Phishing je bio najčešće korištena metoda cyber kriminalaca za realizuje inicijalnog pristupa ciljnim organizacijama u 2024. godini, prema podacima savjetodavne firme Kroll, koja očekuje da će se ovaj trend nastaviti i u 2025.
Međutim, napadači su takođe sve više koristili validne korisničke račune (tj. vjerodajnice ukradene putem infostealera) i socijalni inženjering kako bi dobili pristup sistemima i mrežama svojih žrtava.
“Taktike socijalnog inženjeringa koje su primijećene u 2024. uključuju lažiranje identiteta CEO-a uz pomoć vještačke inteligencije (AI) za kreiranje realističnih glasovnih klonova. Pored toga, prijetnje su bile usmjerene na osoblje tehničke podrške kako bi ih prevarili da resetuju lozinke, dok su napadi putem telefonskih poziva korišteni za manipulaciju žrtava da prihvate phishing mamce,” izvještava Kroll.
Najpopularnije metode početnog pristupa u 2024. (Izvor: Kroll)
Nove poboljšane Phishing tehnike i pristupi
Jedan od primjera napredne phishing kampanje je djelovanje EncryptHub grupe, finansijski motivisanog hakera povezanog sa ransomware-as-a-service grupama RansomHub i BlackSuit.
Prema firmi Prodaft, specijalizovanoj za cyber obavještajne prijetnje, ova grupa je usavršila spear-phishing napade:
- Napadači direktno pozivaju zaposlenike, predstavljajući se kao IT služba kompanije,
- Preusmjeravaju ih na lažne phishing stranice koje izgledaju kao zvanične VPN stranice kompanije,
- Ciljaju korisnike putem Microsoft Teamsa, šaljući im maliciozne linkove radi krađe M365 kredencijala.
“Istraživanje je pokazalo da je od juna 2024. do danas ova grupa kompromitovala 618 različitih organizacija. U većini slučajeva, napadi su završili implementacijom ransomwarea i uspješnom enkripcijom sistema,” kažu analitičari iz Prodafta.
Proliferacija phishing napada dijelom je posljedica dostupnosti Phishing-as-a-Service (PhaaS) platformi, primijetili su istraživači iz Krolla.
“Samo u četvrtom kvartalu 2024, Kroll je otkrio više PhaaS platformi koje ciljaju korisnike. Novi phishing alati poput Mamba 2FA i Rockstar 2FA su ciljali Microsoft 365 naloge, hvatajući kredencijale i autentifikacione tokene za ‘adversary-in-the-middle’ napade. Takođe smo primijetili porast oglasa na mračnim forumima u kojima se AI chatbotovi prodaju kao alati za izvođenje phishing kampanja.”
Među najzanimljivijim phishing kampanjama u 2024. ističe se CorruptQR napad, gdje su napadači koristili Office dokumente sa korumpiranim headers kako bi zaobišli e-mail sigurnosne sisteme, oslanjajući se na korisnike da sami pokrenu proces oporavka dokumenta. (Kroll povezuje ovu aktivnost sa ONNX Phishing-as-a-Service platformom.)
Kako se odbraniti od Phishing i socijalnog inženjeringa?
Zaštita organizacije od phishing napada zahtijeva višeslojni pristup.
Prema preporukama Krolla, organizacije bi trebale:
- Redovno edukovati zaposlenike o najnovijim tehnikama socijalnog inženjeringa, trenirati ih da prepoznaju phishing napade i omogućiti im lak način prijavljivanja sumnjivih aktivnosti.
- Koristiti napredne e-mail sigurnosne alate koji mogu prepoznati i blokirati preusmjerene linkove i QR kod phishing napade.
- Implementirati metode autentifikacije otporne na phishing poput FIDO2/WebAuthn tehnologija.
- Smanjiti površinu napada korištenjem uslovnog pristupa (npr. ograničiti broj MFA uređaja po korisniku ili zahtijevati dodatne faktore autentifikacije prilikom autorizacije novih uređaja).
- Ažurirati IT politike i procedure kako bi se spriječili socijalno inženjerski napadi koji ciljaju resetovanje lozinki, deaktivaciju MFA-a ili dodavanje neovlaštenih uređaja.
Primjenom ovih mjera, organizacije mogu značajno umanjiti rizik od phishing napada u 2025. godini.
Izvor:Help Net Security