Недооценка проблемы фишинга в условиях тотального карантина

Количество фишинговых афер связанных с коронавирусом растет с такой же скоростью как и распространение самого вируса. Неудивительно, что хакеры пользуются паникой вокруг пандемии коронавируса, чтобы заработать максимум, тем более свыше 75 000 000 человек одномоментно переместились из офисов в свои дома.

Исследователи Barracuda Networks, которые обеспечивают сетевую безопасность для 220 000 корпоративных клиентов, сообщили, что количество атак связанных с коронавирусом начала расти в январе прошлого года. Затем, в первые три недели марта, количество атак невероятно возросла. Объем таких атак увеличился на 66,7% с февраля на более чем 9 000 случаев.

Специалисты не видели такого масштаба атак с начала финансового кризиса 2008 года.

Говорит Флеминг Ши, главный директор по технологиям Barracuda Networks:

«Это все вызвано страхом. Люди боятся, потому узнают правду ежедневно в новостях, а хакеры берут это на вооружение. Они рассматривают это как возможность»

В период с 1 по 23 марта 2020 года Barracuda Networks обнаружили 467 825 spear-phishing атак, и 9 116 таких кампаний были связаны с COVID-19. Для сравнения, компания обнаружила 1 188 атак, связанных с коронавирусом, в феврале и только 137 в январе.

С атак, связанных с коронавирусом, выявленных компанией до 23 марта, 54% - это мошенничества, 34% - подделка бренда, 11% - шантаж, а 1% - компрометация бизнес писем. Лишь пару лет назад компрометация деловой переписки вызвало главную обеспокоенность в CISO банков, поскольку хакеры использовали это для успешного осуществления мошеннических банковских переводов.

В своих аферах некоторые киберпреступники распространяют информацию о продаже лекарств от коронавируса или маски для лица или просят инвестиций в фейковые компании, которые заявляют, что разрабатывают вакцины. Другие просят пожертвования на ложные благотворительные организации.

Цели атак варьировались от распространения злонамеренного программного обеспечения к краже данных и получения финансовой выгоды. Один новый тип вымогателя, вообще называется CoronaVirus.

Исследователи Barracuda заявили, что хакеры играют на страхе, неуверенности и даже симпатиях, возникающих в ситуациях COVID-19. В одной кампании утверждалось, что они имеют доступ к личной информации о жертве, знают их местонахождение и угрожали заразить коронавирусом жертву и его семью, если не будет уплачен выкуп. Barracuda Networks обнаружили это конкретное нападение 1 008 раз в течение первых двух дней марта.

Исследователи отмечают, что вредоносное ПО, которое эти преступники имплементируют в компьютеры пользователей с помощью фишинговых писем, похоже, на которое обычно использовалось в атаках на банки.

Один из них - Emotet, популярный банковский троян, который пытается находить и похищать конфиденциальную и личную информацию, например пароли онлайн-банкинга. Другое - LokiBot, вредоносное программное обеспечение, которое пытается похитить личные данные.

Хакеры, которые используют фишинг, больше не применяют вложения так массово, как раньше, потому что фильтры электронной почты стали лучше выявлять вредоносные вложения.

Они используют знания, полученные по электронной почте жертв, чтобы проводить целевые spear-phishing и получить доступ к личным сообщениям.

После того, как хакер получает доступ к частной переписки, социальная инженерия становится очень интимной, а атаки становятся очень реалистичными.

Финансовая отрасль

В финансовой сфере цифры, о которых сообщается, не столь тревожные, но они растут.

Банки добровольно сообщают об угрозах безопасности, которые они видят, в Центр обмена и анализа информации о финансовых услугах (FS-ISAC). В феврале и марте FS-ISAC получила на 15% больше сообщений о фишинг-атаках, связанных с коронавирусом, чем в ноябре, декабре 2019 года и январе 2020 года.

Руководитель центра заявил, что увеличение может быть следствием того, что члены организации проявляют большую бдительность и активность по обмену информацией о фишинге, связанным с COVID-19.

И банки не фиксируют всех попыток фишинга, поэтому их добровольная отчетность не отражает полной картины. Для любой компании может потребоваться несколько месяцев, пока команда безопасности поймет, что фишинг-атака успешно проникла в сеть.

В FS-ISAC также наблюдается рост количества "smishing" атак на банки, связанных с COVID-19. Это ложные сообщения, которые поступают как от государственных учреждений или банков с тематикой COVID-19.

Вредоносные веб-сайты также являются проблемой для банков, переживающих коронавирусной кризис. Организация заявляет, что с начала 2020 года было создано более 81 000 доменов, связанных с COVID-19, и большинство из них рассматриваются как источник высокого риска мошенничества или вредоносного содержимого.

Около 100 из этих опасных веб-сайтов имеют дело с деятельностью, и основная часть их была создана именно в марте. Ожидается, что эта тенденция продолжится, поскольку COVID-19 повлияет на экономику, работников и их средства к существованию в ближайшем будущем.

Программы вымогатели снова в тренде

Служба реагирования Beazley Breach, которая помогает в расследованием клиентам со страховками, расследовать и смягчить последствия хакерства, также опубликовала отчет об угрозах безопасности. Они установили, что количество программ вымогателей выросла в 2019 году. Их клиенты сообщили о 775 случаев атак такого типа в 2019 году; 16% из них были в финансовых учреждениях.

Тенденция увеличения программ вымогателей (ransomware) - это собственно пандемия, так как она не проходит. Преступники решили, что они могут заработать, и заработали на этом много денег.

Такие программы обычно поступают в систему через успешную фишинг-атаку или из-за неправильно защищенный удаленный рабочий стол.

В протоколе удаленного рабочего стола многих компаний было выявлено более 20 уязвимостей, которые позволяют работникам получить доступ к компьютерам. Компании, которые не осуществляют патч менеджмент, дают хакерам простой способ взлома. Исследователи Beazley рекомендуют использовать VPN с многофакторной аутентификацией и позволять подключаться через удаленный рабочий стол только с помощью белых списков. Они также рекомендуют заставлять пользователей обновлять пароли через равные промежутки времени, не позволяя людям повторного использования паролей и обучать сотрудников распознавать и сообщать о подозрительной электронной почте.

Многофакторная аутентификация действительно является ключевым фактором, особенно, если люди работают удаленно. Системные администраторы действительно должны иметь доступ к системам только через систему, защищенную мультифакторной аутентификацией.

Другой вариант защиты от вымогателей - это резервное копирование, которое отделено от остальной сети.

Резервное копирование будет очень полезным в случае неминуемой атаки, чтобы иметь возможность организации восстановить собственные данные, потому что никогда нельзя полагаться на преступников, чтобы восстановить данные даже после уплаты значительного выкупа.

Сотрудники, работающие из дома, только повышают риски. Компании соревнуются с тем, чтобы организовать свой персонал так, чтобы он мог работать дома и выполнять свои функции дома, которые они иначе выполняли бы в банке и настраивали удаленную работу, и не всегда учитывают вызовы информационной безопасности.

Некоторые компании внедряют многофакторную аутентификацию и другие средства защиты, которые могли бы помочь сделать удаленную работу более безопасной. Многие страны мира страны почти в течение 24 часов перешли к домашним офисам. Это совершенно новое явление, которое создает новые возможности для преступников.

Инсайдерская угроза

Специалисты отмечают киберугрозы связанных с людьми, которые работают из дома, переживающих несколько видов стресса, включая финансовый стресс.

Хакеры стремятся использовать ситуацию. Сейчас у них слишком уязвима цель - это люди, которые находятся под стрессом и вне поля зрения руководства. У нас есть люди, которые учились не нажимать на ссылку или открывать документ, но вдруг они сидят и проверят те вложения, поскольку переживают за свое материальное положение. У них есть жена, которая потеряла половину дохода. Они наблюдают за рынками и не обращают внимания на изученные трюки. Поэтому они делают ошибки, к которым обычно их не готовили, но голова не работает с очевидных причин, и это дает шанс для преступников.

Преступники используют LinkedIn для анализа того, кто и что делает в организациях. Они понимают, основываясь на ролях в компании, кто имеет доступ к важным данным. Они используют эту уязвимость для эксплуатации, а затем попадают внутрь периметра.

Большая разница между сегодня и тремя неделями назад, заключается в том, что руководители не могут видеть своих работников. Становится действительно сложно определить ранние индикаторы и красные флажки, которые возможно, дали вам шансы по крайней мере заметить, что вас атакуют.

Даже после того, как пандемия закончится, все еще, вероятно, будет много людей, которые работают из дома.

Люди просто не верят, что все будет так как раньше. Трудно узнать, каким будет этот новый мир, но он точно будет другим, и значение фишинговых атак в нем выйдет на первое место.

Также сравнили для вас популярные продукты категории Кибербезопасность АСУ ТП. 

----------------
Автор: Oleksandr Kuziak, Cybersecurity Ambassador

* Статья ранее была опубликована в личном блоге автора на Линкедин