Kampanie phishingowe stały się o wiele bardziej złowrogie w 2024 r.

Coraz większa różnorodność zagrożeń skierowanych przeciwko ludziom i firmom.

Phishing to jedno z najpowszechniejszych i najgroźniejszych zagrożeń, stanowiące przyczynę niemal jedna trzecia wszystkich cyberataków w zeszłym roku. W drugiej połowie 2024 r. liczba ataków phishingowych wzrosła o 202% użytkownicy otrzymują co najmniej jedną zaawansowaną wiadomość phishingową, która może ominąć zabezpieczenia tygodniowo. Poniżej przedstawiono kilka godnych uwagi przykładów z 2024 r., które ilustrują, jak zagrożenia phishingowe wzrosły i ewoluowały pod względem złożoności. Organizacje powinny dokładnie przeanalizować te przykłady, aby przygotować swoje zabezpieczenia na 2025 r.

1. Przyspieszone zaciemnianie stron mobilnych wykorzystywane do phishingu

Google pierwotnie opracował Adresy URL AMP aby zwiększyć doświadczenie użytkownika i wydajność stron internetowych o dużej zawartości treści. Aktorzy zagrożeń są teraz eksploatowanie ta funkcjonalność maskuje złośliwe adresy URL i omija zabezpieczenia poczty e-mail. Wykorzystując legalne domeny i dodając wiele warstw przekierowań w tych adresach URL, atakujący mogą ukryć prawdziwe miejsce docelowe adresów URL i prześlizgnąć się obok skanerów adresów URL niezauważeni, ponieważ te narzędzia bezpieczeństwa są zaprojektowane wyłącznie w celu weryfikacji reputacji widocznych domen. Atakujący wiedzą, że użytkownicy mają tendencję do najeżdżania kursorem na łącza URL przed kliknięciem ich, dlatego ta metoda zaciemniania pomaga im oszukać użytkownika, sprawiając, że pomyśli, że klika adres URL z zaufanej domeny.

2. YouTuberzy na celowniku ataków phishingowych

Bardzo cyberataki mają podłoże finansowe. Nic więc dziwnego, że cyberprzestępcy biorą na cel zamożnych influencerów YouTube. Według raportu ChmuraSEK , aktorzy zagrożeń kontaktują się z użytkownikami YouTube pod pretekstem próśb o promocję marki lub umów o współpracy. Podszywają się pod zaufane marki i dostarczają pliki z malware, które są zamaskowane jako umowy lub materiały promocyjne, hostując je na platformach w chmurze, takich jak OneDrive. Gdy takie złośliwe załączniki zostaną pobrane i otwarte na komputerze ofiary, malware instaluje się i kradnie poufne dane, takie jak informacje finansowe, własność intelektualna i dane logowania.

3. Phisherzy zwiększają liczbę ataków BEC na sprzedawców detalicznych

Niektóre źródła podają 3,4 miliarda wiadomości e-mail phishing są wysyłane codziennie. Ataki typu Business Email Comprehensive (BEC) kosztują firmy prawie 5 milionów dolarów rocznie incydent W jednym z takich incydentów, Pepco Węgierska jednostka biznesowa grupy stała się celem kampanii BEC, w której atakujący podszywali się pod starszego dyrektora, fałszując jego adres e-mail. E-mail zawierał przekonujący język, który skłonił odbiorcę do przekazania 15,5 mln euro bez weryfikacji uprawnień nadawcy. Chociaż ataki BEC mogą dotknąć każdą firmę, niezależnie od jej wielkości, przychodów lub branży, studia pokazują, że organizacje o wyższych przychodach są bardziej narażone na ataki BEC niż firmy o niższych przychodach. Częstotliwość występowania ataków BEC jest __ najwyższa __ w handlu detalicznym.

4. Coraz więcej oszustw związanych z nekrologami opartymi na sztucznej inteligencji

Naukowcy z Bezpieczne prace natknąłem się na oszustwo socjotechniczne, którego celem są osoby poszukujące informacji o niedawno zmarłych osobach. Oszustwo polega na publikowaniu fałszywych nekrologów na fałszywych stronach internetowych i stosowaniu technik zatruwania SEO w celu kierowania ruchu na te strony. Atakujący wykorzystują technologię AI do tworzenia długiego hołdu z faktów wyodrębnionych z krótszego hołdu. Celem jest przekierowanie użytkowników do złośliwych stron, gdzie są narażeni na adware, infostealers i inne złośliwe programy.

5. Przejęte załączniki w wątkach wiadomości e-mail z fakturami

Naukowcy z IBM wykryto nowy rodzaj ataku phishingowego, który dotyka organizacje finansowe, technologiczne, produkcyjne, medialne i e-commerce w całej Europie. Atak zaczyna się od wysyłania przez złoczyńców prawdziwych powiadomień o fakturach, które zostały skradzione lub przejęte przy użyciu zhakowanych danych uwierzytelniających e-mail. Czym te wiadomości e-mail różnią się od oryginalnych wiadomości e-mail, jest to, że zawierają one przełączony załącznik ZIP, który jest chroniony hasłem, aby uniknąć filtrowania wiadomości e-mail i inspekcji piaskownicy. Nazwy plików są nawet dostosowywane do docelowej organizacji, aby wyglądały bardziej autentycznie. Gdy odbiorca rozpakowuje plik, złośliwe oprogramowanie typu infostealer (takie jak StrelaStealer) infekuje komputer ofiary i kradnie dane uwierzytelniające e-mail przechowywane w programie MS Outlook lub Mozilla Thunderbird.

Najważniejsze wnioski

Żadne pojedyncze narzędzie na świecie nie może zapewnić niezawodnej ochrony przed phishingiem. Aby złagodzić phishing, organizacje muszą skupić się na podstawach bezpieczeństwa:

1. Zbuduj kadrę pracowniczą świadomą kwestii bezpieczeństwa: poprzez regularne szkolenia, ćwiczenia zwiększające świadomość oraz testy symulujące phishing, zbuduj kadrę pracowniczą odpowiedzialną i czujną w kwestiach cyberbezpieczeństwa.

2. Regularnie aktualizuj oprogramowanie: upewnij się, że systemy, sprzęt, aplikacje i oprogramowanie są aktualne, aby uniemożliwić atakującym wykorzystanie nowych lub istniejących luk w zabezpieczeniach.

3. Przyjmij zasadę zerowego zaufania: Wdróż narzędzia i procesy oparte na zasadzie zerowego zaufania (nigdy nie ufaj, zawsze weryfikuj), które koncentrują się na weryfikacji tożsamości użytkownika przed udzieleniem mu dostępu do zasobów lub danych firmy.
   
4. Upoważnij pracowników: zapewnij pracownikom narzędzia bezpieczeństwa, takie jak menedżerowie haseł, aby nie padli ofiarą zagrożeń, takich jak ponowne użycie hasła. Ułatw pracownikom kontakt z zespołem ds. bezpieczeństwa i zgłaszanie wiadomości phishingowych. Ustanów i przekaż jasne i przejrzyste zasady bezpieczeństwa, zasady, których należy przestrzegać, itp.

5. Wdróż solidne zabezpieczenia poczty e-mail: korzystaj z zaawansowanych filtrów poczty e-mail (najlepiej opartych na sztucznej inteligencji), które potrafią wykrywać podejrzane wzorce, takie jak nietypowe adresy nadawców, złośliwe adresy URL i domeny.

Opisane powyżej techniki phishingu podkreślają rosnącą wyrafinowanie i różnorodność zagrożeń wymierzonych w osoby i organizacje. Te nowe metody pokazują potrzebę zwiększonej czujności i proaktywnych środków bezpieczeństwa. Budowanie świadomej bezpieczeństwa siły roboczej, wyposażanie jej w narzędzia, przyjmowanie zerowego zaufania, regularne aktualizowanie oprogramowania i wdrażanie solidnego zabezpieczenia poczty e-mail może zapewnić krytyczną obronę przed przyszłymi falami ataków phishingowych.