Zakaj bi bilo dobro razmisliti o dodatni zaščiti e-pošte, bodisi z Vade Secure, bodisi z Microsoft 365 Defenderjem? Ti dve rešitvi smo že opisali, več najdete na povezavah Defender in Vade. Te rešitve kot strokovnjaki za kibernetsko varnost priporočamo tudi mi.
Planiranje za leto 2024 je že v polnem teku. Pri pripravi proračuna in načrtov za prihodnje leto, se v ospredju (upamo) pojavi tudi kakšno vprašanje o kibernetski varnosti. Kako se bo spremenilo področje kibernetskih groženj v prihodnjem letu? Kakšni bodo novi napadi in katere tehnike bodo ubrali napadalci? Kako se bo morala naša strategija kibernetske varnosti prilagoditi, da bo zagotavljala zadostno zaščito?
Grožnje s phishingom se bodo nadaljevale
Če smo vsaj malo pozorni na novice, smo verjetno opazili, da so mediji poročali o phishingu s kodo QR, znanem tudi kot Quishing ali QRishing. O tem nas je s pomočjo jumbo plakatov na zanimiv način obveščala tudi Agencija Evropske Unije za kibernetsko varnost – ENISA.
Pri tehniki quishing hekerji v QR kode pripnejo zlonamerne povezave ali datoteke, da bi se izognili odkrivanju le teh. Grožnja lahko zaobide filtre elektronske pošte, ki nimajo možnosti zaznavanja ali branja QR kod, samim uporabnikom pa oteži diagnosticiranje grožnje, saj za razliko od e-poštnih sporočil QR kode ne vsebujejo vidnih povezav ali priponk.
Quishing sicer ni noviteta, prve primere so zaznali že v letu 2017, se pa lahko domneva, da so napadalci s pomočjo quishinga zelo uspešni, saj se je v letu 2023 opazil precejšen porast napadov s takšno metodo – napadalci pa so v veliki večini ciljali na uporabnike Microsoft 365.
Domneva se, da bo popularnost quishinga naraščala premosorazmerno s porastom uporabe QR kod.
Algoritmi računalniškega vida gledajo na svet tako kot človek in pregledujejo e-poštna sporočila za grožnje, ki temeljijo na slikah. Ti algoritmi so usposobljeni za prepoznavanje zlonamernega vedenja, vključno z zakritimi naslovi URL, preusmeritvami URL, slikami, ki se gostujejo na daljavo, manipuliranimi slikami in drugimi. Zaznajo in analizirajo lahko zlonamerne povezave ali datoteke, vgrajene v kode QR, zaradi česar ta tehnika postane zastarela.
Kljub temu skeniranje velike količine kod QR z računalniškim vidom zahteva precej pomnilnika in procesorske moči ter upočasnjuje obdelavo elektronskih sporočil. Nekatere rešitve za varnost elektronske pošte to omejitev odpravijo tako, da pred uporabo računalniškega vida analizirajo druge značilnosti elektronske pošte. Tiste, ki lahko zaznajo napredne napade in hkrati zmanjšajo zahteve po modelih računalniškega vida, so ob naraščanju groženj quishing vse pomembnejše.
Spear Phishing in zloraba identitete
Phishing je še vedno glavna kibernetska grožnja za podjetja in pričakuje se, da se bo ta trend nadaljeval. Phishing je namreč zelo težko odkriti zaradi redkosti tovrstnih napadov in odsotnosti URLja ali priponke. Koristni tovor je sam tekst, ki se lahko prejemniku zdi neškodljiv ali "običajen".
Spear phishing je v ZDA stalnica, v Evropi pa je grožnja razmeroma nova. Manjši trend, ki se pojavlja ob spear phishingu je ta, da se napadalci posredno izdajajo za odvetniške družbe.
Začne se z elektronskim sporočilom »odvetniške družbe«, ki zahteva plačilo računa, da bi se izognili pravnemu postopku. Elektronsko sporočilo se pošlje osebi, ki se izdaja za izvršnega direktorja podjetja, ta pa ga nato posreduje zaposlenim v podjetju. Za običajno izmišljeno odvetniško pisarno se pogosto izkaže, da dejansko obstaja in ravno zaradi tega je grožnja predvideni žrtvi videti bolj verodostojna.
Ta primer se v smislu socialnega inženiringa dvakrat izkorišča načelo manipulacije z avtoriteto. Kot kraja identitete generalnega direktorja (avtoriteta podjetja) in kot kraja identitete odvetniške pisarne (avtoriteta v pravnih zadevah).
Nova tehnika "spear phishing
Ker uporabniki postajajo vse bolj spretni pri prepoznavanju poskusov lažnih sporočil, hekerji izpopolnjujejo svoje tehnike. Eden od primerov je nastajajoča grožnja kibernetski varnosti, pri kateri hekerji oblikujejo lažno e-poštno korespondenco in izmenjavo posredujejo predvideni tarči.
Napadalci to počnejo, da bi pokazali razum in avtoriteto. Takšen napad je nevaren zaradi tega, ker preide vse varnostne preglede (DKIM, DMARC, SPF) in se ne izdaja neposredno za pošiljatelja.
V enem od takšnih primerov se je zdelo, da gre za pogovor med zakonitim zaposlenim in predstavnikom neprofitne organizacije. Zaposleni v podjetju se strinja, da bo sodeloval pri zbiranju sredstev, in od neprofitne organizacije zahteva, da njegovemu sodelavcu pošlje račun. Neprofitna organizacija to stori, posreduje prejšnjo izmenjavo elektronskih sporočil in zahteva plačilo. Kljub temu korespondenca ne obstaja; je zgolj besedilo, ki ustvarja iluzijo, da je potekal pogovor.
V nadaljevanju je prikazana korespondenca, ki vključuje skupno štiri elektronska sporočila. Le zadnje je resnično.
Čeprav je napad uporabljal pretvarjanje, je to storil le posredno. Zaposleni, ki naj bi bil odgovoren za donacijo, ni nikoli neposredno komuniciral z nameravano žrtvijo, zaradi česar se razlikuje od drugih spear phishing napadov. Pri tipični shemi "spear phishing" se napadalci izdajajo za pošiljatelja, ki ga prejemnik pozna in mu zaupa.
Domena za neprofitno organizacijo je bila ustvarjena dan pred pošiljanjem pravega e-poštnega sporočila. To je omogočilo, da je šla mimo protokolov za preverjanje pristnosti. Vendar so se datumi lažne izmenjave e-poštnih sporočil pojavili, preden je bila domena registrirana.
Opaža se porast tovrstnih napadov, vključno z opisano posebno shemo ob več priložnostih.
Zlonamerna uporaba generativne umetne inteligence in jezikovnih modelov (LLM)
Leto 2023 je bilo leto generativne umetne inteligence in velikih jezikovnih modelov (LLM). Prefinjene zmogljivosti ChatGPT so hkrati burile domišljijo in podžigale strahove glede potenciala umetne inteligence kot tehnologije. To je še posebej veljalo za kibernetsko varnost, kjer se je največ pozornosti namenjalo zmožnostim ustvarjanja vsebin - od izdelave predlog za phishing do zlonamerne kode in še česa.
Strahovi za zlorabo AI so upravičeni, vendar ne tako, kot smo pričakovali. Ustvarjanje vsebin je sicer tveganje za kibernetsko varnost, vendar ga sodobne rešitve lahko odpravijo. Resnična grožnja je generativna umetna inteligenca, ki razvija sposobnost načrtovanja in organiziranja napadov. Lahko bi se zgodilo, da bi umetna inteligenca načrtovala in izvajala napade sproti in na podlagi informacij v internetu. To vključuje podrobnosti, ki lahko razkrijejo naše ranljivosti, rešitve za kibernetsko varnost in drugo. Grožnja bi se sčasoma le še povečala. Vsak neuspeli poskus bi bil priložnost za umetno inteligenco, da se nauči in takoj izboljša.
Generativna umetna inteligenca obljublja, da bo izbrisala največjo prednost, ki jo imamo pred nasprotniki: čas in sredstva, potrebna za prefinjene napade. Če lahko generativna umetna inteligenca organizira napade, se bo ravnovesje moči dramatično spremenilo. Danes napadalci potrebujejo tedne, da odkrijejo naše ranljivosti. Jutri bi lahko umetna inteligenca to storila v nekaj sekundah ali minutah. In namesto da bi za to potrebovali ekipo napadalcev z različnimi znanji in spretnostmi, bi lahko potrebovali le eno osebo, ki bi delala z umetno inteligenco.
Sicer ni znano, kdaj bo generativna umetna inteligenca dosegla raven zahtevnosti, ki je potrebna za organiziranje napadov. Kljub temu pa previdnost ni odveč. Kot se je recimo v 2014 pojavil ransomware-as-a-service (RaaS), bi lahko podoben trend opazili tudi pri LLM za darknet.
Vztrajen porast zlonamernih poslovnih modelov
V zadnjih letih se je močno razširila tudi storitev phishing-as-a-service (PhaaS), ki vsakomur omogoča nakup »kompleta« za phishing. Kompleti za phishing vključujejo vse potrebno za izvedbo zapletenega napada, kar tudi začetnikom omogoča uporabo naprednih groženj.
PhaaS je verjetno prispeval k znatnemu povečanju obsega in zahtevnosti napadov, ki jih je zaznal Vade. V zadnjih dveh letih je Vade letno odkril več kot 1 milijardo goljufivih e-poštnih sporočil, kar je več v takšnem obdobju kot kdaj koli prej in ker je bila ta meja presežena dve leti zapored, se lahko izkaže, da gre za zelo zaskrbljujoč trend.
Analitiki iz Vadejevega centra za obveščanje in odzivanje na grožnje (TIRC) pričakujejo, da se bo priljubljenost PhaaS v naslednjih letih povečevala - tudi ob zatiranju upravljavcev PhaaS, vključno z avgustovskim zaprtjem podjetja 16Shop.
Zgodovina še naprej dokazuje, da bodo napadalci vedno želeli zapolniti praznino, ki jo je zapustil prejšnji operater. To še posebej velja, če je to priložnost za zelo donosno shemo.
Okrepite varnost e-pošte za leto 2024 in pozneje
Pri načrtovanju za leto 2024 mora biti izpopolnjevanje strategije kibernetske varnosti še naprej prednostna naloga. Zgodovina dokazuje, da so grožnje še bolj zlonamerne in dejavne kot prej. Napadalci nadgrajujejo svoje napade, zato si morate prizadevati, da bi enako storili tudi pri svojih varnostnih ukrepih. Kako se lahko zaščitimo?
Usposabljanje za ozaveščanje uporabnikov
Razmislite o izvajanju ali nadgradnji usposabljanja za ozaveščanje uporabnikov. Poiščite rešitve, ki prilagodijo navodila in jih samodejno upravljajo, kadar koli se morajo uporabniki učiti. Poleg tega uporabnike poučite o spodnjih nasvetih in jih spodbudite, da prijavijo vse grožnje, na katere naletijo.
- Bodite pozorni pri odpiranju e-poštnih sporočil, ki vsebujejo kode QR.
- Vedno preverite pot URL vsake povezave ali optično prebrane kode QR, preden jo kliknete ali tapnete.
- Preverite legitimnost vsakega pošiljatelja in v e-poštnih sporočilih poiščite morebitne znake nepoštene igre.
- Bodite previdni pri e-poštnih sporočilih, ki dajejo občutek nujnosti in so finančne narave.
- Bodite pozorni, kadar vas prosijo za posredovanje osebnih podatkov in natančno preglejte spletna mesta, ki vas prosijo za posredovanje teh podatkov.
Varnost e-pošte
Lastne varnostne funkcije Microsoft 365 so sicer dragocene, vendar ne zadostujejo za zaščito pred novimi grožnjami. Če tega še niste storili, močno razmislite o nadgradnji varnosti e-pošte z licenco Defender for Office, ali pa uporabite integrirane rešitve tretje osebe – na tem področju izstopa Vade for M365.
Poiščite rešitve, ki uporabljajo modele strojnega učenja, računalniškega vida in obdelave naravnega jezika (NLP) za iskanje zlonamernega vedenja in anomalij. Računalniški vid je potreben za zaščito pred napadi Quishing, NLP pa zagotavlja zaščito pred napadi spear-phishing. Modeli NLP lahko zaznajo zlonamerne besedilne vzorce in anomalije, vključno z besedami z zastavicami in zlonamernimi besednimi zvezami. Zato učinkovito dopolnjujejo odkrivanje na podlagi slik.
Poleg tega poiščite rešitve za varnost e-pošte, ki zagotavljajo zanesljivo zaščito v celotni življenjski dobi e-pošte. To se začne z odkrivanjem, zajema pa tudi odzivanje na incidente, preiskovanje groženj in izolacijo oddaljenega brskalnika (RBI) - slednje je pomembno za zaščito pred zlorabami brskalnikov, ki izvirajo iz e-pošte. Dobro uravnotežena rešitev za varnost e-pošte vam lahko pomaga vzpostaviti večplastno obrambo pred grožnjami.