Kaip teigiama ketvirtadienį paskelbtoje ketvirtinėje „HP Wolf Security Threat Insights“ ataskaitoje, „Cat-phishing“, naudojant populiarų „Microsoft“ failų persiuntimo įrankį, kad taptų tinklo parazitu, ir netikras sąskaitų faktūrų išrašymas yra tarp žinomų būdų, kuriuos kibernetiniai nusikaltėliai taikė per pirmuosius tris šių metų mėnesius.
Remiantis duomenų analize iš milijonų galinių taškų, kuriuose veikia įmonės programinė įranga, ataskaitoje nustatyta, kad skaitmeniniai desperados išnaudoja tam tikrą svetainės pažeidžiamumą, kad galėtų apsigauti vartotojus ir nukreipti juos į piktybines interneto vietas. Pirmiausia vartotojai siunčiami į teisėtą svetainę, tada nukreipiami į kenkėjišką svetainę. Tai taktika, dėl kurios taikiniui sunku aptikti jungiklį.
„Atviros peradresavimo spragos gali būti gana dažnos ir jas lengva išnaudoti“, – pažymėjo Erichas Kronas, „KnowBe4“, saugumo supratimo mokymų teikėjo Klirvoteryje, Fla, saugumo supratimo advokatas.
„Juose esanti galia grįžta į mėgstamą kibernetinių nusikaltėlių įrankį – apgaulę“, – sakė jis „TechNewsWorld“. „Atviras peradresavimas leidžia blogiems veikėjams naudoti teisėtą URL, kad peradresuotų į kenkėjišką adresą, laiške sukuriant nuorodą, kad URL pabaigoje būtų dalis, kurią retai tikrina žmonės, kuri nukreipia vartotoją į kenkėjišką adresą. svetainėje, net jei jie žino pakankamai, kad galėtų užvesti pelės žymeklį ant nuorodos.
„Nors naršyklės URL parodys svetainę, į kurią asmuo nukreipiamas, mažiau tikėtina, kad auka ją patikrins, manydama, kad jau spustelėjo teisėtą nuorodą“, – paaiškino jis.
„Įprasta mokyti žmones užvesti pelės žymeklį virš nuorodų, kad įsitikintų, jog jos atrodo teisėtos, – pridūrė jis, – bet jie taip pat turėtų būti mokomi visada peržiūrėti URL naršyklės juostoje prieš įvedant bet kokią neskelbtiną informaciją, pvz., slaptažodžius, AII ar kredito kortelių numeriai“.
El. paštas ir toliau yra pagrindinis priedais pagrįstų peradresavimų pristatymo mechanizmas, pažymėjo Patrickas Harras, tinklo saugos įmonės Pleasantone, Kalifornijoje, generalinis direktorius. „Tačiau, – sakė jis „TechNewsWorld“, – šių priedų pristatymą matome ir už šalies ribų. paštą „Slack“, „Teams“, „Discord“ ir kitose pranešimų siuntimo programose su užtemdytais failų pavadinimais, kurie atrodo tikri.
BITS išnaudojimas
Kita ataka, nurodyta ataskaitoje, yra „Windows Background Intelligent Transfer Service“ (BITS) naudojimas, siekiant atlikti „gyvenimo iš žemės“ veiksmus organizacijos sistemose. Kadangi BITS yra įrankis, kurį IT darbuotojai naudoja failams atsisiųsti ir įkelti, užpuolikai gali jį naudoti, kad išvengtų aptikimo.
Ashley Leonard, pasaulinės IT ir saugos sprendimų bendrovės „Syxsense“ generalinė direktorė, paaiškino, kad BITS yra „Windows“ komponentas, skirtas failams perkelti fone, naudojant neveikiantį tinklo pralaidumą. Jis dažniausiai naudojamas naujinimams atsisiųsti fone, užtikrinant, kad sistema būtų atnaujinta netrukdant darbui arba sinchronizuoti debesyje, leidžianti debesies saugyklos programoms, pvz., OneDrive, sinchronizuoti failus tarp vietinio įrenginio ir debesies saugyklos paslaugos.
„Deja, BITS taip pat gali būti naudojamas nešvankiais būdais, kaip pažymėta Wolf HP ataskaitoje“, – sakė Leonardas „TechNewsWorld“. „Kenkėjiški veikėjai gali naudoti BITS įvairiai veiklai – duomenims išfiltruoti, komandų ir valdymo ryšiams arba nuolatinei veiklai, pavyzdžiui, vykdyti kenkėjišką kodą, kad įsitvirtintų įmonėje.
„Microsoft” nerekomenduoja išjungti BITS dėl teisėto naudojimo, – sakė jis, – „tačiau yra būdų, kaip įmonės gali apsisaugoti nuo piktybinių veikėjų, naudojančių jį”. Tai apima:
- Naudokite tinklo stebėjimo įrankius, kad aptiktumėte neįprastus BITS srauto modelius, pvz., didelius duomenų kiekius, perduodamus į išorinius serverius arba įtartinus domenus.
- Sukonfigūruokite BITS, kad jį naudotų tik įgaliotos programos ir paslaugos, ir blokuokite bet kokius neteisėtų procesų bandymus pasiekti BITS.
- Atskirkite svarbias sistemas ir duomenis iš mažiau jautrių tinklo sričių, kad apribotumėte užpuolikų judėjimą į šonus, jei kiltų kompromisas.
- Atnaujinkite visas sistemas naudodami naujausius pataisymus ir saugos naujinimus, kad ištaisytumėte visas žinomas spragas, kuriomis gali pasinaudoti užpuolikai.
- Pasinaudokite grėsmių žvalgybos sklaidos kanalais, kad būtumėte informuoti apie naujausią kibernetinių atakų taktiką, metodus ir procedūras, ir atitinkamai koreguokite saugos kontrolę.
RAT sąskaitoje faktūroje
„HP Wolf“ ataskaitoje taip pat buvo aptikta, kad tinklo plėšikai slepia kenkėjiškas programas HTML failuose, prisidengiančius pardavėjo sąskaitomis faktūromis. Atidarius žiniatinklio naršyklėje, failai atskleidžia įvykių grandinę, kuri diegia atvirojo kodo kenkėjišką programą AsyncRAT.
„Kenkėjiškų programų slėpimo HTML failuose pranašumas yra tas, kad užpuolikai daugeliu atvejų pasikliauja sąveika su savo taikiniu“, – sakė Nikas Hyattas, „Blackpoint Cyber“, grėsmių paieškos, aptikimo ir reagavimo technologijų tiekėjos, Ellicott City, grėsmių žvalgybos direktorius. , Md.
„Paslėpdamas kenkėjišką programą netikroje sąskaitoje faktūroje, užpuolikas gali priversti vartotoją spustelėti ją, kad pamatytų, už ką ši sąskaita faktūra skirta“, – sakė jis „TechNewsWorld“. „Tai savo ruožtu skatina vartotoją bendrauti ir padidina sėkmingo kompromiso tikimybę.
Nors taikymas į įmones naudojant sąskaitas faktūras yra vienas iš seniausių knygos gudrybių, jis vis tiek gali būti labai efektyvus ir pelningas.
„Darbuotojai, dirbantys finansų skyriuose, yra įpratę gauti sąskaitas faktūras el. paštu, todėl labiau tikėtina, kad jas atidarys“, – sakoma HP Wolfo pagrindinio grėsmių tyrėjo Patricko Schläpferio pranešime. „Jei pasiseks, užpuolikai gali greitai užsidirbti pinigų iš savo prieigos, parduodami ją kibernetinių nusikaltėlių brokeriams arba įdiegdami išpirkos reikalaujančią programinę įrangą.
„Didėjanti grėsmė, kurią kelia labai vengiančios naršyklės atakos, yra dar viena priežastis, dėl kurios organizacijos turi teikti pirmenybę naršyklės saugumui ir taikyti aktyvias kibernetinio saugumo priemones“, – pridūrė slaptažodžių valdymo ir internetinės saugyklos įmonės Keeper Security saugumo ir architektūros viceprezidentas Patrickas Tiquetas. , Čikagoje.
Spartus naršyklėje pagrįstų sukčiavimo atakų plitimas, ypač tų, kuriose naudojama vengimo taktika, pabrėžia, kad būtina skubiai sustiprinti apsaugą“, – sakė jis „TechNewsWorld“.
Mažiau nei nepralaidūs vartų skaitytuvai
Kita ataskaitoje nustatyta, kad 12 % el. pašto grėsmių, kurias nustatė HP Wolf programinė įranga, aplenkė vieną ar daugiau el. pašto šliuzo skaitytuvų.
„El. pašto šliuzo skaitytuvai gali būti naudinga priemonė, padedanti pašalinti įprastas el. pašto grėsmes. Tačiau jie yra daug mažiau veiksmingi labiau tiksliniams išpuoliams, pvz., Sukčiavimui ar banginių medžioklei“, – pastebėjo KnowBe4 „Kron“.
„El. pašto skaitytuvai, net ir tie, kuriuose naudojamas dirbtinis intelektas, paprastai ieško šablonų ar raktinių žodžių arba ieškos grėsmių prieduose ar URL“, – tęsė jis. Jei blogi aktoriai taiko netipinę taktiką, filtrai gali jų nepastebėti.
„Yra nedidelė riba tarp grėsmių filtravimo ir teisėtų el. pašto pranešimų blokavimo, – sakė jis, – ir daugeliu atvejų filtrai bus konservatyvesni ir mažiau tikėtina, kad sukels problemų nutraukiant svarbią komunikaciją.
Jis pripažino, kad el. pašto šliuzų skaitytuvai, net ir su savo trūkumais, yra gyvybiškai svarbios saugumo kontrolės priemonės, tačiau jis tvirtino, kad taip pat labai svarbu, kad darbuotojai būtų išmokyti pastebėti ir greitai pranešti apie jas ištikusius išpuolius.
„Blogi veikėjai kūrybiškai kuria el. pašto kampanijas, kurios apeina tradicinius aptikimo mechanizmus“, – pridūrė Dalase įsikūrusios mobiliosios saugos įmonės „Zimperium“ produktų strategijos viceprezidentas Krishna Vishnubhotla.
„Organizacijos turi apsaugoti savo darbuotojus nuo sukčiavimo nuorodų, kenkėjiškų QR kodų ir kenkėjiškų priedų šiuose el. laiškuose visuose senuose ir mobiliuosiuose galutiniuose taškuose“, – sakė jis.