דו"ח הפישינג וההונאות: פישינג הוא טקטיקה מספר 1 של פריצות למידע
מאת:
מערכת Telecom News, 20.1.20, 12:35
פושעי רשת מאמצים אוטומציה כדי להרחיב את השפעת הפריצה. התקפות הפישינג כבר אינן עונתיות. פירוט האנטומיה של התקפות הפישינג. קיים סיכוי גבוה יותר לפריצות בענפי הפיננסים, הבריאות, החינוך, החשבונאות וכן בקרב עמותות. כיצד להישאר בטוחים? הדו"ח השנתי של F5.
הפישינג היא כיום שיטת ההתקפה הבולטת ביותר לפריצה למידע. כך, חושפת
F5 Labs בדו"ח הפישינג וההונאה השנתי השלישי שלה לשנה החולפת 2019 -
כאן - וגם -
כאן. עוד עולה מהדו"ח, כי בעוד היקף האיומים צפוי לעלות באופן מתמשך, התקפות הפישינג כבר אינן עונתיות או ניתנות לצפייה כבעבר.
בהתבסס על ניתוח מהשנה האחרונה, החברה מאמינה עוד, שקיים סיכוי גבוה יותר לפריצות בענפי הפיננסים, הבריאות, החינוך, החשבונאות וכן בקרב עמותות. המחקר מבוסס על נתונים מ-
Webroot, שותף מודיעין האיומים של
F5, וכן על נתונים ממרכזי ה-
SOC הגלובליים של
F5.
בשנה שעברה, מרכז ה-
SOC של החברה דיווח על עלייה של 50% בהתקפות פישינג בתקופת החגים, שמאופיינת ברכישות און-ליין כבדות בין אוקטובר לינואר. אולם, זה כבר לא המצב.
על פי החברה, כתובות היעד להודעות פישינג מגיעות ממגוון מקורות, כמו רשימות דואר זבל ואיסוף מודיעין מבוסס קוד פתוח. בהתאם לגישה ולעוצמה הננקטת בעת טרגוט הקורבנות, ניתן לשלוח דוא"ל פישינג לאלפי קורבנות פוטנציאליים או לאדם ספציפי.
אנטומיה של התקפת פישינג
F5 Labs שילבה את נתוני
Webroot המפורטים מיולי 2019 עם מחקרים שערכה בעצמה במהלך השנה האחרונה והגיעה למסקנה, שלדוא"ל של פישינג יש סיכוי גבוה פי 3 להכיל קישור זדוני מאשר קובץ מצורף. המותגים והשירותים המתחזים ביותר הם פייסבוק,
Microsoft Office Exchange ואפל.
אחת המגמות העיקריות, שחוזרות השנה, היא תוקפי פישינג (
phishers) הממשיכים לדחוף ללא פשרות למראית עין של אמינות, כאשר 71% מאתרי הפישינג, שמשתמשים ב-
HTTPS, נראים לגיטימיים יותר.
החברה מצאה, שב-85% מאתרי ההתחזות שנותחו, התעודות דיגיטליות נחתמו ע"י רשויות
Certificate Authority.
יתר על כן, מתוך 21% מהתעודות באתרי הפישינג, כ-20% כוללות ולידציות מהארגון (
OV-Organization Validation) ו-1% כוללות ולידציות מורחבות (
EV-Extended Validation). 2 הולידציות הללו מיועדות לבסס רמות אמון גבוהות יותר.
אתרי פישינג מזויפים נמצאו במגוון רחב של מארחים באינטרנט, כאשר הדומיננטיים ביותר היו
4cn.org (2.7%),
airproxyunblocked.org (2.4%),
16u0.com (1.0%) ו-
prizeforyouhere.com (1.0%).
הדומיינים המובילים, שכוללים אתרי פישינג ייחודיים, הם
blogspot.com, שהיה אחראי על 4% מכלל מקרי הפישינג שנותחו ו-43% מהתוכנות הזדוניות. פלטפורמת הבלוגים הפופולרית מאפשרת למשתמשים לארח בקלות תוכן זדוני בדומיין מוכר היטב המספק תעודות
TLS בחינם, עם דירוג
OV, לכל אתריו.
דומיינים אחרים, שנפגעו לעתים קרובות, כוללים את
000webhostapp.com, ebaraersc.net ו-.
info. התבניות, שמופיעות בתדירות הגבוהה ביותר בכתובות
URL של פישינג שנבדקו, היו
htm (19.4%),
.php (7.4%),
login (3.0%) ו-
admin (1.2%
(.
החברה הבחינה, שלמעלה מ-7% מאתרי התוכנה הזדונית משתמשים בחיבורים מוצפנים דרך יציאות
HTTPS לא סטנדרטיות (כלומר 8443).
עליית האוטומציה
מגמה משמעותית נוספת בדו"ח ההונאה והפישינג היא המספר ההולך וגדל של תוקפים המאמצים אוטומציה כדי לבצע אופטימיזציה של התקפות פישינג.
הנתונים מראים, שאתרי פישינג רבים משיגים אישורים באמצעות שירותים כמו
cPanel (משולב ב-
Comodo CA) ו-
LetsEncrypt. כ-
36%מאתרי הפישינג היו בעלי תעודות, שנמשכו 90 יום בלבד, דבר המרמז, שהתוקפים משתמשים באוטומציה של אישורים.
להישאר בטוחים
F5 Labs ממליצה, שכל אסטרטגיה למניעת פישינג תכלול התחייבויות להדרכה להעלאת מודעות בנושא, כמו גם את בקרות האבטחה הבאות:
- השתמשו באותנטיקציה מולטי פקטוריאלית (MFA). זהו "ביטוח פער" המונע שימוש בתעודות גנובות ממקום לא צפוי או מכשיר לא ידוע.
- תייגו בבירור את כל הדוא"ל המגיע ממקורות חיצוניים כדי למנוע זיוף.
- הפכו תוכנת אנטי-וירוס (AV) לכלי קריטי לכל מערכת רלוונטית. ברוב המקרים, תוכנת אנטי-וירוס תפסיק ניסיון להתקנת תוכנות זדוניות אם התוכנה מעודכנת. הגדירו ומדיניות אנטי-וירוס, שתתעדכן לפחות מדי יום.
- הטמיעו פתרונות סינון אינטרנט כדי למנוע ממשתמשים לבקר בשוגג באתרי פישינג. כאשר משתמש לוחץ על קישור, הפתרון יכול לחסום תנועה יוצאת.
- חפשו בתעבורה המוצפנת תוכנות זדוניות. תעבורה מתוכנות זדוניות המתקשרות עם שרתי פקודה ובקרה (C&C) דרך מנהרות מוצפנות אינה ניתנת לגילוי במעבר ללא דרך כלשהי של שער פענוח. חיוני לפענח תנועה פנימית לפני ששולחים אותה לכלים לגילוי אירועים לבדיקת זיהומים.
- שפרו את מנגנוני הדיווח. תגובות לאירועים חייבות לכלול שיטה יעילה המאפשרת למשתמשים להתריע על פישינג.
- השיגו נראות טובה יותר באמצעות ניטור נקודות קצה, הבינו איזה תוכנות זדוניות הופכות לפעילות ברשת, ובררו אילו אישורים עלולים להיפגע.
סורין בויאנגיו, (בתמונה משמאל, צילום קארין בויאנגיו), מהנדס מערכות בחברת
F5 בישראל: "מוסדות בנקאיים עוברים טרנספורמציה דיגיטלית בקצב
מהיר כדי לאפשר ללקוחותיהם לבצע את כלל הפעולות דרך אתר האינטרנט או האפליקציה של הבנק, במקום להגיע פיזית לסניף. השינוי עצמו הוא מבורך, אך הוא מביא עמו לא מעט סיכונים, בהם גניבת זהות ומתקפות פישינג.
פושעי הסייבר מעתיקים את עמוד הבית של הבנק ומעלים אותו למקום הנשלט על ידם, ממנו הם יכולים לשלוח אימיילים לעשרות או מאות אלפי לקוחות ולהמתין שמישהו ייפול במלכודת. עם תכנון נכון, ניתן כיום להתמודד עם האיומים הללו ולוודא, שהטרנספורמציה הדיגיטלית נעשית באופן יעיל ובטוח, כזה השומר באופן מיטבי על הארגון ולקוחותיו".
דייוויד וורברטון, (בתמונה משמאל), מומחה האיומים הראשי ב-
F5 Networks, וכותב שותף לדו"ח: "יש כל כך הרבה פישינג כי זה קל וזה עובד. התוקפים אינם צריכים לדאוג לגבי פריצה דרך פיירוול, למצוא תוכנת ניצול של
zero day, לפענח הצפנה או לעשות סנפלינג במורד מעלית עם סט סכינים בין השיניים. החלק הקשה ביותר, שהם צריכים לעשות, הוא לחשוב על הודעת דוא"ל טובה, שתגרום לאנשים ללחוץ עליה, ואתר מזויף לנחות עליו.
2019 לא הראתה את אותו דפוס שאפיין את השנתיים שקדמו לה. עליית המדיה החברתית הופכת את המידע האישי לזמין באופן חופשי בכל עת. מגוון רחב של אירועים, בין השאר, בחגים ציבוריים, בתחרויות ספורט או במצבים פוליטיים, מספקים לשחקני האיומים את המיתוג והסיפור המרגש, שהם צריכים, כדי ליצור קמפיין פישינג משכנע.
המטרה של ולידציות היא לספק בטחון לגבי בעלות הארגון על הדומיין. נראה שזה לא עובד. למעשה, כרום ופיירפוקס הודיעו, שהם מתכוונים להוריד את תצוגת ה-
EV מהמסך הראשי. ספארי של אפל כבר הורידה אותה מסדר העדיפויות.
שימוש בהצפנת
HTTPS כדי להסתיר תוכנות זדוניות ממערכות גילוי פריצות מסורתיות (
IDS) הוא טקטיקה נפוצה, וכזו העולה בקנה אחד עם מגמות ההתקפה הכלליות שנצפו. לא ניתן לאתר את רוב התוכנות הזדוניות ללא בדיקת
SSL / TLS.
ל-95% מהדומיינים שניתחנו ניגשו פחות מ-10פעמים, ול-47% מהאתרים ניגשו רק פעם אחת. משמעות הדבר היא, שהתוקפים צריכים לבצע אוטומציה מלאה של תהליך הקמת אתר התחזות כדי למקסם את ההחזר על ההשקעה. אוטומציה מאפשרת לתוקף לתזמר באופן פרוגרמטי את תהליך הרכישה והפריסה של התעודות בכל הדומיינים.
אישורים בחינם, כפי שניבאנו, מקלים מאוד על התוקפים לארח אתרי פישינג. עם זאת, לא הכל מסתכם בשירותים כמו
LetsEncrypt. ישנן דרכים רבות אחרות ליצור בקלות תעודות
TLS בחינם. התוקפים חוסכים ועושים שימוש חוזר בתעודות באתרי הפישינג והתוכנות זדוניות. לאישורים רבים שמצאנו היו שמות נושא חלופיים, שמאפשרים שימוש חוזר מרובה באותן תעודות בדומיינים רבים".