Phishing, som angrepsmetode, har blitt profesjonalisert og er tilgjengelig for kriminelle i en «as-a-service»-modell. De mest effektive eksemplene er ekstremt overbevisende, og derfor farlig. Hva kan du som bedrift gjøre for å unngå å bli offer for neste generasjons phishing-angrep?
Fra Phishing til Phishing-as-a-Service (PHaaS)
Mellomstore bedrifter taper i gjennomsnitt 1,6 millioner USD hvis de blir offer for «spear phishing». I 2021 økte phishing-angrep med totalt 20 % (kilde) fra året før. I prinsippet er phishing en veldig enkel taktikk, det er en form for «social engineering» der en kriminell sender en villedende melding, designet for å lure en person til å avsløre sensitiv informasjon eller installere skadelig programvare. Det lar en angriper utføre ransomware-infeksjoner, distribuere skadelig programvare, delta i innhenting av legitimasjon og få tilgang til målrettede nettverk. Phishing er effektivt fordi det utnytter den menneskelige faktoren.
«De beste» eksemplene på phishing-forsøk kan være ekstremt vanskelig å gjenkjenne og er veldig overbevisende. I tillegg lar moderne teknologi nettkriminelle raskt justere og forbedre taktikken for å øke sjansene for at et offer vil åpne en phishing-melding som inneholder en ondsinnet fil eller lenke – en tilnærming med testing og forbedring. Phishing er spesielt effektivt i forsyningskjede-scenarier, der en troverdig e-post (eller en som allerede er kompromittert) er laget for å utgi seg for å være fra en partner, kunde eller leverandør. Når angriperne først har kommet seg på innsiden kan de bevege seg videre for å skade systemer som ligger utenfor den initielle angrepsvektoren.
Fremveksten av Phishing-as-a-Service
Mens phishing er en vanlig angrepsvektor, krever avanserte phishing-teknikker også tekniske ferdigheter. Derfor har noen av trusselaktørene begynt å utelukkende fokusere på å utvikle phishing-sett, som de deretter selger til nettkriminelle på det mørke nettet. De utvikler phishing-sider av høy kvalitet som etterligner nettsteder til legitime organisasjoner, med noen som kan omgå tofakturautentisering. De tilbyr veldig god integrasjon med sine administrasjonspaneler for å håndtere store volumkampanjer og lignende. I sin mest avanserte form inkluderer også Phishing-as-a-Service-modellen (PHaaS) teknisk støtte og regelmessige kundeoppdateringer. Dette har senket barrieren for nettkriminelle, fordi de i PHaaS-modellen trenger svært få tekniske ressurser for å implementere et phishing-angrep.
Kjernen i PHaaS-modellen er gode phishing-kits. Et av de mest populære phishing-kittene som brukes av nettkriminelle er Modlishka. Modlishka er et penetrasjonstest-verktøy med åpen kildekode som automatiserer phishing-angrep og er i stand til å omgå tofakturautentisering, på de kontoene som eventuel er beskyttet av det. Phishing-ofre kobler seg til Modlishka-serveren, og den omvendte proxy-komponenten bak serveren sender forespørsler til nettstedet den ønsker å etterligne. Offeret mottar autentisk innhold fra det legitime nettstedet, men all trafikk og alle offerets interaksjoner med det legitime nettstedet går gjennom, og registreres, på Modlishka-serveren. Når et offer kobler seg til via serveren, logges automatisk all legitimasjon som en bruker kan skrive inn i Modlishka-bakpanelet. Verktøyet ble laget av den polske forskeren Piotr Duszyński.
Modlishka er bare ett eksempel på et gratis og verktøy med åpen kildekode og et phishing-sett integrert i det, tilgjengelig for alle. Imidlertid tilbyr ekte PHaaS i tillegg kundestøtte og regelmessige produktoppdateringer, som gjør dem mer attraktive for mindre tekniske nettkriminelle eller de som ønsker å lansere og administrere store phishing-kampanjer. I løpet av det siste året lanserte nettkriminelle på det mørke nettet flere nye phishing-sett eller modifiserte eksisterende versjoner av phishing-malwaren betydelig for å kunne målrette mot sine ofre enda mer effektivt.
Hvordan bekjempe phishing-angrep?
Hos Conscia CyberDefense er vi overbevist om at phishing vil forbli en av de mest populære angrepsvektorene for å få første tilgang eller utføre første infeksjon. Nettkriminelle vil sannsynligvis fortsette å bruke phishing så lenge det er en vellykket måte å få uautorisert tilgang til brukere og bedriftskontoer på, og en kilde til fortjeneste ved å selge de stjålne dataene. PHaaS-modellen gir dette alternativet til nettkriminelle ettersom det gjør dem i stand til rask og enkel distribusjon av kampanjer som de til slutt kan tjene penger på.
For å beskytte virksomheten din mot phishing, kan du bruke ulike forsvarstaktikker. Nedenfor finner du noen av anbefalingene våre som kan bidra til å oppdage og stoppe phishing og nettinjeksjonsangrep:
- Redesign påloggingswebsiden for en applikasjon slik at den inkluderer et vannmerke som er klientspesifikt eller endres, basert på tidspunktet. Informer klienter om at hvis de ikke ser bildet eller vannmerket, så er det ikke en autentisk påloggingsside for den applikasjonen.
- Utfør periodiske, miljømessige, filbaserte scanninger (for eksempel ved å bruke YARA) for å identifisere skadelig programvare, siden webinjeksjoner ofte utføres av flere skadevarefamilier.
- Bruk kun HTTPS-tilkobling på internett og sørg for at SSL/TLS-sertifikatet til et nettsted er legitimt før du sender inn sensitive data til den.
- Hold all programvare og applikasjoner oppdatert
- Bruk multifaktorautentisering (MFA) hvis mulig, og gå mot maskinvarebasert autentisering med Fast ID Online (FIDO)-kompatibel maskinvare.
- Implementer et spamfilter for e-post som oppdager virus, tomme avsendere og så videre, og distribuer et nettfilter for å blokkere ondsinnede nettsteder.
- Bruk cybertrusselsintelligens (CTI) for å se etter skrivefeil (typosquats) i merkevarene dine.
- Bruk tid på dine ansatte og gi dem regelmessig opplæring i hvordan de oppdager phishing-baserte, så vel som andre populære angrepsvektorer.
- Bruk CTI til å se etter gjeldende, gamle og nye påloggingssider som kan opprettes.
Phishing-as-a-Service vil fortsette å utgjøre en trussel for organisasjoner og enkeltpersoner inntil de tar i bruk påkrevd cybersikkerhetshygiene (f.eks. sterke passord, MFA, …) og tilbyr opplæring i sikkerhetsbevissthet, noe som vil resultere i ulønnsomme kampanjer for trusselaktører.
Hvordan kan Conscia hjelpe deg?
Hos Conscia tilbyr vi opplæring i sikkerhetsbevissthet. For å forbedre cyberresiliensen din og bekjempe phishing, ta kontakt med oss for mer informasjon.
For å holde deg oppdatert på de siste cybertruslene og -trendene, sørg for å registrere deg til vårt ukentlige ThreatInsights-nyhetsbrev.