Η Check Point Research (CPR), το τμήμα Threat Intelligence της Check Point Software Technologies Ltd. και κορυφαίος πάροχος λύσεων για την ασφάλεια στον κυβερνοχώρο παγκοσμίως, δημοσίευσε το Brand Phishing Report για το πρώτο τρίμηνο του 2022.
Σε αυτό επισημαίνονται οι εταιρείες που μιμήθηκαν συχνότερα οι εγκληματίες του κυβερνοχώρου, στις προσπάθειές τους να κλέψουν προσωπικά στοιχεία ή διαπιστευτήρια πληρωμής κατά τη διάρκεια του Ιανουαρίου, Φεβρουαρίου και Μαρτίου.
Πρώτο στη λίστα για πρώτη φορά, το δίκτυο κοινωνικής δικτύωσης, LinkedIn, αντιπροσωπεύοντας περισσότερες από τις μισές (52%) όλων των προσπαθειών phishing κατά τη διάρκεια του τριμήνου.
Μια δραματική αύξηση 44% σε σχέση με το προηγούμενο τρίμηνο, όπου το LinkedIn βρισκόταν στην πέμπτη θέση, αντιπροσωπεύοντας μόνο το 8% των προσπαθειών phishing.
Το LinkedIn ξεπέρασε την DHL, ως η πιο στοχευμένη επωνυμία, η οποία βρίσκεται τώρα στη δεύτερη θέση και αντιπροσωπεύει το 14% όλων των προσπαθειών phishing κατά τη διάρκεια του τριμήνου.
Η τελευταία έκθεση υπογραμμίζει μια αναδυόμενη τάση προς τους παράγοντες απειλών που αξιοποιούν τα κοινωνικά δίκτυα, ως την νούμερο ένα τώρα στοχευμένη κατηγορία μπροστά από ναυτιλιακές εταιρείες και τεχνολογικούς γίγαντες όπως η Google, η Microsoft και η Apple.
Εκτός από το ότι το LinkedIn είναι η πιο στοχευμένη επωνυμία με διαφορά, το WhatsApp διατήρησε τη θέση του στην πρώτη δεκάδα, αντιπροσωπεύοντας σχεδόν 1 στις 20 επιθέσεις που σχετίζονται με το phishing παγκοσμίως. Η έκθεση υπογραμμίζει ένα συγκεκριμένο παράδειγμα όπου οι χρήστες του LinkedIn έρχονται σε επαφή μέσω ενός επίσημου φαινομενικά μηνύματος ηλεκτρονικού ταχυδρομείου σε μια προσπάθεια να δελεαστούν να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο.
Μόλις προχωρήσουν σε αυτό, οι χρήστες καλούνται ξανά να συνδεθούν μέσω μιας ψεύτικης πύλης όπου και συγκεντρώνονταν τα διαπιστευτήριά τους.
Η ναυτιλία είναι πλέον η δεύτερη πιο στοχευμένη κατηγορία, με τους παράγοντες απειλών να συνεχίζουν να επωφελούνται από τη γενική άνοδο του ηλεκτρονικού εμπορίου στοχεύοντας απευθείας σε καταναλωτές και ναυτιλιακές εταιρείες.
Η DHL είναι δεύτερη μετά το LinkedIn, αντιπροσωπεύοντας το 14% των προσπαθειών phishing. Η FedEx έχει μετακινηθεί από την έβδομη θέση στην πέμπτη, αντιπροσωπεύοντας πλέον το 6% όλων των προσπαθειών phishing και οι Maersk και AliExpress μπήκαν για πρώτη φορά στη λίστα των κορυφαίων δέκα. Η αναφορά υπογραμμίζει μια συγκεκριμένη στρατηγική ηλεκτρονικού ψαρέματος που χρησιμοποίησε μηνύματα ηλεκτρονικού ταχυδρομείου με την επωνυμία Maersk για να ενθαρρύνει τη λήψη πλαστών εγγράφων μεταφοράς, μολύνοντας τους σταθμούς εργασίας με κακόβουλο λογισμικό.
“Αυτές οι απόπειρες phishing είναι απλά ευκαιριακές επιθέσεις. Εγκληματικές ομάδες ενορχηστρώνουν αυτές τις απόπειρες phishing σε μεγάλη κλίμακα, με σκοπό να αποκομίσουν προσωπικά δεδομένα από όσο το δυνατόν περισσότερα άτομα”, δήλωσε ο Omer Dembinsky, Data Research Group Manager στην Check Point Software.
“Ορισμένες επιθέσεις θα επιχειρήσουν να πάρουν τον έλεγχο από άτομα ή να κλέψουν τις πληροφορίες τους, όπως αυτές που βλέπουμε με το LinkedIn. Άλλες θα είναι απόπειρες ανάπτυξης κακόβουλου λογισμικού σε εταιρικά δίκτυα, όπως τα πλαστά email που περιέχουν παραπλανητικά έγγραφα παρόχου που βλέπουμε με εταιρείες όπως η Maersk“.
“Αν υπήρχε ποτέ αμφιβολία ότι τα μέσα κοινωνικής δικτύωσης θα γίνονταν ένας από τους τομείς που στοχεύουν περισσότερο οι εγκληματικές ομάδες, τα αποτελέσματα του πρώτου τριμήνου έβαλαν τέλος σε αυτές τις αμφιβολίες. Ενώ το Facebook έχει πέσει από την πρώτη δεκάδα της κατάταξης, το LinkedIn έχει φτάσει στο νούμερο ένα και αντιπροσωπεύει περισσότερες από τις μισές απόπειρες phishing μέχρι στιγμής φέτος.
Η καλύτερη άμυνα ενάντια στις απειλές phishing, όπως πάντα, είναι η γνώση. Ειδικά οι εργαζόμενοι θα πρέπει να εκπαιδευτούν ώστε να εντοπίζουν ύποπτες ανωμαλίες, όπως ανορθόγραφα domains, τυπογραφικά λάθη, λανθασμένες ημερομηνίες και άλλες λεπτομέρειες που μπορούν να αποκαλύψουν ένα κακόβουλο email ή μήνυμα κειμένου. Ιδιαίτερα οι χρήστες του LinkedIn θα πρέπει να είναι ιδιαίτερα προσεκτικοί κατά τη διάρκεια των επόμενων μηνών”.
Σε μια επίθεση brand phishing, οι εγκληματίες προσπαθούν να μιμηθούν τον επίσημο ιστότοπο μιας γνωστής επωνυμίας χρησιμοποιώντας ένα παρόμοιο όνομα domain ή διεύθυνση URL και σχεδιασμό ιστοσελίδας με τον αυθεντικό ιστότοπο.
Ο σύνδεσμος προς τον ψεύτικο ιστότοπο μπορεί να σταλεί σε στοχευμένα άτομα μέσω email ή μηνύματος κειμένου, ο χρήστης μπορεί να ανακατευθυνθεί κατά την περιήγηση στον ιστό ή μπορεί να ενεργοποιηθεί από μια δόλια εφαρμογή για κινητά. Ο ψεύτικος ιστότοπος συχνά περιέχει μια φόρμα που προορίζεται να κλέψει τα διαπιστευτήρια των χρηστών, τα στοιχεία πληρωμής ή άλλα προσωπικά στοιχεία.
Top phishing brands το πρώτο τρίμηνο του 2022
Ακολουθούν οι κορυφαίες επωνυμίες που κατατάσσονται βάσει της συνολική εμφάνισή τους σε απόπειρες phishing επωνυμίας:
- LinkedIn (σχετίζεται με το 52% όλων των επιθέσεων phishing παγκοσμίως)
- DHL (14%)
- Google (7%)
- Microsoft (6%)
- FedEx (6%)
- WhatsApp (4%)
- Amazon (2%)
- Maersk (1%)
- AliExpress (0.8%)
- Apple (0.8%)
Κατά το πρώτο τρίμηνο του 2022, παρατηρήσαμε ένα κακόβουλο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος που χρησιμοποιούσε την επωνυμία της Maersk και προσπαθούσε να πραγματοποιήσει λήψη του Agent Tesla RAT (Remote Access Trojan) από τον υπολογιστή του χρήστη.
Το μήνυμα ηλεκτρονικού ταχυδρομείου (βλ. Εικόνα 1) που στάλθηκε από μια διεύθυνση ηλεκτρονικού ταχυδρομείου και πλαστογραφήθηκε για να φαίνεται σαν να είχε σταλεί από την “Ειδοποίηση Maersk (service@maersk[.]com)”, περιείχε το θέμα, “Maersk : Verify Copy for Bill of Lading XXXXXXXXX ready for verification.”
Το περιεχόμενο ζητούσε να γίνει λήψη ενός αρχείου excel “Transport–Document“, που θα προκαλούσε μόλυνση του συστήματος από το Agent Tesla.
Σε αυτό το ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος, βλέπουμε μια προσπάθεια κλοπής των πληροφοριών λογαριασμού LinkedIn ενός χρήστη.
Το μήνυμα ηλεκτρονικού ταχυδρομείου (βλ. Εικόνα 1) που στάλθηκε από τη διεύθυνση ηλεκτρονικού ταχυδρομείου “LinkedIn (smtpfox-6qhrg@tavic[.]com[.]mx)”, περιείχε το θέμα “M&R Trading Co.,Ltd 合作采购订单#XXXXXXXX“.
Ο εισβολέας προσπαθούσε να δελεάσει το θύμα να κάνει κλικ σε έναν κακόβουλο σύνδεσμο, ο οποίος ανακατευθύνει τον χρήστη σε μια δόλια σελίδα σύνδεσης στο LinkedIn (βλ. Εικόνα 2). Στον κακόβουλο σύνδεσμο https://carriermasr.com/public/linkedIn[.]com/linkedIn[.]com/login[.]php), ο χρήστης έπρεπε να εισαγάγει το όνομα χρήστη και τον κωδικό πρόσβασής του.
Όπως πάντα, ενθαρρύνουμε τους χρήστες να είναι προσεκτικοί όταν αποκαλύπτουν προσωπικά δεδομένα και διαπιστευτήρια σε επιχειρηματικές εφαρμογές ή ιστότοπους και να σκεφτούν δύο φορές πριν ανοίξουν συνημμένα email ή συνδέσμους, ειδικά email που ισχυρίζονται ότι προέρχονται από εταιρείες όπως το LinkedIn ή η DHL, καθώς αυτή τη στιγμή το πιο πιθανό είναι να έχουν πλαστογραφηθεί.