Przyzwyczailiśmy się już, że bieżące wydarzenia nagminnie, niezwykle szybko i z imponującą skutecznością wykorzystywane są przez cyberprzestępców w kampaniach phishingowych. W przypadku pandemii doszło jednak do innowacji nie tylko w kwestii treści phishingu, ale także dostosowania do nowych realiów samych kanałów pozyskiwania danych.

Pandemia to dla cyberprzestępców temat niezwykle nośny już w samym obrębie kampanii phishingowych – szczególnie w szycie lockdownu codziennie rejestrowano setki domen, których dzierżawcy obiecywali potencjalnym ofiarom unikatowe informacje na temat rozprzestrzeniania się pandemii, gadżety mające uchronić je przed zakażeniem, a nawet leki i… szczepionki. Strach, jaki budziła w internautach choroba, zapewne zebrał swoje żniwo i wiele ataków phishingowych tematycznie nawiązujących do pandemii okazało się skuteczniejszych niż kolejne próby podszywania się pod banki, urzędy czy sklepy internetowe. Szerzej na ten temat pisaliśmy w poprzednim numerze („IT Professional” 2020/09, s. 77).

Uwagę zwraca jednak nie tylko skupienie się kampanii phishingowych na tematyce COVID-19. Zauważalna jest także daleko idąca adaptacja narzędzi i kanałów pozyskiwania danych do wymuszonych przez pandemię realiów. Telepraca spopularyzowała między innymi działania mające na celu odnajdywanie podatności w protokołach i portach wykorzystywanych na potrzeby usług zdalnego dostępu. Prym wiodło tu RDP, ale także VNC. Oczywiście podatności były poszukiwane także we wszelkiej maści klientach tych usług dostępnych w zasadzie na wszystkie systemy operacyjne. Powiedzieć, że pandemia wpłynęła na phishing, to zatem za mało – wymuszone przez nią zmiany w organizacji pracy odbiły się na całym modus operandi cyberprzestępców, wybieranych przez nich wektorach ataków.

VISHING, CZYLI GŁOSOWY PHISHING

Właśnie dlatego niezwykłą popularność w ostatnich miesiącach zdobył vishing, a zatem taka forma phishingu, w której napastnik zamierza pozyskiwać wrażliwe dane za pomocą komunikacji głosowej (vishing, czyli po prostu voice phishing). Wachlarz możliwości jest tutaj bardzo szeroki – od połączeń telefonicznych, przez VoIP, a kończąc na kontaktach po włamaniu się na nieodpowiednio zabezpieczone oprogramowanie do przeprowadzania wideorozmów, a takich przypadków w ciągu ostatnich miesięcy nie brakowało.

Dlaczego jednak vishing wyrasta na fenomen w krajobrazie covidowych cyberzagrożeń? Przecież podobnych ataków, w których napastnicy podszywali się na przykład pod pracowników banków i próbowali wymusić podanie danych uwierzytelniających do bankowości internetowej, było w przeszłości mnóstwo i zazwyczaj są one znacznie mniej skuteczne niż phishing dokonywany za pośrednictwem poczty elektronicznej czy SMS-ów.

Długie minuty spędzone na próbach zakończenia niechcianych połączeń z telemarketerami nauczyły nas przecież, że wobec osób dzwoniących z nieznanych numerów należy zachowywać szczególną ostrożność. Powodem sukcesów kampanii vishingowych podczas pandemii okazuje się nie sam kanał kontaktu, lecz typ danych, jakimi zainteresowani są napastnicy.

NIECODZIENNE CELE

Ciekawymi informacjami na ten temat podzielili się w ostatnim czasie eksperci Unit 221B, firmy specjalizującej się w usługach w zakresie bezpieczeństwa informacji, kryptografii i informatyki śledczej. Według nich sukcesy aktualnych kampanii vishingowych wynikają z metod stosowanych przez napastników oraz precyzyjnego nakierowywania ataków. Ofiarami są oczywiście w pierwszej kolejności firmy, które wdrożyły pracę zdalną – to w nich cyberprzestępcy starają się odnajdywać pracowników ze szczególnie krótkim stażem, choćby z użyciem technik białego wywiadu, np. poprzez odnajdywanie słabych punktów w portalu LinkedIn. Atakujący posuwają się nawet do tworzenia w serwisie fikcyjnych profili, które mają przekonać ofiary, że kontaktują się ze swoim współpracownikiem.

[...]