Ochrona przed atakami phishingowymi – trzy kluczowe wskazówki
Firma Barracuda nawiązała niedawno współpracę z naukowcami z Uniwersytetu Columbia, aby przeanalizować geografię wiadomości phishingowych i sposób, w jaki są one kierowane.
Zaskakująco duża liczba ataków pochodzi od dużych, legalnych dostawców usług w chmurze
Badając geolokalizację i infrastrukturę sieciową w ponad 2 miliardach wiadomości e-mail, w tym 218 tys. wiadomości phishingowych wysłanych w styczniu 2020 r., stwierdzono, że istnieje większe prawdopodobieństwo, że wiadomości phishingowe pochodzą z określonych krajów w części Europy Wschodniej, Ameryki Środkowej, Bliskiego Wschodu i Afryki, a także że są one kierowane przez większą liczbę lokalizacji niż wiadomości, które są bezpieczne.
Stwierdzono również, że zaskakująco duża liczba ataków pochodzi od dużych, legalnych dostawców usług w chmurze. Eksperci spekulują, że dzieje się tak dlatego, że atakujący są w stanie przechwycić legalnie działające serwery i/lub konta e-mail hostowane przez tych dostawców.
Rys. 1 Geografia wiadomości phishingowych.
Warto przyjrzeć się bliżej wpływowi geografii i infrastruktury sieciowej na ataki phishingowe oraz rozwiązaniom pomagającym w ich wykrywaniu, blokowaniu i usuwaniu skutków.
Wyróżnione zagrożenie
Geolokalizacja i charakterystyka sieciowa ataków phishingowych. W atakach phishingowych osoby atakujące stosują taktyki socjotechniczne, aby nakłonić ofiary do podania danych osobowych, takich jak nazwy użytkownika, hasła, numery kart kredytowych lub informacje bankowe.
Wykrywanie phishingu koncentruje się w dużej mierze na treści wiadomości phishingowych oraz zachowaniu osób atakujących. Ponieważ jednak ataki phishingowe stają się coraz bardziej złożone, osoby próbujące się przed nimi bronić muszą stosować coraz bardziej wyrafinowane metody.
Zespół badawczy Firmy przyjrzał się charakterystyce wiadomości phishingowych na poziomie sieci, ponieważ cechy na tym poziomie są bardziej trwałe i trudniejsze do zmanipulowania przez atakujących.
Wykrywanie phishingu koncentruje się w dużej mierze na treści wiadomości phishingowych oraz zachowaniu osób atakujących
Wyodrębniono adresy IP z pól „received” w nagłówkach wiadomości e-mail, które zawierają informacje o serwerach, przez które przechodzą wiadomości. Badanie tych danych pozwoliło na poznanie drogi, jaką przebywa phishingowy e-mail między nadawcą a odbiorcą.
Czytaj także: Cyberprzestępcom wystarczą dane z mediów społecznościowych, nie muszą włamywać się na konta
Droga phishingowego e-maila
Analiza ujawniła trzy kluczowe wnioski:
1. E-maile phishingowe częściej mają trasy wiodące przez wiele krajów.
Ponad 80% bezpiecznych wiadomości e-mail jest kierowanych przez dwa lub mniej krajów, w porównaniu do nieco ponad 60% wiadomości phishingowych. Wskazuje to, że dobrą cechą dla klasyfikatora wykrywającego phishing mogłoby być sprawdzenie liczby krajów, przez które przechodzi wiadomość e-mail.
Rysunek 2: Liczba odrębnych krajów odwzorowanych z tablicy IP.
2. Kraje, w których prawdopodobieństwo wystąpienia phishingu jest wyższe, znajdują się w części Europy Wschodniej, Ameryki Środkowej, na Bliskim Wschodzie oraz w Afryce.
Eksperci określili prawdopodobieństwo phishingu dla kraju nadawcy, identyfikując kraj nadawcy za pomocą danych geolokalizacyjnych i obliczając prawdopodobieństwo phishingu dla każdego kraju jako:
Niektóre kraje, z których pochodzi duża liczba wiadomości phishingowych, charakteryzują się wyjątkowo niskim prawdopodobieństwem wystąpienia phishingu. Na przykład 129 369 wiadomości phishingowych w zbiorze danych zostało wysłanych ze Stanów Zjednoczonych, ale prawdopodobieństwo wystąpienia phishingu w USA wynosi zaledwie 0,02%. Ogólnie rzecz biorąc, prawdopodobieństwo wystąpienia phishingu w większości krajów wynosiło 10% lub mniej.
Nadawcy, którzy generują większą liczbę wiadomości phishingowych (ponad 1000 wiadomości w zbiorze danych) o wyższym prawdopodobieństwie phishingu, pochodzą z krajów lub terytoriów obejmujących (w kolejności malejącej):
– Litwa
– Łotwa
– Serbia
– Ukraina
– Rosja
– Bahamy
– Puerto Rico
– Kolumbia
– Iran
– Palestyna
– Kazachstan
Chociaż nie jest rozsądne blokowanie całego ruchu e-mailowego pochodzącego z krajów o wysokim prawdopodobieństwie wystąpienia phishingu, dobrym rozwiązaniem może być oznaczanie wiadomości e-mail pochodzących z tych krajów w celu ich dalszej analizy.
3. Wiele z sieci, których atakujący używają do wysyłania swoich ataków, to niespodziewanie duzi, legalni dostawcy usług w chmurze.
Sieci z największą liczbą ataków phishingowych należą, co zaskakujące, do dużych dostawców usług w chmurze. Można się tego spodziewać, ponieważ mają one również najwyższy całkowity wolumen wysyłanych wiadomości e-mail.
W przypadku takich sieci prawdopodobieństwo, że dany e-mail jest phishingiem jest bardzo niskie (Tabela 3). Jest prawdopodobne, że większość ataków pochodzących z tych sieci pochodzi ze skradzionych kont pocztowych lub serwerów, do których osoby atakujące były w stanie uzyskać dane uwierzytelniające.
Czytaj także: Cyberprzestępcy aktywnie wykorzystują wzrost udziału pracy zdalnej w działalności firm
Eksperci stwierdzili również, że niektóre z sieci o największym natężeniu ataków phishingowych, które charakteryzują się również wysokim prawdopodobieństwem wystąpienia phishingu, należą do dostawców usług w chmurze (Rackspace, Salesforce).
Sieci te mają o rzędy wielkości mniejszy całkowity ruch e-mailowy niż kilka czołowych sieci, ale nadal wysyłają znaczną ilość wiadomości phishingowych. W związku z tym prawdopodobieństwo, że pochodząca od nich wiadomość e-mail będzie złośliwa jest znacznie wyższe (Tabela 4).
Trzy wskazówki dla firm dot. ochrony przed cyberatakami
Szukaj rozwiązań, które wykorzystują sztuczną inteligencję. Cyberprzestępcy dostosowują swoje taktyki, aby omijać bramki pocztowe i filtry antyspamowe, dlatego tak ważne jest posiadanie rozwiązania, które wykrywa i chroni przed atakami typu spear-phishing, w tym podszywaniem się pod konkretną markę, atakami na biznesową pocztę elektroniczną i przejmowaniem kont pocztowych.
Wdrażaj rozwiązania, które nie polegają wyłącznie na wyszukiwaniu złośliwych linków lub załączników. Rozwiązanie, które wykorzystuje uczenie maszynowe do analizy normalnych wzorców komunikacji w organizacji, może wykryć anomalie, które mogą wskazywać na atak.
Wprowadź ochronę przed przejęciem konta. Myśl nie tylko o zewnętrznych wiadomościach e-mail. Niektóre z najbardziej szkodliwych i przekonujących ataków typu spear-phishing są wysyłane ze skradzionych kont wewnętrznych. Zapobiegaj wykorzystywaniu przez napastników Twojej organizacji jako bazy wypadowej do przeprowadzania kampanii spear-phishingowych. Wdróż technologię, która wykorzystuje sztuczną inteligencję do rozpoznawania, kiedy konta zostały naruszone, i która naprawia sytuację w czasie rzeczywistym, ostrzegając użytkowników i usuwając złośliwe wiadomości e-mail wysyłane z naruszonych kont.
Zwiększ świadomość bezpieczeństwa poprzez szkolenia. Informuj swoich użytkowników o najnowszych atakach i taktykach spear-phishingu. Zapewnij aktualne szkolenia uświadamiające dla użytkowników i upewnij się, że pracownicy potrafią rozpoznać ataki i wiedzą, jak natychmiast zgłosić je do działu IT.
Wykorzystaj symulacje phishingu dla poczty elektronicznej, poczty głosowej i SMS-ów do szkolenia użytkowników w zakresie rozpoznawania cyberataków, testowania skuteczności szkoleń i oceny najbardziej podatnych na ataki użytkowników.
Czytaj także: Ryzykowne zachowania klienta w Internecie? Ty poniesiesz konsekwencje