דף הבית מחשבים וטכנולוגיה מחשבים וטכנולגיה - אחר דוח F5 Labs: פושעי רשת אינם עונים על מגמות הפישינג העונתיות ומאמצים אוטומציה כדי להרחיב את השפעת הפריצה
דוח F5 Labs: פושעי רשת אינם עונים על מגמות הפישינג העונתיות ומאמצים אוטומציה כדי להרחיב את השפעת הפריצה
איריס וינשטיין 20/01/20 |  צפיות: 374

F5 Labs חושפת את דוח הפישינג וההונאות לשנת 2019

פישינג סומן כטקטיקה מספר 1 של פריצות למידע

הפישינג היא כיום שיטת ההתקפה הבולטת ביותר לפריצה למידע2, כך חושפת F5 Labs בדוח הפישינג וההונאה השנתי השלישי שלה. עוד עולה מהדוח כי בעוד היקף האיומים צפוי לעלות באופן מתמשך, התקפות הפישינג כבר אינן עונתיות או ניתנות לצפייה כבעבר. בהתבסס על ניתוח מהשנה האחרונה, F5 Labs מאמינה עוד כי קיים סיכוי גבוה יותר לפריצות בענפי הפיננסים, הבריאות, החינוך, החשבונאות וכן בקרב עמותות. המחקר מבוסס על נתוניםמ- Webroot, שותף מודיעין האיומים של F5, וכן על נתונים ממרכזי ה- SOC הגלובליים של F5.

"יש כל כך הרבה פישינג כי זה קל וזה עובד," אמר דייוויד וורברטון, מומחה האיומים הראשי ב- F5 Networks, וכותב שותף לדוח. "התוקפים אינם צריכים לדאוג לגבי פריצה דרך פיירוול, למצוא תוכנת ניצול של zero day, לפענח הצפנה או לעשות סנפלינג במורד מעלית עם סט סכינים בין השיניים. החלק הקשה ביותר שהם צריכים לעשות הוא לחשוב על הודעת דוא"ל טובה שתגרום לאנשים ללחוץ עליו, ואתר מזויף לנחות עליו".

"מוסדות בנקאיים עוברים טרנספורמציה דיגיטלית בקצב מהיר על מנת לאפשר ללקוחותיהם לבצע את כלל הפעולות דרך אתר האינטרנט או האפליקציה של הבנק, במקום להגיע פיזית לסניף. השינוי עצמו הוא מבורך, אך הוא מביא עמו לא מעט סיכונים, בהם גניבת זהות ומתקפות פישינג" אומר סורין בויאנגיו, מהנדס מערכות בחברת F5 בישראל. "פושעי הסייבר מעתיקים את עמוד הבית של הבנק ומעלים אותו למקום שנשלט על ידם, ממנו הם יכולים לשלוח אימיילים לעשרות או מאות אלפי לקוחות ולהמתין שמישהו ייפול במלכודת. עם תכנון נכון, ניתן כיום להתמודד עם האיומים הללו, ולוודא שהטרנספורמציה הדיגיטלית נעשית באופן יעיל ובטוח, כזה ששומר באופן מיטבי על הארגון ולקוחותיו".

בשנה שעברה, מרכז ה- SOC של F5 דיווח על עלייה של 50% בהתקפות פישינג בתקופת החגים שמאופיינת ברכישות און-ליין כבדות בין אוקטובר לינואר. אולם, זה כבר לא המצב.

"2019 לא הראתה את אותו דפוס שאפיין את השנתיים שקדמו לה", אמר וורברטון. "עליית המדיה החברתית הופכת את המידע האישי לזמין באופן חופשי בכל עת. מגוון רחב של אירועים, בין השאר בחגים ציבוריים, בתחרויות ספורט או במצבים פוליטיים, מספקים לשחקני האיומים את המיתוג והסיפור המרגש שהם צריכים כדי ליצור קמפיין פישינג משכנע".

על פי F5 Labs, כתובות היעד להודעות פישינג מגיעות ממגוון מקורות, כמו רשימות דואר זבל ואיסוף מודיעין מבוסס קוד פתוח. בהתאם לגישה ולעוצמה הננקטת בעת טרגוט הקורבנות, ניתן לשלוח דוא"ל פישינג לאלפי קורבנות פוטנציאליים או לאדם ספציפי3.

אנטומיה של התקפת פישינג

F5 Labs שילבה את נתוני Webroot המפורטים מיולי 2019 עם מחקרים שערכה בעצמה במהלך השנה האחרונה והגיעה למסקנה כי לדוא"ל של פישינג יש סיכוי גבוה פי שלושה להכיל קישור זדוני מאשר קובץ מצורף. המותגים והשירותים המתחזים ביותר הם פייסבוק, Microsoft Office Exchange ואפל.

אחת המגמות העיקריות שחוזרות השנה היא תוקפי פישינג (phishers) שממשיכים לדחוף ללא פשרות למראית עין של אמינות, כאשר 71% מאתרי הפישינג המשתמשים ב- HTTPS נראים לגיטימיים יותר.

F5 Labs מצאה כי ב- 85% מאתרי ההתחזות שנותחו, התעודות דיגיטליות נחתמו על ידי רשויות Certificate Authority.

יתר על כן, מתוך 21% מהתעודות באתרי הפישינג, כ- 20% כוללות ולידציות מהארגון (OV – Organization Validation) ו- 1% כוללות ולידציות מורחבות (EV – Extended Validation), שתי הולידציות הללו מיועדות לבסס רמות אמון גבוהות יותר.

" המטרה של ולידציות היא לספק בטחון לגבי בעלות הארגון על הדומיין", אמר וורברטון. "נראה שזה לא עובד. למעשה, כרום ופיירפוקס הודיעו כי הם מתכוונים להוריד את תצוגת ה- EV מהמסך הראשי. ספארי של אפל כבר הורידה אותה מסדר העדיפויות".

אתרי פישינג מזויפים נמצאו במגוון רחב של מארחים באינטרנט, כאשר הדומיננטיים ביותר היו 4cn.org (2.7%), airproxyunblocked.org(2.4%), 16u0.com(1.0%) ו- prizeforyouhere.com (1.0%).

הדומיינים המובילים הכוללים אתרי פישינג ייחודיים הם blogspot.com, שהיה אחראי על 4% מכלל מקרי הפישינג שנותחו ו- 43% מהתוכנות הזדוניות. פלטפורמת הבלוגים הפופולרית מאפשרת למשתמשים לארח בקלות תוכן זדוני בדומיין מוכר היטב המספק תעודות TLS בחינם, עם דירוג OV, לכל אתריו.

דומיינים אחרים שנפגעו לעתים קרובות כוללים את 000webhostapp.com, ebaraersc.net ו- .info. התבניות המופיעות בתדירות הגבוהה ביותר בכתובות URL של פישינג שנבדקו היו htm(19.4%), .php (7.4%), login (3.0%) ו- admin (1.2%(.

F5 Labs הבחינה כי למעלה מ- 7% מאתרי התוכנה הזדונית משתמשים בחיבורים מוצפנים דרך יציאות HTTPS לא סטנדרטיות (כלומר 8443).

"שימוש בהצפנת HTTPS כדי להסתיר תוכנות זדוניות ממערכות גילוי פריצות מסורתיות (IDS) הוא טקטיקה נפוצה, וכזו שעולה בקנה אחד עם מגמות ההתקפה הכלליות שנצפו. לא ניתן לאתר את רוב התוכנות הזדוניות ללא בדיקת SSL / TLS," הוסיף וורברטון.

עליית האוטומציה

מגמה משמעותית נוספת בדוח ההונאה והפישינג לשנת 2019 היא המספר ההולך וגדל של תוקפים המאמצים אוטומציה כדי לבצע אופטימיזציה של התקפות פישינג.

הנתונים מראים שאתרי פישינג רבים משיגים אישורים באמצעות שירותים כמו cPanel (משולב ב- Comodo CA) ו- LetsEncrypt. כ-36%מאתרי הפישינג היו בעלי תעודות שנמשכו 90 יום בלבד, דבר שמרמז כי התוקפים משתמשים באוטומציה של אישורים.

"ל-95% מהדומיינים שניתחנו ניגשו פחות מעשר פעמים, ול- 47% מהאתרים ניגשו רק פעם אחת. משמעות הדבר היא כי התוקפים צריכים לבצע אוטומציה מלאה של תהליך הקמת אתר התחזות כדי למקסם את ההחזר על ההשקעה. אוטומציה מאפשרת לתוקף לתזמר באופן פרוגרמטי את תהליך הרכישה והפריסה של התעודות בכל הדומיינים" אמר וורברטון.

"אישורים בחינם, כפי שניבאנו, מקלים מאוד על התוקפים לארח אתרי פישינג. עם זאת, לא הכל מסתכם בשירותים כמו LetsEncrypt. ישנן דרכים רבות אחרות ליצור בקלות תעודות TLS בחינם. התוקפים חוסכים ועושים שימוש חוזר בתעודות באתרי הפישינג והתוכנות זדוניות. לאישורים רבים שמצאנו היו שמות נושא חלופיים, המאפשרים שימוש חוזר מרובה באותן תעודות בדומיינים רבים".

להישאר בטוחים

F5 Labs ממליצה שכל אסטרטגיה למניעת פישינג תכלול התחייבויות להדרכה להעלאת מודעות בנושא, כמו גם את בקרות האבטחה הבאות:

• השתמשו באותנטיקציה מולטי פקטוריאלית(MFA). זהו "ביטוח פער" שמונע שימוש בתעודות גנובות ממקום לא צפוי או מכשיר לא ידוע.

• תייגו בבירור את כל הדוא"ל שמגיע ממקורות חיצוניים כדי למנוע זיוף.

• הפכו תוכנת אנטי-וירוס (AV) לכלי קריטי לכל מערכת רלוונטית. ברוב המקרים, תוכנת אנטי-וירוס תפסיק ניסיון להתקנת תוכנות זדוניות אם התוכנה מעודכנת. הגדר מדיניות אנטי-וירוס שתתעדכן לפחות מדי יום.

• הטמיעו פתרונות סינון אינטרנט כדי למנוע ממשתמשים לבקר בשוגג באתרי פישינג. כאשר משתמש לוחץ על קישור, הפתרון יכול לחסום תנועה יוצאת.

• חפשו בתעבורה המוצפנת תוכנות זדוניות. תעבורה מתוכנות זדוניות המתקשרות עם שרתי פקודה ובקרה (C&C) דרך מנהרות מוצפנות אינה ניתנת לגילוי במעבר ללא דרך כלשהי של שער פענוח. חיוני לפענח תנועה פנימית לפני ששולחים אותה לכלים לגילוי אירועים לבדיקת זיהומים.

• שפרו את מנגנוני הדיווח. תגובות לאירועים חייבות לכלול שיטה יעילה המאפשרת למשתמשים להתריע על פישינג.

• השיגו נראות טובה יותר באמצעות ניטור נקודות קצה, הבינו איזה תוכנות זדוניות הופכות לפעילות ברשת, ובררו אילו אישורים עלולים להיפגע.

###

1https://www.f5.com/labs/articles/threat-intelligence/2019-phishing-and-fraud-report

2Drawing on data from the F5 Labs 2019 Application Protection Report

3For more information on address collection methods, see the F5 Labs 2018 Phishing and Fraud Report


דירוג המאמר:

תגיות של המאמר:

 איריס וינשטיין


 


מאמרים נוספים מאת איריס וינשטיין
 
חברת Infinidat חוצה רף אחסון של 6 אקסה בייט בפריסה גלובלית
חברת Infinidat, הספקית המובילה של פתרונות אחסון נתונים מרובי פטה בייט, הודיעה היום כי היא פרסה נפח אחסון של יותר מ- 6 אקסה בייט גלובלית. העלייה מ- 5 אקסה בייט ליותר מ- 6 אקסה בייט בפחות משישה חודשים משקפת את הגידול המהיר בדרישה בשוק למערכות אחסון גדולות ובעלות זמינות גבוהה ואת המשך ההצלחה של Infinidat באספקת פתרונות איכותיים ומותאמים למשימות קריטיות.

חברת Comm-IT פיתחה פלטפורמה חדשנית שתעזור לקניונים לנצח את התחרות בזירה הדיגיטלית
הפרויקט התבצע עבור חברת הסטארט-אפ האמריקאית RTDS במהלך שנה ובהיקף של 3 מיליון דולר

חברת F5 משיקה את הדור הבא של NGINX Controller המאיץ אספקת יישומים
המהדורה החדשה והמשמעותית מגבירה את הפרודוקטיביות של המפתחים עם יכולות API הכוללות שירות עצמי, מיקוד ביישומים וקונפיגורציה

חברת Infinidat הוכרה על ידי Gartner Peer Insights כבחירת הלקוחות לאחסון עיקרי לחודש ינואר 2020
בחירת הלקוחות של Gartner Peer Insights מבוססת על משוב ודירוגים של אנשי מקצוע מקרב משתמשי קצה, אשר התנסו ברכישה, יישום ו/או שימוש בפתרונות אחסון ספציפיים

חברת Comm-IT משיקה שירות האקר וירטואלי על בסיס פתרון בדיקות החדירות האוטומטי של חברת Pcysys
השירות, שמוצע על בסיס פתרון בדיקות החדירות האוטומטי Penetration Testing)) של חברת Pcysys, כולל ביצוע בדיקות חדירות לארגונים כמעט ללא התערבות אנושית, על פי דרישה, על מנת לאמוד את חסינותם להתקפות סייבר. במסגרת השירות, Comm-IT תספק גם דוחות מפורטים, המלצות לשיפור מערך אבטחת המידע ותכנית עבודה להתמודדות עם הפגיעויות שהתגלו במהלך הבדיקות. השירות מאפשר בדיקה רציפה של חסינות הארגון על פי תדירות שנקבעת מראש במדיניות אבטחת המידע של הארגון.

פגישה אופנתית במיוחד ב- Intentia
מומחי האופנה של חברת Infor הבינלאומית נפגשו עם Intentia וחברת תפרון בישראל

דוח F5 Labs: פושעי רשת אינם עונים על מגמות הפישינג העונתיות ומאמצים אוטומציה כדי להרחיב את השפעת הפריצה
F5 Labs חושפת את דוח הפישינג וההונאות לשנת 2019 פישינג סומן כטקטיקה מספר 1 של פריצות למידע

חברת F5 תרכוש את Shape תמורת מיליארד דולר ותחולל מהפכה באבטחת אפליקציות
חברת Shape בנתה פלטפורמה מתקדמת, תוך שימוש בלמידת מכונה, הנתמכת על ידי אנליטיקה מבוססת ענן, כדי להגן מפני התקפות שעוקפות בקרות אחרות של אבטחה והונאה." אמר ארן אראל, מנהל פעילות F5 בישראל, יון וקפריסין. "רכישה זו מאחדת את המומחיות של F5 בהגנה על יישומים בסביבות מרובות עננים עם יכולות מניעת ההונאות של Shape כדי לחולל מהפכה של ממש באבטחת יישומים. ביחד, F5 ו-Shape מציעות לארגונים אבטחה מקיפה וחסכון פוטנציאלי של מיליארדי דולרים שעשויים לאבוד בשל הונאה, נזקי מוניטין ושיבושים בשירותים מקוונים קריטיים".

רבל השלימה פרויקט ERP עם Infor M3
הפתרון ישמש למעלה מ- 150 משתמשי החברה במוקדי הייצור וההפצה בישראל לוקסמבורג, סין וארה"ב

חברת Comm-IT הקימה תשתית ענן AWS לחברת הפינטק Splitit למטרת ניהול תשלומים
הפרויקט, שמשרת את לקוחות Splitit ברחבי העולם, נאמד במאות אלפי שקלים
     
 
שיווק באינטרנט על ידי WSI