Z raportu F5 Labs dotyczącego phishingu i oszustw online w 2020 r. wynika, że cyberprzestępczość znacznie się intensyfikuje. Liczba ataków phishingowych wzrosła o 220% w szczycie pandemii, w porównaniu do średniej rocznej. Dane z Security Operations Center (SOC) F5 wskazują, że phishingu jest o 15% więcej r/r. Eksperci przewidują, że liczba ataków może wzrosną wraz z rozprzestrzenianiem się drugiej fali pandemii.
Cyberprzestępcy rozsyłający e-maile phishingowe powiązane z COVID-19 podszywają się głównie pod organizacje charytatywne, aby wyłudzić darowizny, zbierać dane uwierzytelniające i podsyłać złośliwe oprogramowanie. Bez oporów moralnych wykorzystują pandemię. F5 Labs zbadało zaufane certyfikaty pod kątem logowania. Liczba tych wszystkich (publicznie zaufanych) certyfikatów, w których używa się terminów „covid” i „corona”, osiągnęła szczytowy poziom 14 940 w marcu i stanowi to wzrost o 1102% w stosunku do lutego br.
Ryzyko wyłudzenia informacji jest większe niż kiedykolwiek, a oszuści coraz częściej używają certyfikatów cyfrowych, aby ich witryny wyglądały na autentyczne – mówi Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. Atakujący szybko i bez zahamowani wykorzystują trendy związane z emocjami, a pandemia będzie tylko zwiększać i tak już znaczące zagrożenie z ich strony. Niestety, z naszych badań wynika, że na całym świecie nadal brakuje kontroli bezpieczeństwa, szkoleń użytkowników i wystarczającej świadomości społecznej.
Domena phishera
F5 Labs zauważa, że oszuści stają się coraz bardziej kreatywni. W 2020 r. 52% witryn phishingowych używało docelowych nazw marek i tożsamości w swoich adresach internetowych. F5 Labs wskazuje, że w 2 poł. 2020 r. najczęściej atakowaną marką był Amazon, a w pierwszej dziesiątce znalazły się też Paypal, Apple, WhatsApp, Microsoft Office, Netflix i Instagram.Śledząc kradzież danych uwierzytelniających, F5 Labs zaobserwowało, że przestępcy próbowali ich użyć w ciągu jedynie czterech godzin od chwili wyłudzenia. Niektóre z ataków miały nawet miejsce w czasie rzeczywistym – te mają umożliwić hakerom przechwytywanie kodów zabezpieczających uwierzytelniania wieloskładnikowego (MFA).Hakerzy szukają adresów URL znanych, ale podatnych na ataki. W 2020 r. same witryny WordPress stanowiły 20% adresów phishingowych gdy jeszcze w 2017 r. było to zaledwie 4,7%.Ponadto, cyberprzestępcy w coraz większym stopniu obniżają swoje koszty korzystając z bezpłatnych rejestratorów, takich jak Freenom, dla niektórych krajowych domen najwyższego poziomu, w tym „.tk[1]”, „.ml”, „.ga”, „.cf” i „.gq”.
Zaszyfrowana kradzież
Przestępcy zintensyfikowali w 2020 r. wysiłki, aby fałszywe witryny wyglądały jak najbardziej autentyczne. Statystyki F5 SOC wykazały, że większość stron phishingowych wykorzystuje szyfrowanie, a 72% używa ważnych certyfikatów HTTPS, aby oszukać ofiary. Ponadto, 100% stref zrzutu – czyli miejsc docelowych dla skradzionych danych wysyłanych przez szkodliwe oprogramowanie – korzystało z szyfrowania TLS (wzrost z 89% w 2019 r.).Łącząc incydenty z 2019 i 2020 roku, F5 Labs dodatkowo zauważa, że 55,3% stref zrzutu korzystało z niestandardowego portu SSL/TLS. Port 446 był używany we wszystkich przypadkach, z wyjątkiem pierwszego. Analiza stron phishingowych wykazała, że 98,2% używa standardowych portów: 80 dla ruchu HTTP jawnym tekstem i 443 dla ruchu szyfrowanego SSL/TLS.
Nadchodzące zagrożenia
Według ostatnich badań firmy Shape Security (po raz pierwszy zintegrowanych z raportem Phishing and Fraud Report), na horyzoncie widać dwa główne trendy phishingowe.W wyniku ulepszonych mechanizmów kontroli i rozwiązań bezpieczeństwa ruchu botnetowego, osoby atakujące zaczynają wykorzystywać farmy kliknięć. Oznacza to, że dziesiątki zdalnych „pracowników” systematycznie próbują zalogować się na docelowej stronie internetowej przy użyciu ostatnio zebranych danych uwierzytelniających. Połączenie pochodzi od człowieka korzystającego ze standardowej przeglądarki internetowej, co utrudnia wykrycie oszustwa.Dla przykładu: Shape Security przeanalizowała 14 milionów logowań miesięcznie w organizacji świadczącej usługi finansowe. Odnotowała wskaźnik „manualnych” oszustw na poziomie 0,4%, co oznacza równowartość 56 000 nieuczciwych prób logowania przez wynajętych ludzi. Taka działalność przestępcza będzie tylko rosnąć.Badacze Shape Security odnotowali również wzrost liczby serwerów RTTP (protokół transferu w czasie rzeczywistym), które mogą przechwytywać i wykorzystywać kody uwierzytelniania wieloskładnikowego (MFA). RTPP działa jako „pośrednik” i przechwytuje transakcje ofiary z prawdziwą witryną internetową. Ponieważ atak następuje w czasie rzeczywistym, złośliwa witryna może zautomatyzować proces przechwytywania i odtwarzania uwierzytelniania opartego na czasie, takiego jak kody MFA. Może nawet kraść i ponownie wykorzystywać pliki cookie sesji. Ostatnio używane aktywne serwery proxy do phishingu w czasie rzeczywistym to Modlishka2 i Evilginx23. F5 Labs i Shape Security mają monitorować rosnące wykorzystanie RTPP w nadchodzących miesiącach.Ataki phishingowe będą skuteczne, dopóki będzie istniał człowiek, którym można w jakiś sposób manipulować. Zarówno mechanizmy kontroli bezpieczeństwa, jak i przeglądarki internetowe muszą być sprawniejsze we wskazywaniu użytkownikom fałszywych witryn – dodaje Ireneusz Wiśniewski. Ludzie i organizacje również muszą zadbać o szkolenia w zakresie najnowszych technik stosowanych przez oszustów. Najważniejsze, aby położyć w nich duży nacisk na sposób, w jaki osoby atakujące wykorzystują trendy, takie jak pandemia.
[1] .tk jest obecnie piątą najpopularniejszą zarejestrowaną domeną na świecie