Nowe cyberzagrożenie! Ataki hakerskie przez formularze
2020-06-19 10:33
Uwaga! Phishing w nowej odmianie. Barracuda ostrzega, że cyberprzestępcy podszywający się pod marki, coraz częściej wykorzystują popularność stron internetowych Google, próbując wyłudzać w ten sposób dane uwierzytelniające swoich ofiar. Od stycznia do kwietnia br. tego rodzaju ataki miały 4-procentowy udział w krajobrazie zagrożeń phishingowych, ale należy się spodziewać, że w najbliższym czasie będzie on tylko wzrastać. Tym bardziej, że w wyłudzaniu danych przez takie ataki cyberprzestępcy odnoszą całkiem sporo sukcesów.
Przeczytaj także: Cyberbezpieczeństwo Polski drastycznie w dół. Atakuje nowy malware
Wyróżnione zagrożenia
Ataki oparte na formularzach
Z komunikatu opublikowanego przez Barracuda wynika, że w swoich staraniach o wyłudzenia danych logowania cyberprzestępcy sięgają m.in. po docs.google.com lub sway.office.com.
W phishingowej wiadomości adresaci przeważnie znajdują link do powyższych stron. Jak pisze Barracuda, wystarczy jeden atak, aby cyberprzestępcy otworzyli sobie dostęp do konta ofiary i to nawet bez znajomości danych logowania.
Wśród prawie 100 000 ataków poprzez formularze wykrytych przez analityków z firmy Barracuda od 1 stycznia do 30 kwietnia br., w 65% przypadków do oszustwa wykorzystywane były strony internetowe Google służące do przechowywania i udostępniania plików. Dotyczy to witryn takich jak storage.googleapis.com (25%), docs.google.com (23%), storage.cloud.google.com (13%) czy drive.google.com (4%).
Dla porównania, rozwiązania Microsoft były narzędziem jedynie dla 13% ataków: onedrive.live.com (6%), sway.office.com (4%) i form.office.com (3%). Inne witryny wykorzystywane w atakach polegających na podszywaniu się to sendgrid.net (10%), mailchimp.com (4%) oraz formcrafts.com (2%). Inne strony zostały wykorzystane tylko w 6 procentach tego typu ataków.
fot. mat. prasowe
Ataki oparte na formularzach
Wśród prawie 100 000 ataków poprzez formularze w 65% przypadków do oszustwa wykorzystywane były strony internetowe Google służące do przechowywania i udostępniania plików.
fot. mat. prasowe
Strony używane w atakach przez formularze
Co 4. z oszustw wykorzystywało storage.googleapis.com (25%).
Sposoby wykorzystywania formularzy do kradzieży danych
Korzystanie z prawdziwych stron internetowych jako pośredników
Cyberprzestępcy wysyłają e-maile, które wydają się być generowane automatycznie przez stronę udostępniającą pliki, taką jak OneDrive. W ten sposób przekierowują swoją ofiarę na stronę phishingową za pośrednictwem prawdziwej strony do udostępniania plików. Atakujący wysyła e-mail z linkiem, który prowadzi do pliku przechowywanego na stronie takiej jak na przykład sway.office.com. Plik ten zawiera zdjęcie z linkiem do strony phishingowej z prośbą o podanie danych uwierzytelniających do logowania.
fot. mat. prasowe
Taktyka 1
Cyberprzestępcy wysyłają e-maile, które wydają się być generowane np. przez OneDrive.
Uzyskiwanie dostępu do kont bez użycia haseł
W tym szczególnie złośliwym wariancie ataku cyberprzestępcy mogą uzyskać dostęp do kont swoich ofiar bez kradzieży ich danych uwierzytelniających. Oryginalny e-mail phishingowy zawiera link do strony wyglądającej jak zwykła strona logowania. Nawet nazwa domeny w oknie przeglądarki wydaje się odpowiadać temu, czego użytkownik może się spodziewać.
Link zawiera jednak prośbę o token dostępu do aplikacji. Po wprowadzeniu danych uwierzytelniających ofiara otrzymuje do zaakceptowania listę uprawnień aplikacji. Akceptując te uprawnienia ofiara nie oddaje bezpośrednio swojego hasła, lecz przyznaje aplikacji napastnika token, który umożliwia jej dostęp do danych na prawach użytkownika.
Takie ataki hakerskie mogą pozostać niezauważone przez długi czas – w końcu użyli oni swoich danych na prawdziwej stronie internetowej. Nawet uwierzytelnianie dwuskładnikowe nie powstrzymuje cyberprzestępców, ponieważ złośliwa aplikacja korzysta z tokena i uprawnień dostępu do konta nadanych jej przez prawowitego użytkownika.
W czasie pisania tego tekstu, Microsoft wyłączył już tę konkretną aplikację, ale widzimy, że taktyka ta jest nadal używana.
fot. mat. prasowe
Taktyka 3
Oryginalny e-mail phishingowy zawiera link do strony wyglądającej jak zwykła strona logowania.
Tworzenie formularzy w celu wyłudzenia danych
Atakujący tworzą formularz online, korzystając z ogólnodostępnych rozwiązań tego typu, takich jak forms.office.com. Formularze przypominają stronę logowania do prawdziwego serwisu, a link do formularza jest następnie dołączany do e-maili phishingowych w celu zebrania danych uwierzytelniających.
Ten rodzaj ataków hakerskich jest trudny do wykrycia, ponieważ e-maile zawierają linki wskazujące na prawdziwe strony internetowe wykorzystywane na co dzień przez różne organizacje. Usługi, które wymagają weryfikacji konta lub zmiany hasła, zazwyczaj jednak nie opierają się na tych domenach.
fot. mat. prasowe
Taktyka 2
Atakujący tworzą formularz online, korzystając z ogólnodostępnych rozwiązań tego typu, takich jak forms.office.com
Ochrona przed atakami hakerskimipoprzez formularze
Ochrona skrzynki odbiorczej wykorzystująca dostęp przez API
Cyberprzestępcy modyfikują taktykę działania w celu omijania bramek pocztowych i filtrów antyspamowych. Potrzebne jest więc rozwiązanie, które wykorzystuje sztuczną inteligencję do wykrywania i blokowania ataków takich jak przejmowanie kont i podszywanie się pod domenę. Nie można już polegać wyłącznie na oprogramowaniu szukającym złośliwych linków lub załączników, lecz należy wykorzystać technologię wykorzystującą uczenie maszynowe do analizy wzorców normalnej komunikacji w obrębie Państwa organizacji. Pozwoli to wykrywać anomalie, które mogą świadczyć o ataku.
Wdrożenie wieloskładnikowego uwierzytelniania
Uwierzytelnianie wieloskładnikowe, zwane też uwierzytelnianiem dwuskładnikowym lub dwuetapowym, zapewnia dodatkową ochronę – w stosunku do tradycyjnej nazwy użytkownika i hasła – dzięki zastosowaniu takich rozwiązań, jak kody uwierzytelniające (np. kody jednorazowe), odciski palca czy skany siatkówki.
Jak chronić się przed przejęciem konta
- Używaj technologii, które mogą wykrywać podejrzane działania i potencjalne symptomy przejęcia konta – takie jak logowanie o nietypowych porach doby czy z nietypowych lokalizacji i adresów IP.
- Śledź adresy IP, które wykazują inne podejrzane zachowania, w tym nieudane logowanie i dostęp z podejrzanych urządzeń.
- Monitoruj również konta e-mail pod kątem fałszywych, złośliwych reguł klasyfikowania wiadomości w skrzynkach odbiorczych. Metoda ta jest często wykorzystywana podczas przejmowania kont. Cyberprzestępcy logują się na konto, zmieniają ustawienia przekierowywania poczty i ukrywają lub usuwają wiadomości, które wysyłają, w celu zatarcia śladów swojej obecności.
- W ramach szkoleń z cyberbezpieczeństwa edukuj użytkowników na temat ataków poprzez pocztę elektroniczną, w tym ataków z wykorzystaniem formularzy.
- Upewnij się, że pracownicy potrafią rozpoznawać ataki hakerskie, rozumieją zagrożenie i wiedzą, jak je zgłaszać.
- Wykorzystaj symulację phishingu do przeszkolenia użytkowników w zakresie rozpoznawania cyberataków, sprawdzania skuteczności szkolenia oraz oceny użytkowników najbardziej narażonych na ataki hakerskie.
Przeczytaj także:
![Cyberbezpieczeństwo w I połowie 2022 wg ekspertów]( "Cyberbezpieczeństwo w I połowie 2022 wg ekspertów [© pixabay.com]")
Cyberbezpieczeństwo w I połowie 2022 wg ekspertów
Cyberbezpieczeństwo w I połowie 2022 wg ekspertów
oprac. : eGospodarka.pl
Więcej na ten temat:
cyberbezpieczeństwo, bezpieczeństwo IT, ataki hakerów, zagrożenia internetowe, phishing
Przeczytaj także
-
![6 najpopularniejszych sposobów na zarażenie programami malware]( "6 najpopularniejszych sposobów na zarażenie programami malware [© tashatuvango - Fotolia.com]")
6 najpopularniejszych sposobów na zarażenie programami malware
-
![Cyberprzestępczość przechodzi metamorfozę. Oto aktualne zagrożenia]( "Cyberprzestępczość przechodzi metamorfozę. Oto aktualne zagrożenia [© Andrey Popov - Fotolia.com]")
Cyberprzestępczość przechodzi metamorfozę. Oto aktualne zagrożenia
-
![Cyberbezpieczeństwo pod znakiem pandemii: ransomware i co jeszcze?]( "Cyberbezpieczeństwo pod znakiem pandemii: ransomware i co jeszcze? [© pixabay.com]")
Cyberbezpieczeństwo pod znakiem pandemii: ransomware i co jeszcze?
-
![Cyberbezpieczeństwo: groźny trojan atakował nawet 100 tys. ofiar dziennie]( "Cyberbezpieczeństwo: groźny trojan atakował nawet 100 tys. ofiar dziennie")
Cyberbezpieczeństwo: groźny trojan atakował nawet 100 tys. ofiar dziennie
-
![Cyberbezpieczeństwo: rok 2021 też pod znakiem pandemii]( "Cyberbezpieczeństwo: rok 2021 też pod znakiem pandemii [© lolloj - Fotolia.com]")
Cyberbezpieczeństwo: rok 2021 też pod znakiem pandemii
-
![Cyberbezpieczeństwo: dwa trojany nośnikiem ataków ransomware]( "Cyberbezpieczeństwo: dwa trojany nośnikiem ataków ransomware")
Cyberbezpieczeństwo: dwa trojany nośnikiem ataków ransomware
-
![Cyberbezpieczeństwo: Polska znowu poza TOP20 najbezpieczniejszych krajów]( "Cyberbezpieczeństwo: Polska znowu poza TOP20 najbezpieczniejszych krajów [© lolloj - Fotolia.com]")
Cyberbezpieczeństwo: Polska znowu poza TOP20 najbezpieczniejszych krajów
-
![Cyberbezpieczeństwo: Polska za Rosją i Białorusią]( "Cyberbezpieczeństwo: Polska za Rosją i Białorusią [© Andrey Popov - Fotolia.com]")
Cyberbezpieczeństwo: Polska za Rosją i Białorusią
-
![Trojan Qbot powraca jeszcze groźniejszy. Zainfekował już 100 tys. osób]( "Trojan Qbot powraca jeszcze groźniejszy. Zainfekował już 100 tys. osób")
Trojan Qbot powraca jeszcze groźniejszy. Zainfekował już 100 tys. osób
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
Nowa Pabianicka we Wrocławiu: nowe mieszkania już w sprzedaży
