Ataków phishingowych nie trzeba przedstawiać, więc pominiemy część, w której omawiamy, jak istotne i przerażające one są. Często występują w parze ze skradzionymi danymi uwierzytelniającymi, co jest celem dużej części ataków phishingowych w pierwszej kolejności. A skradzione dane uwierzytelniające prowadzą do naruszeń, które według IBM wydają się być opanowane w bardzo wolnym tempie w porównaniu do innych wektorów ataku. W końcu trudniej jest wykryć, kiedy atakujący może podszyć się pod kogoś używającego legalnych poświadczeń.
Rozwiązania antyphishingowe mają jedną wspólną cechę – są w stanie zapobiec atakom phishingowym tylko wtedy, gdy je rozpoznają. Podobnie jak IPS czy firewall, rozwiązania do filtrowania poczty elektronicznej i stron internetowych mają jednorazową szansę na zablokowanie podejrzanych treści i uniemożliwienie pracownikom odwiedzania stron phishingowych. Jeśli zawiodą, organizacja jest zdana na łaskę i niełaskę swoich pracowników. Przy tak dużej ilości informacji społecznych i publicznych, stworzenie wiadomości spear-phishingowej, która skłoni nawet doświadczonych profesjonalistów do kliknięcia, jest tylko kwestią czasu, a nie szansy.
Czarne listy wydają się być bardzo nieskuteczne ze względu na rozproszoną naturę sieci, bardzo podobną do filtrowania spamu, gdzie nie istnieje „jedna prawdziwa czarna lista”, którą wszyscy mogliby się kierować. W jednym z ostatnich badań zebrano próbkę prawie 100 tysięcy domen phishingowych z czterech niezależnych źródeł. Jednak tylko 2 procent całej listy zostało pokryte przez wszystkich czterech dostawców, co oznacza, że powinieneś starać się polegać na jak największej liczbie źródeł wykrywania.
Jest jednak jeden świetny wskaźnik, który jest bardzo łatwy do oszacowania, a jest nim wiek domeny. Powyższy raport wskazuje, że 45% domen phishingowych jest flagowanych w ciągu zaledwie 14 dni od rejestracji.
Ma to pełny sens w połączeniu z powyższą statystyką, ponieważ nowe domeny mają mniejsze szanse na znalezienie się na czarnej liście w ciągu kilku dni. W rzeczywistości 57% złośliwych rejestracji domen jest wykorzystywanych w ciągu zaledwie trzech dni, czyli szybciej niż dostawcy płatności lub usług hostingowych mogą wykryć oszustwo.
Zgadza się to z innym badaniem przeprowadzonym przez Anti Phishing Working Group, które wykazało, że trzy czwarte wykrytych domen phishingowych miało mniej niż trzy miesiące.
Jednak sam ten wskaźnik nie jest wystarczający, zwłaszcza że praca zdalna zmieniła sposób filtrowania ruchu internetowego dla pracowników – o ile w ogóle…
Phishing ma wiele typów i celów, ale jednym z najbardziej oczywistych i paskudnych typów są kradzieże danych uwierzytelniających. Wysyłają one fałszywy link do fałszywej strony proponującej reset hasła lub prosząc o zalogowanie się z jakiegokolwiek powodu. Gdy tylko dane uwierzytelniające zostaną wprowadzone, napastnicy uzyskują dostęp do potencjalnie krytycznych kont. Oczywiście MFA może ukoić ból, ale to też nie jest magiczne lekarstwo.
Gdy atakujący wejdą w posiadanie danych uwierzytelniających, natychmiast zaczynają próbować je wykorzystać. W rzeczywistości, według badań Agari, skradzione dane uwierzytelniające są już zatwierdzane w ciągu 12 godzin od udanego skompromitowania związanego z phishingiem.
Czym więc różni się wykrywanie Phishingu od zapobiegania?
Gdy pracownicy podadzą dane uwierzytelniające, zapobieganie zawodzi, a wykrycie nieuczciwego dostępu do środowisk hostowanych w chmurze z legalnymi danymi uwierzytelniającymi jest już trudne, nie wspominając o kompromitacji poczty biznesowej i innych wektorach ataku wykorzystujących techniki społeczne. Żadne z rozwiązań opartych na sieci lub poczcie elektronicznej nie jest w stanie wykryć najbardziej krytycznego etapu udanego ataku: momentu, w którym pracownik wprowadza swoje dane uwierzytelniające.
Scirge monitoruje korporacyjną pocztę elektroniczną i użycie haseł poprzez swoje unikalne możliwości wykrywania Shadow IT, a zatem nowe konto na nieznanym adresie URL może natychmiast podnieść alarm. Adresy URL dla ludzi mogą być zwodnicze, ale algorytmy o zimnym sercu wykryją, czy różnią się od domen używanych wcześniej z tymi samymi danymi uwierzytelniającymi. Informacje o wieku domeny publicznej są również natychmiast dostępne, aby skorelować, czy domena została niedawno zarejestrowana.
Na dodatek, fingerprinting haseł (wykorzystujący jednokierunkowe bezpieczne hash’e) pozwala Scirge w ciągu kilku sekund zidentyfikować, które dokładnie konto zostało naruszone. W przypadku, gdy LDAP, AD lub inne poświadczenia o dużym znaczeniu zostały udostępnione w nowej domenie, można natychmiast zresetować hasło i wydać ostrzeżenia dla pracowników.
Wykrywanie ataków phishingowych, którym nie zapobiegły filtry poczty elektronicznej, filtrowanie ruchu sieciowego lub świadomość użytkowników, jest ostatnią linią obrony, która może i powinna być dodana do każdej innej warstwy. Podobnie jak NDR-y, EDR-y i XDR-y poszukujące zagrożonych sieci, Scirge dodaje wykrywanie phishingu do innych istniejących środków zapobiegawczych.
Artykuł powstał na podstawie bloga Scirge.