Informacje o zagrożeniach: geografia i charakterystyka sieciowa ataków phishingowych


Informacje o zagrożeniach: geografia i charakterystyka sieciowa ataków phishingowych
2021-04-28
Państwo, z którego pochodzą wiadomości e-mail oraz liczba krajów, przez które są one przekierowywane w drodze do miejsca docelowego, stanowią ważne sygnały ostrzegawcze przed atakami phishingowymi.

Firma Barracuda nawiązała niedawno współpracę z naukowcami z Uniwersytetu Columbia, aby przeanalizować geografię wiadomości phishingowych i sposób, w jaki są one kierowane. Badając geolokalizację i infrastrukturę sieciową w ponad 2 miliardach wiadomości e-mail, w tym 218 tys. wiadomości phishingowych wysłanych w styczniu 2020 r., stwierdziliśmy, że istnieje większe prawdopodobieństwo, że wiadomości phishingowe pochodzą z określonych krajów w części Europy Wschodniej, Ameryki Środkowej, Bliskiego Wschodu i Afryki, a także że są one kierowane przez większą liczbę lokalizacji niż wiadomości, które są bezpieczne.

 

Stwierdziliśmy również, że zaskakująco duża liczba ataków pochodzi od dużych, legalnych dostawców usług w chmurze. Spekulujemy, że dzieje się tak dlatego, że atakujący są w stanie przechwycić legalnie działające serwery i/lub konta e-mail hostowane przez tych dostawców.

 

 

 

Przyjrzyjmy się bliżej wpływowi geografii i infrastruktury sieciowej na ataki phishingowe oraz rozwiązaniom pomagającym w ich wykrywaniu, blokowaniu i usuwaniu skutków.

 

Wyróżnione zagrożenie

Geolokalizacja i charakterystyka sieciowa ataków phishingowych W atakach phishingowych osoby atakujące stosują taktyki socjotechniczne, aby nakłonić ofiary do podania danych osobowych, takich jak nazwy użytkownika, hasła, numery kart kredytowych lub informacje bankowe. Wykrywanie phishingu koncentruje się w dużej mierze na treści wiadomości phishingowych oraz zachowaniu osób atakujących. Ponieważ jednak ataki phishingowe stają się coraz bardziej złożone, osoby próbujące się przed nimi bronić muszą stosować coraz bardziej wyrafinowane metody.

 

Nasz zespół badawczy przyjrzał się charakterystyce wiadomości phishingowych na poziomie sieci, ponieważ cechy na tym poziomie są bardziej trwałe i trudniejsze do zmanipulowania przez atakujących. Wyodrębniliśmy adresy IP z pól „received” w nagłówkach wiadomości e-mail, które zawierają informacje o serwerach, przez które przechodzą wiadomości. Badanie tych danych pozwoliło na poznanie drogi, jaką przebywa phishingowy e-mail między nadawcą a odbiorcą.

 

Szczegóły

Nasza analiza ujawniła trzy kluczowe wnioski:

1. E-maile phishingowe częściej mają trasy wiodące przez wiele krajów.

Ponad 80% bezpiecznych wiadomości e-mail jest kierowanych przez dwa lub mniej krajów, w porównaniu do nieco ponad 60% wiadomości phishingowych. Wskazuje to, że dobrą cechą dla klasyfikatora wykrywającego phishing mogłoby być sprawdzenie liczby krajów, przez które przechodzi wiadomość e-mail.

 

 

Rysunek 2: Liczba odrębnych krajów odwzorowanych z tablicy IP

 

2. Kraje, w których prawdopodobieństwo wystąpienia phishingu jest wyższe, znajdują się w części Europy Wschodniej, Ameryki Środkowej, na Bliskim Wschodzie oraz w Afryce.

Określiliśmy prawdopodobieństwo phishingu dla kraju nadawcy, identyfikując kraj nadawcy za pomocą danych geolokalizacyjnych i obliczając prawdopodobieństwo phishingu dla każdego kraju jako:

 

Niektóre kraje, z których pochodzi duża liczba wiadomości phishingowych, charakteryzują się wyjątkowo niskim prawdopodobieństwem wystąpienia phishingu. Na przykład 129 369 wiadomości phishingowych w zbiorze danych zostało wysłanych ze Stanów Zjednoczonych, ale prawdopodobieństwo wystąpienia phishingu w USA wynosi zaledwie 0,02%. Ogólnie rzecz biorąc, prawdopodobieństwo wystąpienia phishingu w większości krajów wynosiło 10% lub mniej.

 

Nadawcy, którzy generują większą liczbę wiadomości phishingowych (ponad 1000 wiadomości w zbiorze danych) o wyższym prawdopodobieństwie phishingu, pochodzą z krajów lub terytoriów obejmujących (w kolejności malejącej):

 

·       Litwa

·       Łotwa

·       Serbia

·       Ukraina

·       Rosja

·       Bahamy

·       Puerto Rico

·       Kolumbia

·       Iran

·       Palestyna

·       Kazachstan

 

Chociaż nie jest rozsądne blokowanie całego ruchu e-mailowego pochodzącego z krajów o wysokim prawdopodobieństwie wystąpienia phishingu, dobrym rozwiązaniem może być oznaczanie wiadomości e-mail pochodzących z tych krajów w celu ich dalszej analizy.

 

3. Wiele z sieci, których atakujący używają do wysyłania swoich ataków, to niespodziewanie duzi, legalni dostawcy usług w chmurze.

Sieci z największą liczbą ataków phishingowych należą, co zaskakujące, do dużych dostawców usług w chmurze. Można się tego spodziewać, ponieważ mają one również najwyższy całkowity wolumen wysyłanych wiadomości e-mail. W przypadku takich sieci prawdopodobieństwo, że dany e-mail jest phishingiem jest bardzo niskie (Tabela 3). Jest prawdopodobne, że większość ataków pochodzących z tych sieci pochodzi ze skradzionych kont pocztowych lub serwerów, do których osoby atakujące były w stanie uzyskać dane uwierzytelniające.

 

Pozycja pod względem ilości e-maili phishingowych

Właściciel sieci

Prawdopodobieństwo emaila phishingowego

1

Amazon

0,000224

2

Microsoft

0,000429

3

Amazon

0,000124

4

Twitter

0,00212

Tabela 3: Cztery największe sieci pod względem ilości wysyłanych wiadomości oraz informacje o ich właścicielach, klasyfikacja i prawdopodobieństwo, że dowolny e-mail z danej sieci jest e-mailem phishingowym.

 

Stwierdziliśmy również, że niektóre z sieci o największym natężeniu ataków phishingowych, które charakteryzują się również wysokim prawdopodobieństwem wystąpienia phishingu, należą do dostawców usług w chmurze (Rackspace, Salesforce). Sieci te mają o rzędy wielkości mniejszy całkowity ruch e-mailowy niż kilka czołowych sieci, ale nadal wysyłają znaczną ilość wiadomości phishingowych. W związku z tym prawdopodobieństwo, że pochodząca od nich wiadomość e-mail będzie złośliwa jest znacznie wyższe (Tabela 4).

 

Pozycja pod względem ilości e-maili phishingowych

Właściciel sieci

Prawdopodobieństwo e-maila phishingowego

9

LayerHost

0,277

13

UnrealServers

0,334

17

REG.RU

0,836

18

Cherry Servers

0,760

20

Rackspace

0,328

Tabela 4: Niektóre przykłady sieci o dużej liczbie wiadomości phishingowych i wysokim prawdopodobieństwie phishingu oraz informacje o ich właścicielach, klasyfikacja i prawdopodobieństwo, że dowolny e-mail z danej sieci jest e-mailem phishingowym.

 

Ochrona przed atakami phishingowymi – trzy kluczowe wskazówki

Szukaj rozwiązań, które wykorzystują sztuczną inteligencję

Cyberprzestępcy dostosowują swoje taktyki, aby omijać bramki pocztowe i filtry antyspamowe, dlatego tak ważne jest posiadanie rozwiązania, które wykrywa i chroni przed atakami typu spear-phishing, w tym podszywaniem się pod konkretną markę, atakami na biznesową pocztę elektroniczną i przejmowaniem kont pocztowych. Wdrażaj rozwiązania, które nie polegają wyłącznie na wyszukiwaniu złośliwych linków lub załączników. Rozwiązanie, które wykorzystuje uczenie maszynowe do analizy normalnych wzorców komunikacji w organizacji, może wykryć anomalie, które mogą wskazywać na atak.

 

Wprowadź ochronę przed przejęciem konta

Myśl nie tylko o zewnętrznych wiadomościach e-mail. Niektóre z najbardziej szkodliwych i przekonujących ataków typu spear-phishing są wysyłane ze skradzionych kont wewnętrznych. Zapobiegaj wykorzystywaniu przez napastników Twojej organizacji jako bazy wypadowej do przeprowadzania kampanii spear-phishingowych. Wdróż technologię, która wykorzystuje sztuczną inteligencję do rozpoznawania, kiedy konta zostały naruszone, i która naprawia sytuację w czasie rzeczywistym, ostrzegając użytkowników i usuwając złośliwe wiadomości e-mail wysyłane z naruszonych kont.

 

Zwiększ świadomość bezpieczeństwa poprzez szkolenia

Informuj swoich użytkowników o najnowszych atakach i taktykach spear-phishingu. Zapewnij aktualne szkolenia uświadamiające dla użytkowników i upewnij się, że pracownicy potrafią rozpoznać ataki i wiedzą, jak natychmiast zgłosić je do działu IT. Wykorzystaj symulacje phishingu dla poczty elektronicznej, poczty głosowej i SMS-ów do szkolenia użytkowników w zakresie rozpoznawania cyberataków, testowania skuteczności szkoleń i oceny najbardziej podatnych na ataki użytkowników.


Redakcja Archnews informuje, że artykuły, fotografie i komentarze publikowane są przez użytkowników "Serwisów skupionych w Grupie Kafito". Publikowane materiały i wypowiedzi są ich własnością i ich prywatnymi opiniami. Redakcja Archnews nie ponosi odpowiedzialności za ich treść.

Nadesłał:

SolskiComms

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl