Konferencje
Mobile Trends

Cyberprzestępcy nieustannie odnoszą sukcesy w wyłudzaniu danych poprzez ataki nowego typu

Nowym rodzajem ataków polegających na podszywaniu się pod markę jest wykorzystywanie stron internetowych Google do wyłudzania od ofiar danych do logowania. Stanowiąc w pierwszych czterech miesiącach 2020 r. 4% wszystkich spersonalizowanych ataków phishingowych stały się one stałym elementem krajobrazu zagrożeń. Badacze spodziewają się, że liczba ta wzrośnie, ponieważ cyberprzestępcy nieustannie odnoszą sukcesy w wyłudzaniu danych poprzez ataki tego typu.

Wyróżnione zagrożenia

Ataki oparte na formularzach

W atakach polegających na podszywaniu się pod markę oszuści wykorzystują pliki, udostępniają treści lub inne strony, takie jak docs.google.com lub sway.office.com, by skłonić ofiary do przekazania swoich danych uwierzytelniających. Phishingowy e-mail zazwyczaj zawiera link do jednej z wyżej wymienionych stron internetowych, przez co ten wysoce wyspecjalizowany atak jest trudny do wykrycia. Jeden, szczególnie złośliwy atak umożliwia uzyskanie dostępu do konta ofiary nawet bez znajomości danych uwierzytelniających.

Wśród prawie 100 000 ataków poprzez formularze wykrytych przez analityków z firmy Barracuda od 1 stycznia do 30 kwietnia br., w 65% przypadków do oszustwa wykorzystywane były strony internetowe Google służące do przechowywania i udostępniania plików. Dotyczy to witryn takich jak storage.googleapis.com (25%), docs.google.com (23%), storage.cloud.google.com (13%) czy drive.google.com (4%).

Dla porównania, rozwiązania Microsoft były narzędziem jedynie dla 13% ataków: onedrive.live.com (6%), sway.office.com (4%) i form.office.com (3%). Inne witryny wykorzystywane w atakach polegających na podszywaniu się to sendgrid.net (10%), mailchimp.com (4%) oraz formcrafts.com (2%). Inne strony zostały wykorzystane tylko w 6 procentach tego typu ataków.

Szczegóły

Cyberprzestępcy wykorzystują ataki z wykorzystaniem formularzy do kradzieży danych uwierzytelniających na kilka sposobów:

Korzystanie z prawdziwych stron internetowych jako pośredników

Cyberprzestępcy wysyłają e-maile, które wydają się być generowane automatycznie przez stronę udostępniającą pliki, taką jak OneDrive. W ten sposób przekierowują swoją ofiarę na stronę phishingową za pośrednictwem prawdziwej strony do udostępniania plików. Atakujący wysyła e-mail z linkiem, który prowadzi do pliku przechowywanego na stronie takiej jak na przykład sway.office.com. Plik ten zawiera zdjęcie z linkiem do strony phishingowej z prośbą o podanie danych uwierzytelniających do logowania.

Tworzenie formularzy w celu wyłudzenia danych

Atakujący tworzą formularz online, korzystając z ogólnodostępnych rozwiązań tego typu, takich jak forms.office.com. Formularze przypominają stronę logowania do prawdziwego serwisu, a link do formularza jest następnie dołączany do e-maili phishingowych w celu zebrania danych uwierzytelniających.

Ten rodzaj ataków jest trudny do wykrycia, ponieważ e-maile zawierają linki wskazujące na prawdziwe strony internetowe wykorzystywane na co dzień przez różne organizacje. Usługi, które wymagają weryfikacji konta lub zmiany hasła, zazwyczaj jednak nie opierają się na tych domenach.

Uzyskiwanie dostępu do kont bez użycia haseł

W tym szczególnie złośliwym wariancie ataku cyberprzestępcy mogą uzyskać dostęp do kont swoich ofiar bez kradzieży ich danych uwierzytelniających. Oryginalny e-mail phishingowy zawiera link do strony wyglądającej jak zwykła strona logowania. Nawet nazwa domeny w oknie przeglądarki wydaje się odpowiadać temu, czego użytkownik może się spodziewać.

Link zawiera jednak prośbę o token dostępu do aplikacji. Po wprowadzeniu danych uwierzytelniających ofiara otrzymuje do zaakceptowania listę uprawnień aplikacji. Akceptując te uprawnienia ofiara nie oddaje bezpośrednio swojego hasła, lecz przyznaje aplikacji napastnika token, który umożliwia jej dostęp do danych na prawach użytkownika.

Takie ataki mogą pozostać niezauważone przez długi czas – w końcu użyli oni swoich danych na prawdziwej stronie internetowej. Nawet uwierzytelnianie dwuskładnikowe nie powstrzymuje cyberprzestępców, ponieważ złośliwa aplikacja korzysta z tokena i uprawnień dostępu do konta nadanych jej przez prawowitego użytkownika.

W czasie pisania tego tekstu, Microsoft wyłączył już tę konkretną aplikację, ale widzimy, że taktyka ta jest nadal używana.

Ochrona przed atakami poprzez formularze

Ochrona skrzynki odbiorczej wykorzystująca dostęp przez API

Cyberprzestępcy modyfikują taktykę działania w celu omijania bramek pocztowych i filtrów antyspamowych. Potrzebne jest więc rozwiązanie, które wykorzystuje sztuczną inteligencję do wykrywania i blokowania ataków takich jak przejmowanie kont i podszywanie się pod domenę. Nie można już polegać wyłącznie na oprogramowaniu szukającym złośliwych linków lub załączników, lecz należy wykorzystać technologię wykorzystującą uczenie maszynowe do analizy wzorców normalnej komunikacji w obrębie Państwa organizacji. Pozwoli to wykrywać anomalie, które mogą świadczyć o ataku.

Wdrożenie wieloskładnikowego uwierzytelniania

Uwierzytelnianie wieloskładnikowe, zwane też uwierzytelnianiem dwuskładnikowym lub dwuetapowym, zapewnia dodatkową ochronę – w stosunku do tradycyjnej nazwy użytkownika i hasła – dzięki zastosowaniu takich rozwiązań, jak kody uwierzytelniające (np. kody jednorazowe), odciski palca czy skany siatkówki.

Ochrona przed przejęciem konta

Używaj technologii, które mogą wykrywać podejrzane działania i potencjalne symptomy przejęcia konta – takie jak logowanie o nietypowych porach doby czy z nietypowych lokalizacji i adresów IP. Śledź adresy IP, które wykazują inne podejrzane zachowania, w tym nieudane logowanie i dostęp z podejrzanych urządzeń.

Monitoruj również konta e-mail pod kątem fałszywych, złośliwych reguł klasyfikowania wiadomości w skrzynkach odbiorczych. Metoda ta jest często wykorzystywana podczas przejmowania kont. Cyberprzestępcy logują się na konto, zmieniają ustawienia przekierowywania poczty i ukrywają lub usuwają wiadomości, które wysyłają, w celu zatarcia śladów swojej obecności.

Poprawa edukacji w zakresie bezpieczeństwa użytkowników

W ramach szkoleń z cyberbezpieczeństwa edukuj użytkowników na temat ataków poprzez pocztę elektroniczną, w tym ataków z wykorzystaniem formularzy. Upewnij się, że pracownicy potrafią rozpoznawać ataki, rozumieją zagrożenie i wiedzą, jak je zgłaszać. Wykorzystaj symulację phishingu do przeszkolenia użytkowników w zakresie rozpoznawania cyberataków, sprawdzania skuteczności szkolenia oraz oceny użytkowników najbardziej narażonych na ataki.

Udostępnij
Mobile Trends
Zobacz także