11 сентября 2019 г.

Главное оружие: правдоподобие и убедительность

Организации всё чаще становятся мишенью фишинга через почту и других мошеннических схем, посредством которых хакеры стремятся получить доступ к конфиденциальной или секретной информации. Сотрудники компаний получают — как им кажется, заслуживающие доверия — письма или ссылки на веб-сайты от злоумышленников, которые пытаются выдать себя за другого человека или какую-то организацию, рассчитывая получить доступ к финансовым данным или коммерческой тайне.

Массовое использование личных мобильных устройств (BYOD) и дальнейшее проникновение Интернета лишь увеличили поверхность потенциальных фишинговых атак, а это значит, что сотрудникам организаций нужно быть бдительными и всегда начеку, с чем бы они ни столкнулись в процессе работы.

Невиданный прогресс информационных технологий — от искусственного интеллекта и тотальной автоматизации до возможности создания убедительных фальшивок «дипфейк» — позволяет злоумышленникам расширить фронт фишинговых атак, повысить кажущуюся достоверность и использовать дополнительные факторы воздействия, не теряя при этом высокой прицельности. И, поскольку злоумышленники способны теперь захватить подлинные домены, а также получить SSL-сертификаты, то злонамеренные ссылки и URL-адреса становится гораздо труднее распознать.

В рамках своей традиционной «Недели кибербезопасности» CRN/США рассказывает о новых видах фишинговых атак и мошеннических схем, жертвами которых могут стать сотрудники компаний в этом году.

Фишинговый инструментарий с ИИ

Многие из фишинговых писем, приходивших в организации, были написаны не столь хорошо, чтобы с легкостью обмануть сотрудников, но это скоро изменится, так как искусственный интеллект позволяет более тонко составить текст сообщения, говорит Терри Рей (Terry Ray), старший вице-президент и почетный сотрудник (Fellow) компании Imperva (Редвуд-Шорз, шт. Калифорния), специалиста в кибербезопасности.

Сегодня, чтобы создать прицельные фишинговые послания, злоумышленникам приходится немало потрудиться, составляя их вручную, но ИИ позволит намного ускорить и автоматизировать этот процесс, говорит Рей. Встроив алгоритмы фишинга в автоматизированные системы, они смогут гораздо легче найти потенциальные мишени, которые можно монетизировать, и быстро создавать сообщения, точно нацеленные на конкретного человека, говорит он.

Можно ожидать, что хакеры, санкционируемые иностранным государством, и организованные преступные группы создадут фишинговый инструментарий, использующий ПО с открытым исходным кодом и ИИ, для таких задач, как управляемое обучение и кластеризация, говорит Рей. Прибегнув к автоматизации и ИИ, злоумышленники смогут повысить успешность атак, действуя систематически и делая свои послания гораздо более прицельными, говорит он.

Захват подлинных доменов

Злоумышленники, которые пытаются выдать себя за организации вроде Chase Bank или PayPal, запрашивая подтверждение пользователя на транзакцию или действия со счетом, часто создают фальшивую страницу входа в личный кабинет, которая выглядит в точности как настоящая, говорит Тайлер Моффитт (Tyler Moffitt), старший аналитик по исследованию киберугроз в компании Webroot (Брумфилд, шт. Колорадо).

Однако URL в строке адреса лишь имитирует настоящий, и если пользователь заметит это, то, конечно, воздержится от ввода логина и пароля, говорит Моффитт. Но хакеры научились теперь захватывать подлинные веб-домены, размещая на них фишинговые URL-адреса, то есть пользователю кажется, что он переходит на настоящий сайт chase.com или paypal.com после нажатия на вредоносную ссылку.

Сегодня, говорит Моффитт, более 40% фишинговых URL-адресов размещаются на законных доменах, то есть вредоносные действия могут совершаться даже на страницах с нормально выглядящим URL. Однако тут есть одно «но»: такие фишинговые сайты часто действуют лишь несколько часов, после чего закрываются, поэтому нужна активная защита от фишинга в реальном времени для непрерывного отслеживания изменений в ландшафте угроз, говорит Моффитт.

Имитация голоса руководителей

Злоумышленники стали прибегать к подделке голоса главного управляющего или финансового директора компании, чтобы заставить сотрудника выполнить необычное распоряжение — например, перевести деньги на указанный счет, говорит Адам Куджава (Adam Kujawa), директор исследовательской лаборатории компании Malwarebytes (Санта-Клара, шт. Калифорния).

Руководители разного ранга часто фигурируют в видеозаписях на YouTube: это могут быть маркетинговые видеосюжеты, обучающие видео по продуктам или выступления на конференциях TEDx. Злоумышленники могут подвергнуть такие записи обработке с использованием алгоритмов ИИ и создать имитацию голоса руководителя, говорит Куджава, а обычные пользователи не владеют инструментарием, позволяющим определить, являются ли видео или запись голоса подлинными или же это подделка.

Можно ожидать, говорит Куджава, что злоумышленники начнут создавать поддельные записи голоса с помощью технологии deepfake и «проигрывать» их при телефонном звонке, если человек не повелся на фишинговое письмо якобы от этого руководителя. Вероятно, эти технологии будут доступны через Интернет, добавляет Куджава; это упростит для хакеров создание дипфейков, чтобы использовать их в фишинге.

Шантаж разоблачением в интимной сфере

Киберпреступники стали прибегать к шантажу, используя полный набор регистрационных данных пользователя (логин, пароль, адрес электронной почты) из дарквеба, уже добытый ранее при взломе, говорит Куджава. Чаще всего такой шантаж связан с посещением порносайтов.

Злоумышленник посылает письмо на электронную почту пользователя, сообщая, что знает его пароль на порносайте и что там установлено вредоносное ПО, которое включает веб-камеру пользователя и записывает его самого и всё, что он смотрит, угрожая при этом опубликовать в Сети сделанную запись, если не получит определенную сумму криптовалютой, говорит Куджава.

Такого рода атаки, сказал он, стали появляться в 2018 году и оказались очень действенными, поскольку многие готовы выполнить требования шантажиста из-за угрозы разоблачения их предосудительных наклонностей. Впрочем, Куджава считает, что эффективность таких атак постепенно сойдет на нет — ведь заявления о якобы записи через веб-камеру это «сущая чушь», говорит он.

Спуфинг под видом руководителя

Злоумышленники могут посылать письма сотрудникам организаций, прикинувшись их боссом (или вышестоящим руководителем), чтобы вселить в них чувство срочности, говорит Моффитт. Например, они могут потребовать срочно открыть какую-то ссылку в присланном письме или попросить координатора корпоративного мероприятия закупить несколько подарочных карт Amazon по 100 долл. для участников, выдавая себя за директора по маркетингу.

Почти две трети опрошенных сотрудников говорят, что, скорее всего, откроют такое письмо от своего руководителя в первую очередь, говорит Моффитт, и злоумышленники делают ставку на создаваемое чувство срочности, чтобы заставить их отбросить сомнения, забыть об осторожности и сделать то, о чем просят. Хакеры, как правило, тщательно готовятся, собирая доступную в Сети информацию, чтобы успешнее воздействовать на намеченную жертву, говорит Моффитт.

За последние три года количество спуфинг-атак выросло на 274%, сказал Моффитт. Только в этом году хакеры заработали 53 млн долл., выдавая себя за руководителей высшего звена и прося сотрудников срочно что-то сделать.

Переход на HTTPS-соединения

Долгое время, говорит Моффитт, фишинговые сайты не могли получить SSL-сертификат и поэтому использовали обычное соединение http://, а не защищенное https://. Многие пользователи наконец усвоили, что если в адресной строке браузера не стоит https://, то, скорее всего, через такой сайт ведется фишинг, сказал Моффитт.

Однако сегодня, говорит он, более половины фишинговых веб-сайтов получили SSL-сертификат, и, значит, в строке адреса фишинговой страницы будет показано защищенное соединение https://. Это означает, что фишинговые сайты стало гораздо труднее распознать несмотря на то, что пользователи теперь гораздо образованнее в этих вопросах, сказал Моффитт.

По материалам crn.com.

© 2019. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Майкл Новинсон, CRN/США