттам, откъдето такъв трафик няма как да дойде. "Да речем, че нямате бизнес в Азия, просто блокирайте достъпа от там", посъветва Евлогиев. Ако пък изведнъж някой служител се логне в системата например от Гърция, вместо от обичайното си работно място в София, то е добре достъпът да бъде отказан до изясняване на ситуацията. Даденият човек може просто да е на почивка там.

Ограничение на достъпа - не е нужно всички служители да имат достъп до цялата система. Ако пък някое устройство бъде компрометирано, то се препоръчва незабавно спиране на достъпа и пълно изчистване на дисковете му, дори ако то принадлежи на директора.

Според опита на Евлогиев симулациите са особено полезни. "Симулирайте постоянно и многократно. Опитайте се да пригодите симулации за вашите потребители. Според мен това е най-ефективният начин за повишаване на осведомеността." Съветът е да се използват системи, които са в употреба в дадената организация, а след края на всеки експеримент да се споделят резултатите с екипа и да се обяснява как и защо се случва всичко.

Cybersec Day 2022 събра служители по киберсигурност, експерти, представители на правителството, бизнес лидери от ключови индустрии и публичната администрация. Събитието имаше да цел както да даде примери за добри практики, така и да даде възможност за гостите да се докоснат до експертен опит в управлението на ИТ.

Форумът бе разделен на три части - Общ модул, в рамките на който бе проведена дискусия с активно участие на публиката, Модул за ИТ управление и информационна сигурност, както и Модул за защита на данните.

Сравнително лесното организиране и високата доходност на фишинг атаките ги поставя на първо място сред рисковете при ИТ сигурността на компаниите, като 80% от пробивите са следствие именно на такива кампании. Това сподели Миглен Евлогиев, създател на Българската фондация за киберсигурност, на когото бе поверена встъпителната лекция на форума Cybersec Day 2022, организиран от Axence - полски разработчик на софтуер за цялостно управление на компютърни мрежи. Съорганизатор бе българският представител на компанията - Nikrama. Digitalk пък бе сред партньорите на събитието.

По думите на Евлогиев една от новостите при фишинга последните две-три години е техника, наречена браузър в браузъра. При нея с помощта на JavaScript пред очите на потребителя изскача прозорец, изглеждащ досущ като екрана за влизане с потребителско име и парола в легитимен популярен интернет сайт. Идеята е да се наподоби възможността предлагана от много услуги за улеснено регистриране или влизане в системата с помощта на например Apple, Facebook, Google или друг акаунт. Въвеждайки данните си потребителят ги предава директно в ръцете на измамниците.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК