Tak wynika z danych firm analitycznych Radicati i Statista. Powszechność tego zjawiska wpływa na wzrost jego świadomości wśród użytkowników. Reagują na nie także twórcy oprogramowania udostępniający m.in. filtry antyphishingowe czy dwuskładnikowe uwierzytelnianie. Niestety, jak komentują eksperci Stormshield, zagrożenie phishingiem nie maleje, a działania przestępców stają się coraz bardziej wyrafinowane i zawierają silniejszy aspekt psychologiczny.
Jednym z najczęściej stosowanych nowych mechanizmów jest typosquatting. Niski koszt hostingu strony phishingowej w domenie, której adres różni się od oryginalnej jednym znakiem powoduje, że ten model działania jest z perspektywy przestępców bardzo owocny. Szata graficzna takich serwisów jest zaprojektowana tak, że ofiary zwykle nie zdają sobie sprawy, że odwiedzają stronę phishingową. W ubiegłym roku CERT Polska zablokował 33 tys. takich domen, powstrzymując we współpracy z operatorami telekomunikacyjnymi blisko 4 miliony prób wejścia na strony oznaczone jako wyłudzające dane.
Najczęściej obserwowany phishing związany był z wyłudzaniem danych logowania do Facebooka. W tym przypadku wykorzystywano motyw weryfikacji wieku niezbędnego do obejrzenia filmu z drastycznego wydarzenia. Z kolei jak podaje ESET Threat Report, liczba zablokowanych unikalnych phishingowych adresów URL osiągnęła w okresie maj-sierpień 2022 poziom niemal 4,7 miliona.
Phishing – jak nie dać się złowić?
- Użycie dwuskładnikowej autoryzacji praktycznie uniemożliwia użycie wykradzionego loginu i hasła, nawet jeżeli fałszywa strona wygląda identycznie jak oryginalna.
- Menadżer haseł weryfikuje adres strony i nie wprowadzi danych logowania w polach należących do nieznanej strony internetowej, bez względu na to czy jest ona łudząco podobna do legalnej.
- Bądźmy czujni na socjotechnikę. Minęły czasy, gdy niepoprawne językowo komunikaty na pierwszy rzut oka zdradzały oszustwo. Najczęściej wiadomości wysyła „dziwny” nadawca, a jej treść jest tak skonstruowana, aby skłonić nas do podjęcia natychmiastowych reakcji.
- Nie klikajmy w podejrzane i niezweryfikowane linki oraz nie otwierajmy nieoczekiwanych załączników.
- Dobrze wdrożone dedykowane urządzenia, takie jak np. firewalle, automatycznie rozpoznają i blokują zagrożenia. Zgodnie z rekomendacjami agencji rządowych ds. bezpieczeństwa firewalle (np. Stormshield), korzystają z listy zablokowanych adresów URL opracowywanej przez CERT Polska, a także z danych kilkunastu globalnych laboratoriów IT.
Kolejną rozpowszechnioną techniką jest ta wykorzystująca dołączone do treści e-maili zainfekowane bannery. Pozwala to ominąć mechanizm filtrowania, a odbiorca otrzymuje informację, że nadawca i załącznik zostały zweryfikowane.
“Aby ominąć filtry wykrywania fałszowania logo, cyberprzestępcy wyświetlają je jako tabelę składającą się z zestawu komórek o szerokości jednego piksela. Dla odbiorcy pozostaje ono zatem identyczne, jednak ujęcie go w formie tabeli utrudnia identyfikację przez filtr antyphishingowy. Takie oszustwo jest możliwe do wykrycia za pomocą analizy wizualnej, przy użyciu algorytmu wizji komputerowej” – wyjaśnia Aleksander Kostuch, inżynier Stormshield.
Linki phishingowe są również osadzane w łańcuchu linków przekierowujących, co sprawia, że filtry antyphishingowe nie mogą dotrzeć do końcowego adresu URL. Jednak prawdziwą żyłą złota dla przestępców są wycieki baz danych zawierających adresy e-mail, hasła i numery telefonów.
“Ofiary same działają na swoja niekorzyść. Powszechne jest stosowanie słabych haseł, dodatkowo używanych wielokrotnie na różnych kontach. W ten sposób staje się ono wytrychem otwierającym wiele drzwi. Co więcej taka wiedza pozwala przestępcom tworzyć wiarygodne scenariusze działań, przyczyniając się do nieustannej popularności phishingu oraz rozwoju nowych technik i kanałów dystrybucji” – mówi Aleksander Kostuch.
Wyłudzenia “na InPost czy Allegro”
W ostatnich latach rośnie również liczba ataków z wykorzystaniem SMS. Wpływ na to miały lockdowny i związany z nim rozwój handlu internetowego. Próby wyłudzeń „na InPost, Allegro czy Olx”, rozpoczynające się od sms-a przychodzącego do ofiary, który informuje o niedostarczonej czy nieopłaconej paczce wciąż pozostają rozpowszechnioną praktyką.
Medium chętnie wykorzystywanym przez przestępców stał się także WhatsApp czy narzędzia do komunikacji pomiędzy pracownikami, takie jak Microsoft Teams i Slack. Jedną z nowych metod jest publikacja oferty pracy zawierająca oprogramowanie szpiegujące, co umożliwia kradzież tożsamości pracownika.
Jak wskazują eksperci, pozyskanie takich danych to fundament do dalszych działań, które przestępcy przeprowadzają np. w okresie świątecznym, gdy osób których tożsamość wykorzystują nie ma fizycznie w miejscu pracy. W ten sposób udało się choćby w lipcu 2022 roku ukraść ponad 500 milionów euro firmie Sky Mavis.
Atak “Browser-in-the-browser”
Kolejna innowacja to atak „Browser-in-the-browser” (przeglądarka w przeglądarce). To strategia polegająca na wyświetlaniu fałszywego okna przeglądarki. Ofiary klikające przycisk logowania są przekonane, że ładują nowe okno uwierzytelniania. Jest to jednak iluzja. W rzeczywistości użytkownik nie zmienia okien, a cyberprzestępca wyświetla prawidłowy adres URL, aby oszukać czujność ofiary, która następnie nieświadomie wprowadza swoje dane uwierzytelniające na stronie przestępców. Słabością tej trudnej do wykrycia techniki jest ograniczenie możliwości jej wykorzystania w telefonach komórkowych. Prawdziwe okna logowania można maksymalizować, minimalizować oraz przenosić w dowolne miejsce na ekranie. Fałszywe okna podręczne są powiązane ze stroną, na której się znajdują. Mogą poruszać się tylko w obrębie okna przeglądarki.
Jak zwracają uwagę eksperci, cyberprzestępcy w coraz większym stopniu korzystają z narzędzi umożliwiających automatyzację kampanii phishingowych. Na przykład serwisy Gophish lub Sniperphish oferują gotowe do użycia szablony stron i wiadomości e-mail służących do przechwytywania wrażliwych danych. Specjaliści przewidując rozwój phishingu wskazują również na jego dalszą automatyzację i precyzję działań.
“Dzięki technologii rozszerzania tekstu możliwe jest teraz generowanie setek e-maili, które mają tożsamy przekaz choć używają zupełnie innych słów. W związku z tym phishing prawdopodobnie zmieni modus operandi. Zamiast jednej treści adresowanej do wielu potencjalnych ofiar będziemy mieli do czynienia z wielką liczbą zróżnicowanych wiadomości, których treść zostanie dopasowana indywidualnie do ofiary. Ta technika wydaje się być inspirowana SEO i algorytmem GPT-3. W obliczu wykorzystania technologii open source również dostawcy cyberbezpieczeństwa będą zmuszeni do wprowadzania nowych metod wykrywania oszustw, aby sprostać rosnącym wyzwaniom” – podsumowuje Aleksander Kostuch.
