Digitalna arena svjedoči novom valu phishing napada, ali ovaj put korištenjem metoda koje se korisnicima čine poznatim i sigurnim, kao što su aplikacije kalendara, poruke govorne pošte i stranice za prijavu u oblak.
Nedavna upozorenja koja je izdao Kaspersky otkrivaju povratak starih prevarantskih metoda, tehnički razvijenih da zaobiđu moderne sisteme zaštite, a istovremeno ciljaju pojedince i poslovna okruženja, posebno u regiji Bliskog istoka.
Prema izvještaju globalne firme za sajber sigurnost, ovi napadi se ne oslanjaju na direktno hakovanje, već na pametnu obmanu i iskorištavanje svakodnevnog povjerenja korisnika u digitalne alate za rad.
Pozivi u kalendaru postaju tihi prolaz za hakovanje
Među najopasnijim metodama koje je Kaspersky otkrio je povratak phishinga putem aplikacija kalendara, obrasca napada koji se prvi put pojavio krajem 1990-ih, prije nego što je relativno nestao, a zatim se ponovo vratio u sofisticiranijem obliku.
U ovom scenariju, korisnik prima e-poruku koja sadrži pozivnicu za dodavanje događaja ili sastanka u kalendar. Poruka je često prazna i ne sadrži sumnjiv tekst, dok je zlonamjerni link skriven unutar samog opisa događaja.
Nakon što se poruka otvori, događaj se može automatski dodati u kalendar, nakon čega slijede ponovljena obavještenja koja potiču korisnika da klikne na link koji vodi do lažne stranice za prijavu koja oponaša popularne servise poput Microsofta .
Prema Kasperskyju, ovi napadi su se promijenili od nasumičnog ciljanja korisnika Google kalendara do direktnog ciljanja zaposlenika kompanija i institucija (B2B), iskorištavajući prirodu svakodnevnog posla koji se oslanja na digitalne sastanke.
Zašto su poslovna okruženja postala preferirana meta?
Kaspersky napominje da je ova vrsta phishinga postala rasprostranjenija unutar institucija GCC-a, zbog oslanjanja na uobičajene obrasce rada u regiji, kao što su česti pozivi i sastanci putem digitalnih kalendara.
Kompanija smatra da opasnost ove metode leži u činjenici da se ne oslanja na tradicionalne poruke upozorenja, već se infiltrira u normalan radni tok, čime se smanjuju šanse za otkrivanje.
Stoga organizacije preporučuju implementaciju redovnih programa podizanja svijesti, uključujući simulacije phishing napada, i obuku zaposlenika za provjeru neočekivanih pozivnica u kalendaru.
"Imate poruku na govornoj pošti"... Jednostavan trik s opasnim posljedicama
Pored kalendara, stručnjaci Kasperskyja su primijetili porast korištenja lažnih e-poruka koje tvrde da sadrže glasovnu poruku.
Ove poruke sadrže kratak tekst i naizgled nevin link koji korisnika vodi do jednostavne početne stranice.
Nakon klika, korisnik se suočava s nizom testova provjere (CAPTCHA), koji se koriste kao dodatni sloj obmane kako bi se zaobišli sistemi za detekciju botova, prije nego što na kraju bude preusmjeren na lažnu stranicu za prijavu na Google račun.
Prema Kasperskyju, ova operacija ima za cilj provjeru adrese e-pošte i krađu podataka za prijavu, iskorištavajući činjenicu da su korisnici na Bliskom istoku navikli na takva obavještenja, pored toga što izgled CAPTCHA-e daje napadu "legitiman" izgled koji smanjuje sumnju.
Višeslojno zarobljavanje koje ide dalje od tradicionalne opreznosti
Kaspersky opisuje ovu tehniku kao "višeslojni phishing", gdje se ne oslanja na jedan korak, već na niz radnji koje postepeno uvjeravaju korisnika.
Kompanija vjeruje da suprotstavljanje ovoj vrsti napada zahtijeva više od samo individualnog opreza, već interaktivne programe obuke koji pomažu zaposlenima da otkriju sumnjive linkove, zajedno s naprednim rješenjima za zaštitu e-pošte.
U tom kontekstu, kompanija je ukazala na rješenja poput Kaspersky Secure Mail-a, koja su sposobna detektovati i blokirati ove obrasce prije nego što stignu do korisnika.
Zaobilaženje dvofaktorske autentifikacije: Kada sigurnosni sistemi sami sebe zavaravaju
Najkomplikovaniji aspekt, prema izvještaju, je to što neki napadači pribjegavaju zaobilaženju višefaktorske autentifikacije (MFA) pretvarajući se da su legitimni cloud servisi poput pCloud platforme za pohranu u oblaku.
Napad počinje porukom napisanom na neutralnom jeziku koja sugerira da se radi o sljedećoj obavijesti tehničke podrške, što vodi do lažne stranice za prijavu na domenima bliskim originalnom, kao što je (pcloud.online).
Zanimljivo je da ove stranice mogu zapravo komunicirati sa stvarnim pCloud servisom putem interfejsa za programiranje aplikacija (API-ja), gdje provjeravaju e-poštu i traže lozinku i jednokratni verifikacijski kod (OTP).
Prema Kasperskom, ova metoda omogućava prevarantima da hakuju račun čim se proces prijave završi, što napad čini opasnijim i složenijim.
Bliski istok je u središtu naprednih napada.
Kaspersky potvrđuje da je ova vrsta pokušaja zaobilaženja MFA posebno rasprostranjena na Bliskom istoku, zbog sve većeg usvajanja dvofaktorske autentifikacije od strane organizacija nakon jačanja njihove infrastrukture za sajber sigurnost. Kako se sigurnost razvijala, tako su se razvijale i metode prevare.
Kako bi se suprotstavila ovome, kompanija preporučuje sprovođenje obavezne obuke o sajber sigurnosti, uz implementaciju naprednih zaštitnih rješenja za email servere, kao što je Kaspersky Security for Mail Servers, koja su sposobna da otkriju lažne domene i napade zasnovane na API-jima.
Stručnjaci upozoravaju: Oprez više nije opcija.
Roman Dedenok, stručnjak za borbu protiv neželjene pošte u kompaniji Kaspersky, rekao je da porast ovih metoda zahtijeva povećanu budnost od strane korisnika, naglašavajući potrebu za oprezom prilikom otvaranja nepoznatih priloga, poput PDF-ova ili QR kodova zaštićenih lozinkom, te da uvijek provjere autentičnost adresa web stranica prije unosa podataka za prijavu.
Također je pozvao institucije da usvoje sveobuhvatne programe obuke koji simuliraju scenarije prevare iz stvarnog života, naglašavajući da korištenje snažnih rješenja za zaštitu e-pošte doprinosi ranom otkrivanju i trenutnom blokiranju naprednih phishing napada.
Ko je Kasperski?
Vrijedi spomenuti da je Kaspersky globalna kompanija specijalizirana za kibernetičku sigurnost i digitalnu privatnost, osnovana 1997. godine. Prema njihovim podacima, pružila je zaštitna rješenja za više od milijardu uređaja širom svijeta, opslužujući milione pojedinačnih korisnika i oko 200.000 korporativnih i institucionalnih klijenata.
