F5 2019 Phishing and Fraud Report

F5 Labs opublikowało 3. raport dotyczący phishingu i innych metod oszustw –  2019 F5 Phishing and Fraud Report, który zawiera najnowszy branżowy przegląd najczęstszych taktyk cyberprzestępców. Analizy wskazały, że phising jest obecnie najbardziej znaną metodą ataku wykorzystywaną do naruszania danych[. Zagrożone są przede wszystkim sektory: finansów, ochrony zdrowia, edukacji, organizacji non-profit i rachunkowości.

2019 Phishing and Fraud Report

Phishing przestał być sezonowy

Wraz ze wzrostem zagrożeń, F5 sugeruje, że phishing staje się nie tylko coraz mniej przewidywalną, ale także coraz bardziej uniwersalną metodą ataków. Jeszcze w ubiegłym roku SOC F5 odnotował 50% wzrost liczby ataków phishingowych między październikiem a styczniem – kiedy handel elektroniczny jest znacznie intensywniejszy. Ten trend nie jest już aktualny.

Sposoby pozyskiwania danych

Według F5 Labs adresy docelowe wiadomości e-mail typu phishing pochodzą z różnych źródeł, takich jak listy: spamowe i inteligentnego zbierania danych typu open source. W zależności od podejścia i intensywności ataku, wiadomości phishingowe mogą być wysyłane do tysięcy potencjalnych ofiar lub konkretnej osoby .

Anatomia ataku phishingowego 2019

Czym charakteryzowały się ataki w ubiegłym roku? Raport wskazuje, że trzy razy bardziej prawdopodobne było umieszczenie w wiadomości phishingowej złośliwego linka niż załącznika. Markami, pod które przestępcy najczęściej się podszywali to: Facebook, Microsoft Office Exachange i Apple.

Wiarygodność, wiarygodność i jeszcze raz wiarygodność…

Rok 2019 przyniósł dążenie do jeszcze większej wiarygodności ataków. Aż 71% stron phishigowych korzystało z HTTPS. F5 Labs zaobserwowało również, że ponad 7% złośliwych stron korzysta z szyfrowanych połączeń przez niestandardowe porty HTTPS (np. 8443). Wykorzystanie szyfrowania HTTPS w celu ukrycia złośliwego oprogramowania przed tradycyjnymi systemami wykrywania włamań (IDS) stało się powszechną taktyką cyberprzestępców. Większość szkodliwego oprogramowania nie może zostać wykryta bez kontroli SSL /TLS.

Certyfikacja

85% przeanalizowanych przez F5 Labs witryn korzystało z certyfikatów cyfrowych podpisanych przez zaufany urząd certyfikacji (CA). Cały sens potwierdzania certyfikatów polega na zapewnieniu o własności domeny organizacji. Zapewnienia te jednak nie działają w odpowiedni sposób. W rzeczywistości Chrome i Firefox ogłosiły plany usunięcia certyfikatów Extended Validation z ekranu głównego, a safari Apple już zdewaluowało jego wartość.

Najczęściej wykorzystywane domeny

Fałszywe strony phishingowe znajdowały się na wielu różnych hostach internetowych.  Najważniejszą domeną z unikalnymi stronami phishingowymi okazał się blogspot.com, który był odpowiedzialny za 4% wszystkich analizowanych przypadków phishingu i 43% złośliwego oprogramowania.

Popularna platforma blogowa pozwala użytkownikom łatwo hostować złośliwe treści w dobrze rozpoznawalnej domenie, która zapewnia bezpłatne certyfikaty TLS klasy OV dla wszystkich swoich witryn.

Wzrost znaczenia automatyzacji

Kolejnym znaczącym trendem w tegorocznym raporcie jest rosnąca liczba ataków z wykorzystaniem automatyzacji, która pozwala na optymalizację działań. Dane wskazują, że wiele witryn phishingowych uzyskuje certyfikaty za pośrednictwem usług takich jak cPanel (zintegrowany z Comodo CA) i LetsEncrypt. 36% stron phishingowych miało certyfikaty ważne tylko na 90 dni, co wskazuje na użycie narzędzi do automatyzacji w tym zakresie.

F5: nowa analiza cyberataków

Jak się chronić w obliczu rosnącej liczny ataków?

Wciąż jednym z najważniejszych elementów zabezpieczenia przed atakami phishingowymi są szkolenia i nieustanne edukowanie w tym zakresie. Przedsiębiorstwa powinny również stosować odpowiednie techniki kontrolowania bezpieczeństwa:

  • Uwierzytelnianie wieloskładnikowego (MFA) – które zapobiega wykorzystywaniu skradzionych danych logowania, wskazując na ich użycie w nieoczekiwanej lokalizacji lub z nieznanego urządzenia.
  • Wyraźne oznaczanie wszystkich wiadomości pochodzących ze źródeł zewnętrznych – co pomaga zapobiegać ich fałszowaniu.
  • Priorytetowe traktowanie oprogramowania antywirusowego – w większości przypadków antywirusy przerwą próby instalacji złośliwego oprogramowania. Jest tylko jeden warunek – muszą być na bieżąco aktualizowane. Aktualizacje powinny być ustawione tak, aby odbywały się minimum raz dziennie.
  • Rozwiązania do filtrowania stron internetowych – które uniemożliwiają użytkownikom nieumyślne odwiedzanie witryn phishingowym. Po kliknięciu w złośliwy link, ruch wychodzący jest automatycznie blokowany.
  • Sprawdzanie zaszyfrowanego ruchu w poszukiwaniu złośliwego oprogramowania – taki ruch komunikuje się z serwerami dowodzenia i kontroli (C&C) przez zaszyfrowane tunele i jest niewykrywalny bez narzędzi deszyfrujących. Konieczne jest odszyfrowanie ruchu wewnętrznego przed wysłaniem go do narzędzi wykrywających incydenty w ramach przeglądu infekcji.
  • Ulepszenie mechanizmów raportowania – odpowiedzi na incydenty powinny obejmować usprawnioną i niewskazującą na winę metodę oznaczania podejrzanych ataków typu „phishing”.
  • Monitorowanie punktów końcowych – które pozwala na uzyskiwanie lepszej widoczności. Ważne jest zrozumienie, w jaki sposób złośliwe oprogramowanie staje się aktywne w sieci i wiedza o tym, które dane są narażone na ataki.

F5 2019 Fishing and Fraud report