Фишинг

Повече от половината от успешните кибератаки през 2024 г. са започнали чрез фишинг имейли, сочи анализ на KnowBe4.

Имейлът продължава да е най-ефективният инструмент за проникване в организации – служители често кликват на злонамерени линкове или прикачени файлове, въпреки обучения по сигурност. Според Barracuda, 23% от HTML прикачените файлове са зловредни, а 83% от опасните документи на Microsoft 365 и 68% от PDF файловете съдържат QR кодове, които водят към фалшиви Microsoft портали за кражба на идентификационни данни.

Компаниите у нас, особено в секторите финанси и администрация, също отчитат засилен фишинг. Най-ефективното противодействие остава регулярни обучения, които да изградят навици за разпознаване и блокиране на подобни атаки.

 

Когато става дума за кибератаки, никой не е застрахован. Дори най-големите експерти по киберсигурност.

Последният пример за това дойде миналата седмица. Създателят на Have I Been Pwned Трой Хънт разкри, че е станал жертва на една от най-старите измами в онлайн света – фишинг. Чрез автоматизирана атака, маскирана като известие от доставчика на бюлетини Mailchimp, измамниците са откраднали около 16 000 записа на настоящи и предишни абонати на блога му. Те включват имейл адреси, статуси на абонамент и IP адреси, както и данни за географската ширина и дължина.

Добрата новина е, че Хънт все пак незабавно е успял да разкрие атаката. Той описва случая 34 минути след като е станал жертва.

Какво се случва?

На 25 март Хънт получава фишинг имейл от името на Mailchimp. През платформата той изпраща по електронната поща новите материали от блога си на абонираните читатели. В имейла се твърди, че Mailchimp временно прекъсва услугата му, защото  е получила оплаквания за спам.

Фишинг имейлът е бил с убедителен дизайн и е заплашвал с последствия, ако получателят му не предприеме действия. Но, както казва Хънт, „преди това съм получавал милиарди подобни фишинг имейли, които съм идентифицирал рано“. Този път обаче хакерите успяват.

Едно от нещата, които карат Хънт да се замисли, е, че когато се опитва да влезе в профила си в Mailchimp през фишинг имейла, мениджърът му за пароли не попълва автоматично данните за профила му. Това не е червен флаг за пробив, но е хубаво да се има предвид.

След като осъзнава грешката си, Хънт веднага сменя паролата си и свързва с Mailchimp, за да помогне за изтриването на API ключа на измамника. След това той проверява дали уебсайтът, към който е бил насочен при фишинг атаката, е бил изключен.

Не на последно място, Хънт добавя информацията за пробива в списъка си в сайта Have I Been Pwned (HIBP). Платформата помага на хората да разберат дали са били жертва на нарушение на сигурността на данните.

„Когато разговарям с компании, които са нарушили сигурността на данните, моето послание е кристално ясно: бъдете прозрачни и експедитивни в докладването на инцидента и дайте приоритет на комуникацията с клиентите си“, казва Хънт. „Ако направя нещо по-малко от това, ще бъде лицемерно, включително и по отношение на начина, по който след това обработвам данните от нарушението, а именно добавянето им към HIBP“.

Бъдете внимателни за всякакви опити за фишинг, използващи данните от Have I Been Pwned като примамка.

Хакерите все по-често насочват фишинг кампаниите си към надеждни онлайн услуги за споделяне на документи. По този начин те заобиколят защитените платформи за електронна поща и успяват да откраднат потребителските креденшъли.

През 2024 този тип услуги са били обект на 8,8% от всички фишинг кампании, сочи проучване на Cofense Intelligence. 79% от анализираните случаи са включвали опити за кражба на креденшъли.

Сред най-често атакуваните са:

• Dropbox (25,5%) – най-използваната, тъй като фишинг файловете остават онлайн по-дълго заради големия трафик;
• Adobe (17%) – използват се главно за изпращане на злонамерени PDF файлове;
• SharePoint (17%) – нападателите се представят за колеги или бизнес партньори;
• DocuSign (16%) – често се използва при фишинг кампании, свързан с човешките ресурси, и в 6% от фишинг атаките с QR код;
• Google Docs (11%) – разпространение на зловреден софтуер чрез вградени връзки;
• Canva (9%) – фишинг чрез споделяне на PDF и мултимедия;
• Zoho (4%) – значителен скок на злоупотребите през декември 2024 до началото на 2025.

Някои от тези услуги автоматично изпращат известия на потребителите, когато даден документ е споделен, което допълнително легитимира опита за фишинг.

За да се предпазят, организациите и физическите лица трябва да въведат допълнителни нива на сигурност. Те включват:

• обучение на потребителите;
• инструменти за поведенчески анализ;
• MFA.

Мониторингът на подозрителни дейности при споделяне на документи също може да помогне за откриване на опити за фишинг, преди те да доведат до нарушаване на сигурността на данните.

Все повече безплатни онлайн услуги за конвертиране на файлове разпространяват зловреден софтуер.

Киберпрестъпниците предлагат всякакъв вид популярно конвертиране, за да привлекат жертвите. Най-често използваното е от .doc в .pdf и обратно. Има и сайтове, които предлагат комбиниране на няколко изображения в един .pdf файл.

Най-опасното е, че тези платформи на практика работят и изпълняват задачата, възложена им от жертвата. Но на заден план тяхната система крие зловреден софтуер във файла, който потребителя изтегля. След това той краде различни видове информация. Тя може да включва лични и финансови данни, пароли и токени за сесии, които позволяват заобикаляне на MFA, както и имейл адреси.

Съществуват няколко възможни сценария:

• нападателите насърчават жертвите да изтеглят даден инструмент на устройството си, за да извършат конвертирането. Това обаче е зловреден софтуер;
• препоръчват инсталирането на разширение на браузъра, което да използвате занапред. Тези разширения често са browser hijacker или adware;
• конвертираният файл съдържа зловреден код, който изтегля и инсталира При отваряне на файла, той заразява устройството.

Наличието на активна защита от зловреден софтуер на вашето устройство и разширенията за браузър, които блокират злонамерени сайтове, могат да ви помогнат да се предпазите. Но ако подозирате, че може вече да сте станали жертва:

• незабавно се свържете с финансовите си институции. Работете с тях, за да предприемете необходимите стъпки за защита на самоличността и сметките си;
• променете всичките си пароли. Направете го през чисто, надеждно устройство.

Ето някои от зловредните платформи, които предлагат конвертиране на файлове:

• com (фишинг);
• Сonvertitoremp3.it (зловреден софтуер);
• Convertisseurs-pdf.com (зловреден софтуер);
• Ccom (фишинг);
• Convertix-api.xyz (троянски кон);
• Ccom (adware);
• Fcom (зловреден софтуер);
• Pcom (зловреден софтуер);
• com (зловреден софтуер);
• org (зловреден софтуер).

През изминалата година е регистриран рязък ръст на фишинг атаките, базирани на браузър.

Според нов доклад на Menlo Security увеличението на годишна база – между 2023 и 2024 – е 140%. Основните причини за тази тенденция са възходът на фишинг техниките, базирани на AI, и използването на корпоративните браузъри.

Киберпрестъпниците все повече се фокусират върху тях като основен вектор на атака. Те заобиколят традиционните мерки за сигурност чрез сложни техники, социално инженерство и Zero day уязвимости. Ръстът на фишинг атаките от типа Zero day е 130%.

В доклада се подчертава и рязкото увеличаване на фишинг кампаниите за кражба на креденшъли. Те често се маскират като надеждни корпоративни приложения или наложени брандове, за да подмамят жертвите да предоставят чувствителна информация.

Нападателите се възползват и от големия обществен интерес към GenAI. Те имитират популярни платформи, залагайки на любопитството на потребителите и доверието им в авангардните технологии.

Злоупотребите с услуги на Cloudflare за фишинг са скочили значително – със 104%. Използването на фишинга-като-услуга (PhaaS) също нараства.

За да се предпазят, организациите и потребителите трябва да предприемат проактивни мерки за сигурност:

• решенията за сигурно сърфиране в облака могат да изолират дейността на потребителите от корпоративните мрежи. По този начин се предотвратява компрометирането на системите от злонамерено съдържание;
• инструментите за откриване на заплахи с помощта на AI могат да помогнат за идентифицирането и неутрализирането на сложни фишинг кампании, преди да причинят щети;
• организациите трябва да възприемат системи за мобилна сигурност в реално време, базирани на AI. Така те ще могат да откриват и блокират фишинга, преди потребителите да бъдат компрометирани.

Разчитането на остарели защити вече не е достатъчно – сигурността трябва да се развива толкова бързо, колкото и заплахите.

Потребителите на една от най-използваните електронни пощи у нас – ABV.bg – са обект на нова фишинг атака.

Нападателите подлъгват жертвите си с имейл, който гласи:

„Dear …@abv.bg,

Заявка за затваряне на имейл, открихме необичайна дейност във вашия акаунт и от вас се изисква да потвърдите информацията за сигурността на вашия акаунт.

За да избегнете ограничаване или блокиране на вашия акаунт днес, просто щракнете върху адреса по-долу, за да започнете упражнението си за проверка

Login/ABV/mail/unlock/validation/excercise/w“.

За да не загубите профила си, не забравяйте, че ABV.bg никога не изпраща подобни имейли. Платформата не иска от потребителите да потвърждават профилите си през външни линкове.

Организациите, от своя страна, трябва да знаят, че тази платформа не е подходяща за бизнес нужди.

Мащабна фишинг кампания таргетира хиляди хранилища на GitHub с измамни предупреждения за нарушение на сигурността. Имейлите подмамват разработчиците да разрешат злонамерено OAuth приложение. То предоставя на нападателите пълен контрол над техните акаунти и код.

„Сигнал за сигурност: Необичаен опит за достъп Открихме опит за влизане във вашия акаунт в GitHub, който изглежда от ново място или устройство“, се казва във фишинг съобщението.

То е едно и също за всички таргетирани потребители, като „необичайната активност“ идва от Рейкявик, Исландия, и IP адрес 53.253.117.8. Нападателите призовават разработчиците да актуализират паролата си, да прегледат активните сесии и да активират 2FA, за да защитят акаунтите си. Всички линкове за тези препоръчани действия обаче водят до страница за оторизация на GitHub за OAuth приложение „gitsecurityapp“.

Ако по погрешка сте дали разрешение на злонамереното OAuth приложение, трябва незабавно да отмените достъпа му:

• влезете в Settings на GitHub и след това в Applications;
• забранете достъпа на всички непознати или подозрителни GitHub или OAuth приложения;
• търсете приложения с имена, подобни на „gitsecurityapp“;
• огледайте внимателно за нови или неочаквани GitHub работни процеси и дали са създадени частни gists;
• променете вашите идентификационни данни и токени за оторизация.

Широкомащабна фишинг атака подлъгва потребителите на Coinbase, че трябва да извършат задължителна миграция на портфейла си. Нападателите подвеждат жертвите си да настроят нов портфейл с предварително генерирана комбинация за възстановяване, контролирана от самите тях.

Имейлите са с тема Migrate to Coinbase Wallet. В тях се посочва, че всички клиенти трябва да преминат към самостоятелни портфейли. Те съдържат и инструкции как да се изтегли легитимният портфейл Coinbase Wallet.

„Считано от 14 март, Coinbase преминава към самостоятелни портфейли. Вследствие на колективен съдебен иск, в който се твърди, че има нерегистрирани ценни книжа и нелицензирани операции, съдът задължи потребителите да управляват собствени портфейли“, се казва във фишинг имейла. „Вашата уникална фраза за възстановяване по-долу е вашата идентичност в Coinbase. Тя предоставя достъп до вашите средства – запишете я и я съхранявайте на сигурно място. Импортирайте я в Coinbase Wallet“.

Това, което отличава тази кампания, е, че в имейла не присъстват никакви фишинг връзки. Всички линкове водят към легитимната страница на Coinbase Wallet. Вместо това тя цели да открадне фразата за възстановяване.

Фразите за възстановяване, известни също като seeds, са поредица от думи, които функционират като четима от човека версия на частния ключ на портфейла за криптовалута. Всеки, който знае тази фраза за възстановяване, може да импортира портфейла на собствените си устройства. Това му позволява да открадне всички криптовалути и NFT, съхранявани в него.

По принцип правилото е никога да не споделяте фразата си за възстановяване с друг човек или уебсайт. Но сега то се разширява – никога не я използвайте, когато сте подтикнати към това чрез имейли или външни уебсайтове.

Спам имейлите ежедневно запълват пощенските ни кутии. Много хора ги изтриват, без да се замислят, приемайки, че това е най-добрият начин да се отърват от тях. Експертите по киберсигурност обаче съветват да не се прави това. Вместо да изтривате спам съобщенията веднага, трябва да ги маркирате като нежелани. Това може да подобри способността на вашия доставчик на електронна поща да ги филтрира в бъдеще.

Повечето услуги за електронна поща – Gmail, Outlook, Yahoo и т.н. – използват автоматични филтри за спам, за да отделят важните от нежеланите имейли. Тези филтри обаче разчитат на обратна връзка от потребителите, за да подобрят точността си. Ако просто изтривате спам имейли, без да ги маркирате като нежелани, системата не се учи от това и може да не филтрира подобни съобщения в бъдеще.

Ето как можете да помогнете за подобряване на филтъра за спам на вашата електронна поща:

• маркирайте ръчно нежеланите съобщения като спам, ако се появят във входящата ви поща. Това научава софтуера да разпознава подобни имейли и да ги блокира;
• ако вместо в папката за спам някое съобщение попадне във входящата ви поща, изберете го и го преместете там. Това помага да обучите системата да разпознава подобни заплахи.

Като следвате тези стъпки, не само намалявате спама във входящата си поща, но и допринасяте за подобряване на системата за филтриране за други потребители.

Не се „отписвайте“ от подозрителни имейли

Много спам имейли включват опция за „отписване“, което може да изглежда като лесен начин да спрете да ги получавате. Щракването върху този бутон обаче може да бъде рисковано.

Киберпрестъпниците изпращат милиони имейли на случайни адреси с надеждата да открият активни потребители. Когато щракнете върху „Отписване“, вие потвърждавате, че вашият имейл адрес е валиден и се следи активно. Вместо да спрат, спамърите могат да ви изпратят още повече нежелани имейли. В някои случаи щракването върху връзката може да ви насочи към злонамерени уебсайтове или дори да инсталира вреден софтуер на вашето устройство.

За да сте в безопасност, избягвайте да кликвате върху „отписване“ на имейли от непознати източници. Вместо това ги маркирайте като спам и ги преместете в папката за нежелани съобщения.

Как да се предпазите от спам

Спам имейлите не са само досадни, те могат да бъдат и опасни. Едни съдържат връзки към зловредни уебсайтове, други прикачени файлове, които инсталират зловреден софтуер на вашето устройство.

За да се защитите, следвайте тези прости стъпки:

• Бъдете нащрек: Ако имейлът изглежда подозрителен или изисква лична информация, бъдете предпазливи. Легитимните компании не искат поверителни данни чрез имейл.
• Не действайте прибързано: Измамниците често създават усещане за спешност, като ви притискат да действате бързо. Ако в имейл се твърди, че трябва да предприемете незабавни действия, помислете два пъти, преди да отговорите.
• Не кликвайте върху непознати връзки: Ако имейлът съдържа връзка, избягвайте да кликвате върху нея.
• Избягвайте да отваряте прикачени файлове от непознати изпращачи: Зловредният софтуер може да бъде скрит в прикачени файлове към имейли, включително PDF и ZIP файлове, както и Word документ. Отваряйте прикачени файлове само ако имате доверие на подателя.

Спам имейлите може да изглеждат безобидни, но начинът, по който се справяте с тях, може да повлияе на вашата онлайн сигурност. Вместо да ги изтривате веднага, маркирането им като спам помага на доставчиците на електронна поща да усъвършенстват филтрите си и да блокират подобни съобщения в бъдеще.

Организациите с нестопанска цел (НПО) все по-често стават обект на кибератаки. През 2024 заплахите срещу тях, базирани на електронна поща, са се увеличили с 35,2%. Те са насочени към данни на дарители, финансови трансакции и вътрешни комуникации.

Според нов доклад на Abnormal Security НПО са се превърнали в основни мишени заради ограничените си ресурси за киберсигурност, средата с високо доверие и честите финансови трансфери.

Нападателите се възползват от тези уязвимости, за да прилагат business email compromise (BEC) и vendor email compromise (VEC) схеми. Те подвеждат служителите от НПО сектора да пренасочват средства или да споделят чувствителна информация.

За този скок на атаките срещу него допринася и все по-усъвършенстваните тактики за социално инженерство.

Киберпрестъпниците изготвят изключително автентично изглеждащи фишинг имейли, които заобикалят традиционните филтри за сигурност. Често те се представят за дарители, регулаторни агенции или партньорски организации. Увеличаването на цифровите инструменти за набиране на средства и онлайн сътрудничество допълнително разширява повърхността за атака.

Фишингът на идентификационни данни срещу НПО е нараснал с 50,4%. При успешна атака престъпниците могат да компрометират вътрешните комуникации, да извършват финансови измами или да продават чувствителни данни в Dark Web.

Ransomware също е много опасен за организациите с нестопанска цел. Много от тях не разполагат с финансови ресурси, за да се възстановят от значителни прекъсвания на IT системите си.

НПО трябва да предприемат проактивни мерки за защита на своите операции. Те включват:

• използване на решения за сигурност на електронната поща, базирани на AI и филтри за блокиране на известни източници на фишинг;
• защита на имейл акаунтите с MFA;
• редовни обучения за повишаване на осведомеността относно киберсигурността на служителите.