Фишинг

Дори и без официална статистика, можем да твърдим едно: фишингът е може би най-популярният метод за кибератаки в света. А покрай епидемията с COVID-19, той доби още по-голямо разпространение, заради работата от вкъщи и по-трудното налагане на контрол на служителите извън офисите им.

Статистиката е плашеща. Но е факт.

Фишингът в числа

• 65% от хакерските групи използват spear phishing като вектор за първоначална инфекция, а 96% от фишинг атаките се извършват с цел събиране на информация за потенциалните жертви (Symantec)
• 48% от злонамерените файлове, които са прикачени към фишинг имейлите, са .pdf, .doc, .txt – най-често срещаните файлове при работа (Symantec).
• 64% от организациите по света са претърпели фишинг атака през 2018 г. (Check Point Research)
• 94% от малуера през 2018 г. е бил разпространен чрез имейли (Verizon)
• 29% от малуера се разпространява посредством използване на откраднати потребителски имена и пароли. 33% от използваните за пробив акаунти са били разпространени в социалните медии (Verizon)
• фишинг атаките са се увеличили с 600% от началото на 2020 г., след разпространението на COVID-19 (ID Agent; KnowBe4 – KnowBe4 е всъщност организацията която прави това изследване
• Google блокират над 18 млн. злонамерени имейли с тема COVID-19 всеки ден (Google Search Paper)

Причината за тази популярност

Истината е, че фишинг атаките стават все по-добри, целенасочени и трудни за разпознаване. Атакуващите не ги интересува кои сме ние и за какво се борим. За тях крайната цел почти винаги са личните ни данни или парите, които евентуално могат да изкарат чрез някой криптовирус.

Ако се оставим да бъдем уязвими, това единствено означава, че предоставяме на киберпрестъпниците уязвимост, от която да се възползват. А ние се превръщаме в т.нар. low hanging fruit или казано на български: в лесна мишена.

Как може да се предпазим от фишинг атака?

Начините са два и те се допълват взаимно:

• Използване на технически средства, с които да отсеете масовката от спам и фишинг
• Провеждане на адекватни и регулярни обучения за персонала ви, за да може служителите ви да разпознават и да не се хващат на тези фишинг атаки, които по някакъв начин успеят да преминат през филтрите ви. Това включва и редовно информиране. Следете новостите – стараем се да ги покриваме регулярно. Така ще имате актуална информация за стратегиите и тактиките, които използват киберпрестъпниците, за да заблудят потребителите.

Образовайте се непрекъснато, за да знаете какво целят, как изглеждат и как да разпознавате дори и най-изпипаните фишинг атаки. Защото изследване на Kroll доказва, че 90% от пробивите в киберзащитата на бизнеса се дължат на човешки грешки.

А образованието на потребителите определено куца. Един пример (валиден не само за България): Според проучване на Proofpoint, между 34% и 53% от потребителите в различните възрастови групи, не могат правилно да отговорят на въпроса какво е фишинг. А между 45% и 62% не знаят какво е ransomware. Може би най-странното в случая е, че колкото по-млада е аудиторията, толкова по-малко запозната е тя.

Помислете и за имплементирането на двуфакторна автентикация. Така, дори и да станете жертва на фишинг атака и акаунтът на някой от екипа ви да бъде компрометиран, ще имате допълнително ниво на защита – задължителната еднократна парола.

С две думи: три пъти мислете, един път кликайте. Каквото и да се твърди в имейла, който изглежда като истински.

Внимание! Отдалечената работа, съчетана с липсата на строги мерки за сигурност, са мечтаната комбинация за всеки киберпрестъпник.

Това е една от причините phishing атаките да са се увеличили с почти 33% през първите 100 дни от пандемията на COVID-19.

Киберпрестъпниците се възползват от големия брой хора, които работят дистанционно: Изпращат им фалшиви имейли, чатове или други съобщения, целящи да откраднат идентификационни данни за профилите на потребителите. Успехът се дължи на невъзможността получателят да свери с колегите си достоверността на получено съобщение.

Най-ефективният и задължителен начин за противодействие остава провеждането на редовното обучение за повишаване на осведомеността относно съществуващите заплахи.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Накратко:

• Киберпрестъпниците експлоатират COVID-19 и се възползват от нашата уязвимост за собствена изгода
• Новини, оферти и призиви за дарения във връзка с коронавируса е добре да се разглеждат критично, независимо от източника им
• COVID-19 измества най-популярните досега имена и се превръща в главен герой на спам и фишинг кампании
• И телефонните измамници експлоатират „модерния“ коронавирус, за да ви объркат и да постигнат престъпните си цели

Неотдавна COVID-19 влезе с взлом в живота ни и го превзе – буквално. Днес, освен, че се притесняваме за личното си здраве и това на нашите близки, се налага да преживяваме още редица неудобства, свързани с нетипични промени в елементарното ни ежедневие.

В ситуация на глобална пандемия, в която всеки един от нас е потърпевш, е нормално да очакваме хората да покажат най-доброто си „аз“, увлечени от идеята за взаимопомощ. Уви, без изненада наблюдаваме, как злонамерени „предприемачи“ са впрегнали усилия и, както и досега, се опитват да извлекат ползи от вашата уязвимост.

Неведнъж сме насочвали вниманието ви към потенциални заплахи за киберсигурността ви. Този път ще обобщим възможните пробойни, но в светлината на COVID-19:

Фалшиви мейли и анонси за коронавирус

Фалшиви новини, призиви за дарения, примамливи оферти за необходими,  но дефицитни продукти, са сред най-популярните опити на киберпрестъпниците да се доберат до лесна печалба. Как да ги разпознаете и да противодействате, прочетете тук.

Безспорно е, че онлайн комуникацията завзема ежедневието ни, а в момента дори и най-големите й противници започват да отстъпват, за да запазят здравето си. Това обаче в никакъв случай не означава, че щом сте прочели нещо в социалните мрежи, то то е истина.

Подлагате под съмнение твърденията на хора, които познавате лично, нали? Защо тогава да приемате за чиста монета новина, споделена в профила на напълно непознат? Разбираемо е да не ви се иска да повярвате, но в онлайн пространството действат индивиди, групи, и дори платени рекламни кампании на издания, които целят дезинформация – бъдете бдителни!

Спам

Анализаторите от Vade Secure отчетоха, че имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са били най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. (повече тук). Три месеца по-късно промяната в лидерството изглежда съвсем реална. В края на м. март 2020 г. компанията SANS (SysAdmin, Audit, Networking and Security), която е разработила една от известните архитектури, използвани за създаване на система за киберсигурност, съобщи, че през последните няколко седмици престъпниците използват COVID-19 за всичко – от продажба на фалшиви лекарства до фишинг. Всеки ден се регистрират няколко хиляди домейна с ключови думи, свързани с COVID-19.

Да мислим рационално: Всяка държава в света е впрегнала максимални усилия за справяне с пандемията. Отговорни екипи, назначени да информират обществеността за последните събития, свързани с COVID-19, работят денонощно. Дали при този натоварен график те биха имали време да ви изпратят личен и-мейл по темата? Едва ли! Затова, бъдете критични, не се поддавайте на паника и любопитство и си припомнете общите ни препоръки за предпазване от спам тук.

Телефонни измами

И тази престъпна „ниша“ не остана назад от общата тенденция. Бързаме да ви припомним една наша публикация отпреди 2 години – прочетете я внимателно, защото днес ситуацията е същата. Единственият нов щрих е, разбира се, COVID-19 – най-актуалната тема, която бързо и ефективно би създала страх и объркване у жертвата.

Нашите препоръки:

• Не предоставяйте какъвто и да е достъп до системата си;
• Не споделяйте лична информация;
• Подлагайте под съмнение всякакви примамливи оферти.

В крайна сметка, ако проблемът с  COVID-19 можеше да бъде разрешен онлайн или по телефона, то той отдавна да е добре забравен.

До тук изброихме всякакви видове потенциално опасна за вас комуникация и поведение. Вярваме, че в тежко време е добре да се представи и положителна алтернатива, затова ще споделим някои от местата, от които ние се информираме:

• http://www.mh.government.bg/bg/informaciya-za-grazhdani/informaciya-otnosno-noviya-koronavirus-2019-ncov/
• https://coronavirus.bg/
• https://www.consilium.europa.eu/bg/policies/covid-19-coronavirus-outbreak/
• https://ec.europa.eu/info/live-work-travel-eu/health/coronavirus-response_bg
• https://www.reddit.com/r/Coronavirus/
• https://outbreak.cc/
• https://coronavirus.jhu.edu/

Живеем в динамично и несигурно време, но също така разполагаме с достъп до ресурси за противодействие на повечето случващи се злонамерени атаки в киберпространството. И докато , за съжаление, не можете да контролирате самостоятелно COVID-19, то киберсигурността на системата и бизнеса ви е предимно във ваши ръце. Помнете, че личната ви неприкосновеност и здравословната информационна среда са най-вече във ваш собствен интерес.

Ставаме свидетели на безпрецедентно глобално събитие. Пандемията с COVID-19 (или както е популярното му название – коронавирус) стана причина за промяна в начина, по който живеем, работим и комуникираме помежду си. Стремежът на потребителите да са в крак с новините около разпространението на вируса не остана незабелязан от киберпрестъпниците.

Събрахме за вас списък с най-популярните измами, свързани с COVID-19, на които попаднахме. Пазете се, защото те най-вероятно не са единствените.

Фалшиви новини

Обикновено идват от името на водещи световни институции – Световната Здравна Организация (СЗО), например, или копират водещи световни медии (в случая – Wall Street Journal – WSJ). Представени са под формата на съветници за предпазване от вируса или лекуването му.

Фалшиви призиви за дарения

Киберпрестъпниците не се колебаят да експлоатират добрината на хората и призовават към мними дарения – като включително копират легитимни кампании.

Оферти за маски

Маските за лице се превърнаха в силно търсена и почти невъзможна за намиране стока. Затова заваляха фалшиви оферти за тях. Не се подлъгвайте, пазарувайте само от легитимни магазини.

Как да разпознаете измамите

Водете се от правилото, че ако нещо е твърде хубаво, за да е истина, то най-вероятно не е. Подлагайте всичко на съмнение и следвайте правилата:

• Не кликайте на съмнителни линкове и не сваляйте файлове – дори и привидно да идват от доверен източник. Потвърдете автентичността на мейла, преди да предприемете действие.
• Игнорирайте комуникация, в която ви искат лични данни. Ако, все пак, имате съмнения, потвърдете автентичността и преди да продължите.
• Внимавайте за мейли, които ви принуждават да предприемете спешни действия
• Пазете се от фалшиви благотворителни организации или crowdfunding кампании
• Използвайте проверено и ефективно  антивирусно решение (ако сте фирма и имате нужда от такова, възползвайте се от кампанията на CENTIO #Cybersecurity – #ЗаедноМожем. Безплатна защита за всички фирми в нужда)

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

През февруари 2020 г., зараждащата тогава се паника от коронавируса бе използвана за разпространение на фишинг атака с мнима информация и съвети за защита от заболяването. Сега, когато Европа и светът са на път да бъдат парализирани от опасенията за глобална епидемия, киберпрестъпниците отново експлоатират страха на хората.

Този път хакерите разпространяват зловреден код под формата на прикачен файл в имейл, претендиращ, че е изпратен от италианските здравни власти. Четящият писмото е призоваван да отвори файла, за който се твърди, че съдържа информация от критична важност заради открити огнища на зараза с коронавируса в района, в който живее получателят на фишинга.

Съветът ни към вас: не се доверявайте на подобни писма и не отваряйте съмнителни прикачени файлове. Не споделяйте никъде потребителските си имена и пароли.

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Имената на PayPal, Facebook, Microsoft, Netflix и WhatsApp са най-често използваните при фишинг и спам кампании през последното тримесечие на 2019 г. Данните са на анализаторите от Vade Secure.

Лидер е услугата за онлайн разплащания. Класирането е по брой засечени фалшиви URL-и, имитиращи компании, използвани за фишинг кампании. За PayPal са засичани средно 124 различни фишинг линка всеки ден през последните 3 месеца на миналата година – или общо 11 392 засечени фалшиви копия на сайта.

На второ място в годишната класация е Facebook с 9 795 отчетени фалшификата, а на трето – Microsoft (8 565 фишинг линка). Топ 5 се допълва от Netflix (6 785 линка) и WhatsApp (5 020 линка).

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Много интернет потребители са твърде уверени в способностите си да разпознават фишинг имейли. Но само 5% от над 900 участника в прочуване на security.org са успели да разпознаят всички фалшиви мейли – част от тест, на който са подложени.

Тази статистика показва защо огромна част от тези атаки в наши дни са успешни и защо фишингът остава основно средство за разпространение на зловредни кодове и онлайн измами.

Какво е фишинг? Изпращането на фалшиви имейли, SMS, съобщения в чатове и социални медии или други съобщения с цел да кражба на лични данни, разпространение на вируси и др. (вижте пълната дефиниция) Откраднатите данни впоследствие се препродават или се използват често за измама или кражба на идентичност.

По данни на ФБР, броят на жертвите на фишинг атаки се е увеличил с 59% между 2015 и 2018 г. Смело може да предположим, че статистиката е непълна, защото немалка част от онлайн измамите не се докладват пред органите на реда. А фишинг атаките стават все повече и все по-софистицирани.

Прочетете още: Как да разпознаем фишинг атака

Как да се предпазите:

• Не кликайте на линкове, не сваляйте и не отваряйте прикачени файлове в съобщения, дори и да идват от привидно достоверен източник. Виждали сме атаки от името на редица български банки, електроразпределителни дружества, от НАП и дори от името на МВР
• Винаги проверявайте истинския имейл на изпращача. Легитимна институция няма да използва Gmail (например), за да разпространява електронна кореспонденция. Вижте как да разберете дали един имейл е фалшив
• Оглеждайте се за правописни и граматически грешки – фишинг имейлите често са пълни с тях
• Проверете внимателно домейна на мейла, който сте получили. Пример: Faceboооk не е Facebook. Фалшивите мейли идват с променени знаци, добавени символи и т.н.
• Винаги имайте едно наум за „спешни“ кореспонденции. Колкото по спешно се очаква да извършите едно действие, толкова по-вероятно е съобщението в него да е фалшиво
• Организирайте регулярни обучения от доказани професионалисти с опит за служителите си

Фишингът е мъртъв, да живее фишинга. Причината: броят засечени фишинг сайтове през миналата година намалява значително, но същевременно щетите от този тип атаки растат. Системите за електронни разплащания остават най-често имитираните сайтове, но софтуерните услуги стават все по-интересни на кибер престъпниците.  Но да говорим в числа.

По-малко засечени сайтове не означава по-малко създадени сайтове

По данни на Anti-Phishing Working Group (APWG) броят на засечените през 2018 г. фишинг сайтове е намалял значително – от 263 хил. за първото тримесечие на годината до 138 хил. за последното тримесечие (над 47% спад). Информацията е от Phishing Activity Trends Report на организацията, чиято основна дейност е да координира усилията на правителства, бизнеси и неправителствени организации в борбата с кибер престъпността.

Прочетете и: Три фишинг тактики, които набраха скорост през 2018

Колкото и оптимистична да изглежда тази статистика, тя има една важна особеност: числото отразява само и единствено броя на засечените и отбелязаните като фишинг сайтове – тези, които са открити и отбелязани като фишинг. „Ниският брой може да се дължи на по-ниска степен на засичане на подобни страници,“ коментират от организацията.

Като основна причина за ниския брой засечени фишинг атаки се посочва фактът, че кибер престъпниците използват техники, предназначени да предотвратят и затрудняват разкриването на фишинг адреси посредством множество пренасочвания между различни URL-и.

По-малко засечени сайтове не означава и по-малко щети и жертви

Данните на американското ФБРв тази посока са красноречиви – само за 2017 г. щетите от фишинг се равняват на 676 млн. USD, твърдят от разузнавателната агенция.

Сред водещите теми за миналата година, използвани от престъпниците, са Световното първенство по футбол, особено в частта закупуване на билети и резервации на хотели в руските градове, станали арена на футболни мачове. Забелязва се ръст в атаките, които твърдят, че потребителят е станал жертва на спиране или кражба на акаунт за услуга.

Статистиката на APWG отчита, че фишингът все повече таргетира потребителите на различни софтуерни услуги (SaaS), които към края на годината представляват около 30% от общия засечен обем атаки.

Водещи на глобално ниво по обем са фишинг сайтовете, имитиращи системи за обработка на електронни разплащания като PayPal  – те представляват над 35% от опитите за кражба на информация на потребителите.

В България също се наблюдава висока фишинг активност, която през миналата година мина през мейли, изпратени от името на НАП, различни банки, а в началото на 2019 г. стигна и до имитиране на фактури от CEZ.

Внимание! Написаното по-долу е история, разказана по scam имейл. Историята на Абача Тунде не е истинска. Ако получите такъв мейл не отговаряйте на него!

Надали има интернет потребител, който да не е получавал съобщение от нигерийски принцове или милионери с обещания за несметни богатства. И, ако до скоро тези scam измами бяха относително скучни и еднотипни – обещавайки милиони долари от наследство или просто в замяна на услуга за „освобождаването им“ от определени банки, сега креативността на създателите им буквално се изстреля в космоса.

Защо в Kосмоса? Защото из мейлите си може да намерите зов за помощ от майора от нигерийските военновъздушни сили Абача Тунде, който се нуждае от дарения, за да се върне на Земята след близо 30 години изгнание в Космоса. Пълната му история може да видите в текста на имейла по-долу, но резюмето е:

• Абача Тунде е първия африканец в космоса, осъществил секретен полет до орбиталната станция Салют 6 през 1979 г.
• През 1989 г. Тунде отново лети – този път до Салют 8Т през 1989 г. – и така не стига обратно до Земята
• Причината за заточението му е фактът, че мястото му е било заето от товара, който е трябвало да бъде върнат на Земята
• От 1990 г. и до момента към Тунде са изпращани доставки на провизии посредством мисии на снабдителния кораб Прогрес
• По време на престоя си в космоса нигерийският астронавт е натрупал завидните 15 млн. USD от плащания по заплатите му и лихвите по тях (все пак, в Космоса най-вероятно няма за какво толкова да се харчи)
• Завръщането му на Земята би струвал 3 млн. USD – които трябва да бъдат платени от горната сума, която от своя страна е съхранявана от Lagos National Savings and Trust Association
• За освобождаването на самата сума, обаче, се очаква помощта на получателя на мейла – каква точно е тя, не се споменава
• Като благодарност за спасението на Тунде, изпращащите мейла обещават 20% от сумата, натрупана по сметките му

А ето и самото писмо – в оригинал:

Subject: Nigerian Astronaut Wants To Come Home
Dr. Bakare Tunde
Astronautics Project Manager
National Space Research and Development Agency (NASRDA)
Plot 555
Misau Street
PMB 437
Garki, Abuja, FCT NIGERIA

Dear Mr. Sir,

REQUEST FOR ASSISTANCE-STRICTLY CONFIDENTIAL

I am Dr. Bakare Tunde, the cousin of Nigerian Astronaut, Air Force Major Abacha Tunde. He was the first African in space when he made a secret flight to the Salyut 6 space station in 1979. He was on a later Soviet spaceflight, Soyuz T-16Z to the secret Soviet military space station Salyut 8T in 1989. He was stranded there in 1990 when the Soviet Union was dissolved. His other Soviet crew members returned to earth on the Soyuz T-16Z, but his place was taken up by return cargo. There have been occasional Progrez supply flights to keep him going since that time. He is in good humor, but wants to come home.

In the 14-years since he has been on the station, he has accumulated flight pay and interest amounting to almost $ 15,000,000 American Dollars. This is held in a trust at the Lagos National Savings and Trust Association. If we can obtain access to this money, we can place a down payment with the Russian Space Authorities for a Soyuz return flight to bring him back to Earth. I am told this will cost $ 3,000,000 American Dollars. In order to access the his trust fund we need your assistance.

Consequently, my colleagues and I are willing to transfer the total amount to your account or subsequent disbursement, since we as civil servants are prohibited by the Code of Conduct Bureau (Civil Service Laws) from opening and/ or operating foreign accounts in our names.

Needless to say, the trust reposed on you at this juncture is enormous. In return, we have agreed to offer you 20 percent of the transferred sum, while 10 percent shall be set aside for incidental expenses (internal and external) between the parties in the course of the transaction. You will be mandated to remit the balance 70 percent to other accounts in due course.

Kindly expedite action as we are behind schedule to enable us include downpayment in this financial quarter.

Please acknowledge the receipt of this message via my direct number 234 (0) 9-234-XXXX only.

Yours Sincerely, Dr. Bakare Tunde
Astronautics Project Manager
[email protected]

http://www.nasrda.gov.ng/

 

Обновено на: 18 януари 2019 г., 8:15 ч.

Фишинг атака от името на CEZ България, разпространяваща фалшива „фактура“ от името на електроразпределителното дружество, е засечена сред български потребители. Атаката е особено добре изпълнена, тъй като времето на изпращане съвпада с изпращането на истинските фактури от страна на CEZ.

Според официалното съобщение на компанията, писмото имитира фактура за потребителска сметка от дружеството в .7z формат (който съдържа вирус) и линк, който води към фалшива форма за логин в системата на CEZ. От компанията (а и ние) съветват потребителите да не отварят съобщението и да го изтрият веднага.

Текстът на писмото е:

Уважаеми Господине / Госпожо,

В прикачен файл Ви изпращаме Вашата нова фактура от ЧЕЗ Електро България АД. Моля, потвърдете получаване на настоящото съобщение като кликнете тук.

Спестете време и платете сметката си към ЧЕЗ чрез електронно банкиране, предлагано от Вашата банка или онлайн на www.ePay.bg.

Това е автоматично генерирано съобщение, моля, не отговаряйте на този имейл!

За връзка с нас: информационна линия 0700 10 010, www.cez.bg, [email protected]

При клик на линка се отваря страница с домейн, който няма общо с CEZ, на който е отбелязано, че мнимата сметка трябва да бъде погасена до 1 февруари 2019 г.

При стартиране, прикачения файл се опитва да свали троянец, който стартира ransomware.

Как да разпознаете фишинга от CEZ:

• Файловият формат. От CEZ изрично уточняват, че изпращат фактури само в PDF формат
• Линкът, към който води мейла, е различен от сайта на компанията – bg. Ако искате да видите електронната си фактура, може да използвате логин формата на сайта – без да кликате по линкове в електронната си поща

Вижте още съвети как да разпознаете фишинг атака тук

От CEZ добавят, че лични данни не са били достъпвани или копирани от сървърите на дружеството от трети страни.