News

Проблемы фишинга в условиях тотального карантина

News | 21.04.2020

Количество фишинговых афер связанных с коронавирусом растет с такой же скоростью как и распространение самого вируса. Неудивительно, что хакеры пользуются паникой вокруг пандемии коронавируса, чтобы заработать максимум, тем более больше 75000000 человек одномоментно переместились из офисов в свои дома.

Исследователи Barracuda Networks, которые обеспечивают сетевую безопасность для 220 000 корпоративных клиентов, сообщили, что количество атак связанных с коронавируса начала расти в январе. Затем, в первые три недели марта, количество атак невероятно возросла. Объем таких атак увеличился на 66,7% с февраля по более чем 9000 случаев. В период с 1 по 23 марта Barracuda Networks обнаружили 467825 spear-phishing атак, и 9116 таких кампаний были связаны с COVID-19. Для сравнения, компания обнаружила 1188 атак, связанных с коронавируса, в феврале и только 137 в январе. С атак, связанных с коронавируса, выявленных компанией до 23 марта, 54% - это мошенничества, 34% - подделка бренда, 11% - шантаж, а 1% - компрометация бизнес писем. Лишь пару лет назад компрометация деловой переписки вызвало главную обеспокоенность в CISO банков, поскольку хакеры использовали это для успешного осуществления мошеннических банковских переводов.

В своих аферах некоторые киберпреступники распространяют информацию о продаже лекарств от коронавируса или маски для лица или просят инвестиций в фейковые компании, которые заявляют, что разрабатывают вакцины. Другие просят пожертвования на ложные благотворительные организации. Цели атак варьировались от распространения злонамеренного программного обеспечения к краже данных и получения финансовой выгоды. Один новый тип вымогателя, вообще называется CoronaVirus.

Исследователи Barracuda заявили, что хакеры играют на страхе, неуверенности и даже симпатиях, возникающих в ситуациях COVID-19. В одной кампании утверждалось, что они имеют доступ к личной информации о жертве, знают их местонахождение и угрожали заразить коронавируса жертву и их семью, если не будет уплачен выкуп. Barracuda Networks обнаружили этот конкретный нападение 1008 раз в течение первых двух дней марта.
Исследователи отмечают, что вредоносное, которое эти преступники имплементируют в компьютеры пользователей с помощью фишинговых писем, похоже, на которое обычно использовалось в атаках на банки. Один из них - Emotet, популярный банковский троянин, который пытается находить и похищать конфиденциальную и личную информацию, например пароли онлайн-банкинга. Другая - LokiBot, вредоносное программное обеспечение, которое пытается похитить личные данные. 

Хакеры, используют фишинг, они не прибегают  так массово, как раньше, потому что фильтры электронной почты стали лучше выявлять вредоносные вложения. Они используют знания, полученные по электронной почте жертв, чтобы проводить високоцильовий spear-phishing и получить доступ к личных сообщений. После того, как хакер получает доступ к частной переписки, социальная инженерия становится очень интимным, а атаки становятся очень реалистичными.

Финансовая отрасль

Руководитель центра, заявил, что увеличение может быть следствием того, что члены организации проявляют большую бдительность и активность по обмену информацией о фишинг, связанной с COVID-19. И банки не фиксируют всех попыток фишинга, поэтому их добровольная отчетность не отражает полной картины. Для любой компании может потребоваться несколько месяцев, пока команда безопасности поймет, что фишинг-атака успешно проникла в сеть. В FS-ISAC также наблюдается рост количества "smishing" атак на банки, связанных с COVID-19. Это ложные сообщения, которые поступают как от государственных учреждений или банков с тематикой COVID-19.
Вредоносные веб-сайты также является проблемой для банков, переживающих коронавирусной кризис. Организация заявляет, что с нового года было создано более 81 000 доменов, связанных с COVID-19, и большинство из них рассматриваются как источник высокого риска мошенничества или вредоносного содержимого.
Около 100 из этих опасных веб-сайтов имеют дело с деятельностью, и основная часть их была создана именно в марте. Ожидается, что эта тенденция продолжится, поскольку COVID-19 повлияет на экономику, работников и их средства к существованию в ближайшем будущем.

Программы вымогатели снова в тренде

Служба реагирования Beazley Breach, которая помогает в расследованием клиентам со страховками, расследовать и смягчить последствия хакерства, также опубликовала отчет об угрозах безопасности. Они установили, что количество программ вымогателей выросла в 2019 году. Их клиенты сообщили о 775 случаев атак такого типа в 2019 году; 16% из них были в финансовых учреждениях.
Тенденция увеличения программ вымогателей (ransomware) - это собственно пандемия, так как она не проходит. Преступники решили, что они могут заработать, и заработали на этом много денег.
Такие программы обычно поступает в систему через успешную фишинг-атаку или из-за неправильно защищенный удаленный рабочий стол.
В протоколе удаленного рабочего стола многих компаний было выявлено более 20 уязвимостей, которые позволяют работникам получить доступ к компьютерам. Компании, которые не осуществляют патч менеджмент, дают хакерам простой способ взлома. Исследователи Beazley рекомендуют использовать VPN с многофакторной аутентификацией и позволять подключаться через удаленный рабочий стол только с помощью белых списков. Они также рекомендуют заставлять пользователей обновлять пароли через равные промежутки времени, не позволяя людям повторного использования паролей и обучать сотрудников распознавать и сообщать о подозрительной электронную почту.

Многофакторная аутентификация действительно является ключевым фактором, особенно, если люди работают удаленно. Системные администраторы действительно должны иметь доступ к системам только через систему, защищенную мультифакторной аутентификацией. Другой вариант защиты от вымогателей - это резервное копирование, которое отделено от остальной сети.
Резервное копирование будет очень полезным в случае неминуемой атаки, чтобы иметь возможность организации восстановить собственные данные, потому что никогда нельзя полагаться зло, чтобы восстановить данные даже после уплаты значительного выкупа. Так недавно целью злоумышленников стала компания Finastra и эта атака не будет последним. Сотрудники работающие из дома только повышают риски. Компании соревнуются с тем, чтобы организовать свой персонал так, чтобы он мог работать дома и выполнять свои функции дома, которые они иначе выполняли бы в банке и настраивали удаленную работу, и не всегда учитывают вызовы информационной безопасности. Некоторые компании внедряют многофакторную аутентификацию и другие средства защиты, которые могли бы помочь сделать удаленную работу немного более безопасной. Многие страны мира страны почти в течение 24 часов перешли к домашним офисов. Это совершенно новое явление, которое создает новые возможности для преступников.

Инсайдерская угроза

Специалисты отмечают кибер угрозах связанных с людьми которые работают из дома, переживающих несколько видов стресса, включая финансовый стресс.
Хакеры стремятся использовать ситуацию. Сейчас у них слишком уязвима цель - это люди, которые находятся под стрессом и вне поля зрения руководства. У нас есть люди, которые учились не будет нажата на ссылку открывать документ, но вдруг они сидят и проверяют те вложения, так как переживают за свое материальное положение. У них есть жена, которая потеряла половину дохода. Они наблюдают за рынками и не обращают внимания изучении трюки. Поэтому они делают ошибки, которые обычно их не готовили, но голова не работает очевидных причин, и это дает шанс для преступников.
 
Преступники используют LinkedIn для анализа того, кто и что делает что в организациях. Они понимают, основываясь на ролях в компании, кто имеет доступ к важным данным. Они используют эту уязвимость для эксплуатации, а затем попадают внутрь периметру. Большая разница между сегодня и тремя неделями назад, заключается в том, что руководители не могут видеть своих работников. Становится действительно сложно определить ранние индикаторы и красные флажки, которые возможно, дали вам шансы по крайней мере заметить, что вас атакуют. Даже после того, как пандемия закончится, все еще, вероятно, будет много людей, которые работают из дома. Люди просто не верят, что все будет так как раньше. Трудно узнать, каким будет этот новый мир, но он точно будет другим, и значение фишинговых атак в нем выйдет с первого места на первое.

Многие компании по всему миру уже осознали важность обучения собственного персонала противодействовать фишинговым атакам разного плана. Такие организации как CybeReady помогают автоматизировать процесс обучения. Неважно размер компании 1000 сотрудников или 100 000, находятся они в одной стране или в разных, говорящих на одном языке или десятком разных. 15 минут на запуск и 30 минут на анализ отчета. Именно столько времени потратит специалист ИБ на обучение персонала. Значительная экономия ресурса на уже на старте дает еще и уменьшение самых атак или снижение их эффективности. Одним из преимуществ решения от CybeReady является адаптация под конкретный персонал. Система способна запоминать поведение конкретного человека и реагировать на это подбирая для нее те или иные варианты фишинговых писем.

Автор: Кузяк Александр,  менеджер по развитию бизнеса Softprom