Ludzie szukają okazji zakupowych, rozglądają się za ofertami wypoczynku, dzielą się pieniędzmi na stronach charytatywnych. Są rozproszeni. Bywa, że nieuważnie traktują dane dostępowe i instalują malware.

Organizacja F5 SOC w latach 2014-2017 zlokalizowała wiele szkodliwych stron internetowych. 75,6% z nich było powiązanych z atakami phishingowymi. Kolejne stanowiły: złośliwe skrypty (11,3%) i przekierowania URL, które także są używane w operacjach phishingowych. Najczęstszą formą ataku phishingowego jest podszywanie się pod znaną markę. 71% wysiłków atakujących w okresie wrzesień-październik 2018 r. skupiała się na podrabianiu jednej z dziesięciu organizacji, najczęściej korporacji technologicznych. Aż 58% phishingowców podszywało się w badanym okresie pod Microsoft, Google, Facebook, Apple, Adobe, Dropbox i DocuSign.

13 z 20 najszybciej rosnących celów stanowiły organizacje finansowe, w tym 55% banki. Najgroźniejszymi programami były właśnie malware bankowe, takie jak: Trickbot, Zeus, Dyre, Neverquest, Gozi, GozNym, Dridex i Gootkit.

F5 Labs podkreśla istotność implementacji ochrony kontroli dostępu, włączając uwierzytelnianie wieloskładnikowe i kontrolę danych dostępowych dla zapobiegania wyłomom phishingowym. Rekomendacje dobrych praktyk zawierają następujące taktyki:

1. Czytelnie etykietuj korespondencję przychodzącą ze źródeł zewnętrznych.

2. Dbaj o aktualne oprogramowanie antywirusowe - w większości przypadków zatrzyma ono próbę instalacji malware.

3. Rozważ zastosowanie rozwiązań filtrujących sieć, które pomagają zablokować dostęp do stron phishingowych. 

4. Ważne jest deszyfrowanie ruchu i inspekcja - jeśli organizacje nie deszyfrują ruchu przed inspekcją, malware zainstalowany przy ataku phishingowym nie zostanie wykryty w sieci.

5. Pomyśl o Single Sign On. Im mniej danych dostępowych muszą pamiętać użytkownicy, tym mniej chętnie dzielą się nimi w aplikacjach, rzadziej tworzą słabe hasła i przechowują je w mało bezpieczny sposób.

6. Niektóre rozwiązania mailowe mają już wbudowany przycisk phish alert do powiadamiania IT o podejrzanej aktywności. Jeśli Twój email nie ma takiej automatyzacji, poinstruuj użytkowników, aby zadzwonili do helpdesku czy zespołu bezpieczeństwa.

7. Rozważ zmianę adresów mailowych pracowników, jeśli są regularnie czy częściej atakowani phishingowo.

8. Użyj CAPTcha. To technologia pozwalająca rozróżnić ludzi i boty. Użytkownicy mogą odbierać ją jako denerwującą, jest więc wskazana przy największym prawdopodobieństwie, że skrypty pochodzą od bota.

9. Prawa dostępu dla pracowników powinny być przeglądane regularnie, szczególnie tych, którzy mają dostęp do systemów krytycznych. Priorytetem powinien być trening antyphishingowy dla tej grupy pracowników.

10. Strony phishingowe są zwykle nowo zarejestrowanymi domenami. Warto zwrócić na to uwagę.

11. Zaimplementuj rozwiązania wykrywające oszustwa sieciowe. Pomogą wykryć klientów zainfekowanych malware, zatrzymując możliwość logowania cyberprzestępców do Twojego systemu. Pomogą też zobaczyć nielegalne transakcje.

Autor: Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland