Ponad 90 procent ataków ukierunkowanych rozpoczyna się od e-maili typu spear phishing

Z danych firmy Trend Micro wynika, że odsetek ataków ukierunkowanych, które rozpoczynają się od e-maili typu spear phishing osiągnął próg 91 procent. Analiza obejmuje okres pomiędzy lutym a wrześniem tego roku.

Spear phishing to coraz popularniejsza forma phishingu, polegająca na wykorzystaniu informacji o ofierze w celu przeprowadzenia bardziej precyzyjnego i spersonalizowanego ataku. Może to polegać na przykład na adresowaniu ofiary z imienia i nazwiska, wykorzystaniu nazwy stanowiska czy rangi w organizacji danej osoby w e-mailach, w których zwykłe działania phishingowe polegałyby na stosowaniu bardziej ogólnych informacji.

O spear phising można przeczytać również w artykule o zagrożeniach cyberprzestępczością w polskich firmach

Ostatecznym celem tych zabiegów jest skłonienie ofiary do otwarcia złośliwego załącznika, lub do kliknięcia w link prowadzący do strony zainfekowanej złośliwym oprogramowaniem, co prowadzi do naruszenia zabezpieczeń sieci, w której znajduje się urządzenie oszukanego użytkownika.

Z raportu „Spear Phishing e-mail: ulubiona przynęta w atakach APT” wynika, że 94 procent maili stosowanych w tego typu atakach zawiera szkodliwe załączniki, odpowiedzialne za rozpoczęcie infekcji. Pozostałe 6 procent wykorzystuje alternatywne metody takie jak instalacja złośliwego oprogramowania poprzez link do strony.

„Spodziewamy się wielkiego powrotu plagi szkodliwych e-maili, towarzyszącej coraz częstszym i bardziej zaawansowanym atakom na konkretne cele”

– mówi Rik Ferguson, dyrektor ds. badań nad bezpieczeństwem i komunikacji w Trend Micro.

„Z naszych doświadczeń wynika, że przestępcy w dalszym ciągu korzystają ze starych i sprawdzonych metod bezpośredniego zbierania danych wrażliwych podczas wstępnej fazy ataku ukierunkowanego. Widzimy jednocześnie, że ataki tego typu stają się coraz powszechniejsze i bardziej zaawansowane. Dane na temat firm i poszczególnych osób są na tyle łatwo dostępne, że w przestępcy bez problemu mogą stworzyć niezwykle wiarygodną korespondencję elektroniczną. Ochrona przed tego typu zagrożeniami nie powinna być ignorowana”

– dodaje Rik Ferguson.

Najważniejsze zagadnienia omówione w raporcie:

- W badanym okresie 70 procent całkowitej liczby załączników w e-mailach typu spear phishing stanowiły najpopularniejsze formaty plików. Najczęściej występujące rozszerzenia to: .rtf (38 procent), .xls (15 procent) oraz .zip (13 procent). Z kolei pliki .exe okazały się nie być tak popularnym narzędziem dla cyberprzestępców, najprawdopodobniej dlatego, że załączniki z plikami z tym rozszerzeniem są najczęściej wykrywane i blokowane przez zabezpieczenia.

- Najczęstszym celem ataków są organizacje rządowe i grupy aktywistów. Szczegółowe dane na temat agencji rządowych i osób piastujących ważne stanowiska można łatwo odnaleźć w internecie, często na stronach instytucji publicznych. Grupy aktywistów, bardzo aktywne w serwisach społecznościowych, również chętnie podają dane na temat swoich członków w celu ułatwienia komunikacji, rekrutacji nowych osób i organizacji kampanii. Takie praktyki zwiększają widoczność profili poszczególnych ludzi, czyniąc ich bardziej podatnymi na atak.

- W sieci można było łatwo odnaleźć adresy e-mail trzech na cztery ofiary ataku przy pomocy wyszukiwarki lub podstawiania najpopularniejszych formatów serwisów pocztowych.

Trend Micro zapewnia zabezpieczenia poczty elektronicznej stanowiące „pierwszą linię obrony” przed atakami typu spear phishing Organizacje muszą być w stanie wykrywać i blokować próby ataków typu spear phishing, co stanowi pierwszą linię obrony przed atakami ukierunkowanymi.

W ramach rozpoczętych w październiku działań pod hasłem Spersonalizowanej Ochrony przed atakami APT, Trend Micro udoskonaliło oprogramowanie do ochrony poczty elektronicznej, które nie tylko powstrzymuje tradycyjne zagrożenia, ale jest też w stanie rozpoznać ukierunkowane ataki prowadzone przy pomocy poczty e-mail.

W przeciwieństwie do standardowych rozwiązań bezpieczeństwa, oferujących niewielkie szanse na wykrycie korespondencji typu spear phishing związanej z atakami ukierunkowanymi, rozwiązania Trend Micro automatycznie przesyłają podejrzane załączniki do systemu Deep Discovery. Wszystko to celu przeprowadzenia analiz w zdefiniowanym przez klienta środowisku i zablokowania ewentualnych prób ataku. Poza wykrywaniem i ochroną, Deep Discovery przeprowadza też automatyczne, spersonalizowane aktualizacje innych poziomów zabezpieczeń w całej sieci organizacji. Co więcej, zebrane dane zostają skorelowane z globalną bazą analityczną Trend Micro, dostarczając zespołom odpowiedzialnym za bezpieczeństwo cennych informacji na temat rodzaju, zasięgu i źródła danego ataku. Dzięki temu możliwe jest sprawniejsze reagowanie i ochrona przed atakami w przyszłości.

Rozwiązania Trend Micro wyposażone w zabezpieczenia chroniące przed atakami typu spear phishing to:

  • Trend Micro™ ScanMail™ for IBM™ Lotus™ Domino 5.5 – już w sprzedaży

  • Trend Micro™ ScanMail™ for Microsoft™ Exchange 10.2 SP2 – dostępny w sprzedaży od końca grudnia

  • Trend Micro™ InterScan™ Messaging Security 8.2 SP2 – dostępny w sprzedaży od końca grudnia

Pełna treść raportu „Spear Phishing e-mail: ulubiona przynęta w atakach APT”

Źródło: Trend Micro