Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 6, 2018

Фишинг атаките стават все по-трудни за разпознаване

Всеки месец в глобалната мрежа се появяват близо 1.5 милиона нови фишинг сайтове, сочи презокеанско изследване

от , 27 юни 2018 0 730 прочитания,

Иван Гайдаров

Все по-голямото обвързване на виртуалния и реалния свят създава нови възможности – удобство, бързина, улеснен достъп до услуги, свързаност. Редом с тях обаче се разкриват и нови хоризонти и пред злонамерените играчи, които използват дигитализацията като ракетна площадка за изстрелване на еволюиращи кампании както срещу корпоративния свят, така и срещу крайните потребители.

Едно от най-често използваните оръжия в техния арсенал са фишинг атаките, е изводът от данните на статистиката. Според доклада на доставчика на решения за информационна сигурност Cofense например на 78% от европейските и 66% от американските ИТ специалисти им се е налагало в даден момент да се справят с последствията от фишинг атака или да предотвратяват такава. Едновременно с това всеки месец в глобалната мрежа се появяват близо 1.5 милиона нови фишинг сайтове, като през последната година се наблюдава увеличаване на опитите за подобен тип кампании с цели 65%.

“Фишинг атаките са начин потребителят да бъде подлъган да посети определен сайт или да последва дадена връзка. В общия случай най-често използваният канал е електронната поща, на която се изпраща писмо, със зловреден код, замаскиран под формата на нещо, което ще заинтригува потребителя. Фишинг сайтовете копират действително съществуващи адреси с минимални, трудно забележими разлики. Потребителите, които нямат навика да проверяват изцяло адресите, а това за жалост са повечето хора, могат лесно да бъдат подведени да извършат определено действие в мнимия сайт. Още повече че при подготовката на фишинг кампании се използват имена на податели, които изглеждат познати на жертвата, а текстовете на самите имейли обикновено са структурирани така, че да не предизвикват никакви съмнения”, обяснява Павлин Колдамов, технически консултант към доставчика на решения за ИТ сигурност Veracomp.

Фишинг атаките стават все по-трудни за разпознаване


Видове фишинг

Една от причините за това фишингът да се превърне в основен инструмент на злонамерените играчи през последните години е голямото разнообразие на подходи, които могат да бъдат използвани при организирането на кампании. Клонинг фишинг, “китолов” (whaling), вишинг (voice phishing) или англосаксонското понятие за телефонните измами стъпки в снега (snowshoeing) са само част от вариациите, които са систематизирали изследователите в областта на киберзащитата, но с развитието на технологии като машинно обучение и изкуствен интелект друг един подход става все по-популярен – персонализираният фишинг, известен още като „лов с харпун“ (spear phishing).
“В момента най-популярните подвидове интернет атаки с цел измама са два – “лов с харпун“ и „лов на стръв(angler phishing)”, обръща внимание Павлин Колдамов.

Лов с харпун“

Spear фишингът e много сходен със стандартния фишинг с разликата, че при подобни кампании се прилага точно таргетиране чрез предварително събрана информация за жертвите. В повечето случаи тези атаки са изключително успешни, тъй като се основават на база данни със специфична за получателя информация. За това колко опасни са този тип кампании свидетелства и фактът, че през миналата година група, наречена "74", успешно таргетира дори професионалисти в сферата на киберсигурността по време на конференцията Cyber Conflict, организирана от институции като Киберинститута на Военната академия на САЩ, Военната киберакадемия на НАТО и Центъра за върхови постижения в съвместната киберзащита на алианса.

“При spear фишинга се събира информация от форуми, мрежи, профили в социални платформи и всевъзможни други източници. Злонамерените актьори се възползват от факта, че мрежите се сканират постоянно и това невинаги е престъпление, тъй като има хора, които го правят за нуждите на различни анализи, създаване на софтуер и т.н. По този начин те остават скрити, докато следят виртуалните профили и създават такива за лично ползване. Когато един имейл съвпадне на няколко места, те вече могат да направят изчерпателно досие на потребителя – какво харесва, къде иска да почива, какво обича да яде, каква музика слуша, какви филми гледа. Всичко”, предупреждава Колдамов.

След това хакерът използва профил на компания или човек, познати на набелязания потребител, и изпраща от негово име подвеждащ имейл, чието съдържание е изключително точно, тъй като е базирано на реална информация.

“Ако например сте казали във форуми и други публични пространства, че искате да отидете на море в Хърватия, атакуващият използва това и ви представя мнима туристическа оферта с чудесни условия и линк, където да се регистрирате за допълнителна информация. В повечето случаи потребителите дори не обръщат внимание на това къде ги води съответния линк”, категоричен е специалистът по информационна сигурност.

Фишингът и социалните мрежи

Доскоро основният и почти единствен канал за фишинг атаки бяха електронните пощи. Все по-голямото проникване на социалните платформи в живота на потребителите обаче няма как да остане незабелязано от хакерите и те също насочват поглед в тази посока.

“Angler фишингът е тип атака, която използва социалните мрежи. Най-често хакерите избират Twitter, тъй като там става дума за кратки съобщения и много лесно се търси и събира информация, но това далеч не означава, че останалите платформи са защитени. Хакерът влиза и регистрира акаунт за поддръжка на определена голяма компания например и търси потребители, недоволни от дадена услуга. След това изследва мрежата, намира откъде чисто географски има най-много негативни коментари, проследява хаштаговете, за да достигне всички, които са ги използвали, и така насочва съобщенията си. В тях се обяснява, че това е локална поддръжка, която изисква единствено регистрация в сайта, към който води изпратеният линк. По този начин, ако потребителят не се замисли, както става в повечето случаи, влиза и записва данните си. В самия сайт той трудно би могъл да се усъмни, тъй като в повечето случаи платформата е изключително добре изпипана – съдържа много информация, всички нужни форми на документация, оригиналното лого и т.н.”, разказва Павлин Колдамов.

По думите му angler фишингът тепърва ще търпи развитие и ще трупа популярност, тъй като социалните мрежи са изключително лесни за използване и всеки може да си отвори акаунт, без да е нужно дори да вписва реалния си имейл.

Павлин Колдамов


Ръст и автоматизация

Според Колдамов основните фактори за ръста при фишинг атаките са няколко, като най-важният от тях е свързан с достъпността на нужните инструменти и улеснения начин за разпространение на информация.

“От друга страна, важна роля играят и новите тенденции като криптовалутите и изкуствения интелект. Като цяло всичко е свързано с взаимодействието между потребителите, независимо дали става дума за имейл, комуникационна платформа или смартфон”, обяснява той и добавя, че именно масовото разпространение на смартфони ще катализира и лавинообразното разпространение на фишинг кампании в следващите години.

“В днешно време всеки разполага със смартфон, на който са инсталирани всевъзможни социални мрежи, имейл агенти и всякакви други приложения, които могат да се използват за изключително лесен достъп.
Обикновено хакерите пишат един прост скрипт, който разпраща фишинг имейли от името на различни компании. Когато се отвори подобно писмо на смартфон, потребителите често го правят в движение, без да се замислят каква точно е изпратената им връзка. Още повече че има такива линкове, които специално са подготвени така, че да не могат да бъдат прочетени на един екран, което допълнително затруднява разкриването им. По този начин потребителите дори и впоследствие не осъзнават, че са станали жертва на фишинг атака”, разказва още Колдамов.

Възможността за автоматизация, която дават днешните технологии, също е основна част от причините за нарастващия обем на фишинг атаките.

“Инструментите за автоматизация съществуват отдавна, но съвременните технологии ги доразвиват изключително много. Машинното обучение например се използва често в различни хакерски кампании, тъй като достъпът до разбираемо поднесена информация е напълно свободен. По този начин всеки може да се научи как с помощта на вече готов софтуер да създаде приемлива автоматизирана система за фишинг атаки, спам, и т.н. Това се случва ежедневно”, коментира още техническият консултант на Veracomp.

Как да се предпазим

Въпреки че фишинг кампаниите стават все по-сложни и трудни за отразяване, това далеч не отрежда на бизнеса и крайните потребители ролята на безсилни жертви. Напротив, те притежават достатъчно инструменти на своя страна, за да противодействат на заплахата както стратегически, така и технологично.

“По принцип при фишинг атака е трудно да говорим за грешка на потребителите, тъй като всеки може да бъде подведен по един или друг начин, дори специалист в сферата. Ако атакуващият направи достатъчно точен профил и използва за стръв точната информация, вероятността за успешна кампания е много голям. Основното нещо, което трябва да имат предвид компаниите, е, че възможността потребителите да се последват злонамерен линк е много, много голяма. Те трябва да очакват това и да са готови с отговор”, акцентира Павлин Колдамов.

На първо място организациите могат да поставят под контрол работната комуникация на служителите си. “Затова е задължително наличието на решения, които гарантират т.нар. гейтуей, през който преминава комуникацията. Трябва да се има предвид обаче, че има заплахи, които не могат да бъдат прихванати толкова лесно, тъй като често атакуващите, вместо да прикрепят заразени файлове, използват HTML. Понякога в имейлите дори няма линк, а най-обикновен текст, който гласи например: “Моля, посетете сайта на ….”, и потребителят започва да търси в Google. При тази технология заразеният сайт е с домейн, който е копие на истински адрес. Така потребителят става жертва още с първото си кликване. Ако една компания няма инструмент, който да улавя именно това кликване, тя няма как да реагира навреме”, обяснява експертът от Veracomp.

По думите му в България често за фишинг кампании се използва името на една от трите банки с най-голям размер на активите, тъй като името ѝ вдъхва доверие, като в повечето случаи разликата между истинския и фалшивия домейн е само един символ – промяната на латинска буква в името с еквивалента ѝ на кирилица например. “Изградена по този начин, атаката има немалък шанс да премине през всеки гейтуей. Затова е удачно да се използва и някакво решение, базирано на облак, някакъв вид “пясъчник” (sand box), тестова среда за анализ на съмнителен софтуер. Когато потребителят кликне върху определена връзка, съответният “пясъчник” прихваща сайта и го анализира. Ако е компрометиран, ограничава достъпа до него”, обрисува едно от решенията Колдамов и обръща специално внимание, че компаниите трябва да покажат отговорност към цялостната сигурност във виртуалната среда, като изградят стратегии за защита на имената си в социалните мрежи. За целта те могат да използват различни маркетингови инструменти за сканиране на мрежата за файлове, свързани както с цялото име на компанията, така и с части от него.

“Другото изключително важно е обучението на персонала. Той трябва да знае поне в най-общи рамки какво може да се случи, какво трябва да гледа, когато получи електронна поща, или поне да знае кого да попита.
При един от нашите доставчици от ноември до декември миналата година има 500% ръст на фишинг атаките. От декември до януари още 200%. Тази година се очаква бум на подобни кампании, затова и много компании вече търсят обучения с т.нар. фишинг симулатори. Използването на подобни технологии дава нагледни примери как действа една атака и създава рефлекси и потребителска хигиена, а тя е изключително важна. Както човек си мие зъбите сутрин и вечер, така трябва да спазва и лична хигиена при използването на социалните мрежи, а и на интернет като цяло”, категоричен е техническият консултант по информационна сигурност.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов