דו"ח פישינג והונאה ל-2020: התקפות פישינג עלו ב-220% בשיא משבר הקורונה
מאת:
מערכת Telecom News, 24.11.20, 13:15
הדו"ח בוחן אירועי פישינג, צולל עמוק לאתרי פישינג פעילים המסופקים ע"י שירותי ה-Webroot BrightCloud Intelligence Services של OpenText ומנתח נתוני שוק ה-dark web מ-Vigilante. יחד, נבנית תמונה שלמה ועקבית של עולם הפישינג. פושעי סייבר הפכו חסרי רחמים בניסיונותיהם לחטוף כתובות של אתרים מכובדים. מי היו המותגים המובילים שהתחזו אליהם?
מגפת הקורונה ממשיכה לעודד את מאמצי הפישינג (דיוג -
Phishing) וההונאה של עברייני הסייבר באופן משמעותי. זאת, על פי מחקרים חדשים של מעבדות
F5 Labs. על פי
המהדורה הרביעית של דו"ח הפישינג וההונאה (Phishing and Fraud Report), אירועי פישינג עלו ב-220% בשיא המגיפה העולמית בהשוואה לממוצע השנתי.
דו"ח ה-
Phishing and Fraud Report בוחן השנה ממרכז ה-
SOC של
F5 אירועי פישינג, שהתרחשו במהלך 5 שנים, צולל עמוק לאתרי פישינג פעילים המסופקים ע"י שירותי ה-
Webroot BrightCloud Intelligence Services של
OpenText ומנתח נתוני שוק ה-
dark web מ-
Vigilante. יחד, נבנית תמונה שלמה ועקבית של עולם הפישינג.
בהתבסס על נתונים ממרכז ה-
SOC של
F5, מספר אירועי הפישינג ב-2020 אמור כעת לעלות ב-15% לעומת השנה שעברה, אם כי נתון זה עלול להשתנות בקרוב עם התפשטות הגל השני של המגפה.
הודעות פישינג נמסרות בדוא"ל בנושא הקורונה ומתמקדות בבקשה לתרומות לעמותות מזויפות, איסוף הרשאות והעברת תוכנות זדוניות.
החוקרים זיהו התקפות אופורטוניסטיות כאשר בחנו יומני שקיפות אישורים (
Certificate Transparency Logs - תיעוד של כל האישורים הדיגיטליים המהימנים בציבור). מספר האישורים המשתמשים במונחים "
Covid" ו"קורונה" הגיע לשיא של 14,940 במרץ, דבר המהווה עלייה אדירה של 1102% לעומת החודש הקודם.
הדומיין של תוקפי הפישינג
על פי המחקר של שנה שעברה,
F5 Labs ציינו, שנוכלים הופכים להיות יצירתיים יותר ויותר עם שמות וכתובות אתרי הפישינג שלהם.
החל מתחילת 2020 עד היום, 52% מאתרי הפישינג השתמשו בשמות ופרטי זיהוי של מותגים בכתובות האתר שלהם. באמצעות נתוני אתרי פישינג מ-
Webroot החוקרים גילו, שאמזון (
Amazon) הוא המותג המטורגט ביותר במחצית השנייה של 2020. המותגים
Paypal ,
Apple WhatsApp,
Microsoft Office ,
Netflix ו-
Instagram היו גם בין 10המותגים המובילים שהתחזו אליהם.
ע"י מעקב אחר גניבת הרשאות לשימוש בהתקפות פעילות, הבחינו החוקרים, שעבריינים מנסים להשתמש בסיסמאות גנובות תוך 4 שעות מרגע ביצוע התקפת הפישינג מול הקורבן. התקפות מסוימות אף התרחשו בזמן אמת כדי לאפשר תפיסת קודים של אבטחה של אימות רב-גורמים (
MFA).
בינתיים, גם פושעי סייבר הפכו חסרי רחמים בניסיונותיהם לחטוף כתובות של אתרים מכובדים, אם כי פגיעים - לעתים קרובות בחינם. אתרי וורדפרס לבדם היוו 20% מכתובות הפישינג הגנריות ב-2020. ב-2017 נתון זה היה נמוך משמעותית והגיע רק עד 4.7%.
יתר על כן, פושעי סייבר מורידים יותר ויותר עלויות באמצעות רשמים של שמות דומיין (
registrar) הניתנים בחינם כגון
Freenom עבור דומיינים מסוימים של קוד מדינה (
ccTLD), כולל
tk, .ml, .ga, .cf ו-
gq. כאמור, .
tk הוא כיום הדומיין החמישי ביותר בפופולריות בעולם.
מסתתרים במקום גלוי לעין
ב
-2020 התוקפים מגבירים את מאמציהם לגרום לאתרים מזוייפים להיראות אמיתיים ככל האפשר. נתונים סטטיסטיים של
F5 SOC מצאו, שמרבית אתרי הפישינג מינפו הצפנה, כאשר 72% מתוכם השתמשו בסרטיפיקציות
HTTPS תקפות כדי להערים על קורבנות. השנה, 100% מ"אזורי ההצנחה" (
drop zones) - יעדי הנתונים הגנובים, שנשלחו ע"י תוכנות זדוניות - השתמשו בהצפנת
TLS (עלייה מ-89% ב-2019).
החוקרים דיווחו בנוסף, שכאשר מצרפים את האירועים מ-2019 ו-2020, 55.3% מה-
drop zones השתמשו ביציאת
SSL/TLS לא סטנדרטית. נעשה שימוש ביציאה 446 בכל המקרים ב-
bar one. ניתוח של אתרי פישינג מצא, ש-98.2% השתמשו ביציאות סטנדרטיות: 80 לתעבורת
cleartext HTTP ו-443 לתעבורת
SSL/TLS מוצפנת.
סורין בויאנגיו, (בתמונה משמאל), מהנדס מערכות בחברת
F5 בישראל: "התקפות פישינג קיימות מספר רב של שנים ולמרות זאת הן נשארת וקטור תקיפה משמעותי ההולך ומתפתח. הגנות מסוג
MFA כבר לא מספיקות, מאחר שבמקרים רבים הן מאפשרות התמודדות עם האיום רק לאחר שהזהות נגנבה והנזק נעשה. מנועים חדשניים, שמסוגלים לזהות אם גניבת הזהות בזמן אמת, כאשר המשתמש מתחבר, מאפשרים להתמודד עם האיום באופן מידי ויעיל יותר".
דייוויד וורברטון, מומחה איומים בכיר במעבדות
F5 Labs: "הסיכון להיות תחת התקפת פישינג גבוה יותר מתמיד ונוכלים משתמשים יותר ויותר באישורים דיגיטליים כדי שהאתרים שלהם ייראו מקוריים. התוקפים ממהרים גם לרכוב על מגמות רגשיות. כך, שמגפת הקורונה תמשיך לתדלק איום, שכבר היום נחשב משמעותי. למרבה הצער, המחקר מצביע על כך, שבקרות האבטחה, הכשרות המשתמשים והמודעות הכוללת עדיין אינן מספיקות ברחבי העולם".