Nie jest to wiadomość miesiąca ani choćby tygodnia, niemniej poniedziałek postanowiliśmy zacząć mało technicznie, żeby stopniować skomplikowanie tekstów i w piątek puścimy artykuł napisany w całości w C++. Ale dość planów, czas na konkrety! Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury CISA wraz z NSA, FBI i MS-ISAC opublikowały wspólny przewodnik zawierający szczegółowe informacje na temat powszechnie stosowanych technik phishingu i zalecenia dotyczące sposobów ich ograniczania. My na Kapitanie Hacku pisaliśmy o tym wielokrotnie, a socjotechnice poświęciliśmy choćby osobną kampanię.
Podczas ataków phishingowych hakerzy wykorzystują inżynierię społeczną, aby nakłonić ofiary do ujawnienia swoich danych uwierzytelniających lub odwiedzenia złośliwej witryny internetowej, której celem jest zainfekowanie złośliwym oprogramowaniem lub kradzież danych logowania. Następnie informacje te są wykorzystywane do uzyskiwania dostępu do sieci korporacyjnych lub innych zasobów.
Wiadomo, iż w przypadku phishingu polegającego na kradzieży danych uwierzytelniających cyberprzestępcy podszywają się pod zaufane źródła. Udają naszych przełożonych lub personel IT, wysyłają wiadomości e-mail i przekonują odbiorców do ujawnienia nazw użytkowników i haseł.
Ponadto zaobserwowano, iż napastnicy używają urządzeń mobilnych do wysyłania wiadomości tekstowych na różnych czatach oraz wykorzystują technologię VoIP do fałszowania identyfikatora rozmówcy w ramach ataków phishingowych. Podkreślają to agencje rządowe USA w nowych wytycznych, dostępnych w tym PDF-ie.
W samym dokumencie nie ma specjalnych zaskoczeń. Aby zmniejszyć ryzyko phishingu polegającego na kradzieży danych uwierzytelniających, zaleca się organizacjom wdrożenie uwierzytelniania wieloskładnikowego (MFA), ale unikanie słabych formularzy, takich jak uwierzytelnianie MFA bez włączonej usługi FIDO lub MFA z powiadomieniami push bez dopasowywania numerów.
Phishing oparty na złośliwym oprogramowaniu polega również na podszywaniu się pod zaufane źródło w celu nakłonienia odbiorcy do otwarcia złośliwego załącznika lub podążania za złośliwym łączem, aby uruchomić malware i doprowadzić do kradzieży informacji, zakłócenia lub uszkodzenia systemu czy eskalacji uprawnień.
Zaobserwowano, iż przestępcy korzystają z bezpłatnych, publicznie dostępnych narzędzi do wysyłania wiadomości e-mail typu spear-phishing, wysyłania złośliwych załączników ze skryptami oraz dostarczania hiperłączy lub złośliwych załączników za pośrednictwem popularnych usług czatu.
Aby zmniejszyć ryzyko udanego ataku polegającego na wyłudzaniu danych uwierzytelniających, organizacje powinny przeszkolić swoich pracowników w zakresie socjotechniki, ustawić reguły firewalla i włączyć zabezpieczenia poczty e-mail, wdrożyć usługę MFA odporną na phishing, zapobiegać przekierowaniom użytkowników do złośliwych domen, blokować znane złośliwe domeny i adresy IP, ograniczać uprawnienia administracyjne użytkowników, wdrażać zasadę Zero Trust oraz blokować wykonywanie makr i złośliwego oprogramowania. Warto zwrócić uwagę, iż wśród zasad absolutnie podstawowej „cyberhigieny” wymieniane są projekty zarządzania kontami uprzywilejowanymi, o których pisaliśmy tutaj, oraz Zero Trust.
CISA, NSA, FBI i MS-ISA zalecają producentom systemu projektowanie procesów rozwoju w oparciu o zasady bezpieczeństwa, aby ograniczyć skuteczność ataków phishingowych docierających do użytkowników.
Nowe wytyczne, jak zauważają agencje, mają na celu ochronę sieci we wszystkich organizacjach, ale zawierają także sekcję poświęconą małym i średnim firmom, które mogą mieć ograniczone zasoby do obrony przed atakami phishingowymi.