Nawet 600 nowych zagrożeń phishingowych dziennie związanych z koronawirusem
W minionych tygodniach analitycy z należącego do firmy Fortinet FortiGuard Labs zaobserwowali znaczący wzrost cyberataków wykorzystujących nawiązania do pandemii koronawirusa i choroby COVID-19. Specjaliści wykrywają nawet 600 nowych zagrożeń phishingowych każdego dnia, zaś liczba wirusów wzrosła w marcu 2020 roku o 131 proc. w porównaniu z marcem 2019 r.
Pandemia, podobnie jak inne zdarzenia o globalnym zasięgu, jest katalizatorem powstawania nowych cyberzagrożeń. Przestępcy są świadomi, że czasy gwałtownych zmian mogą powodować poważne zakłócenia w funkcjonowaniu przedsiębiorstw i instytucji, które skupiają się wówczas głównie na zapewnieniu ciągłości działania, zaś procedury bezpieczeństwa bywają zaniedbywane. Działania ze strony cyberprzestępców były więc w obecnej sytuacji spodziewane, jednak zaskakuje ich skala.
Liczba użytkowników niezabezpieczonych urządzeń, podłączonych do internetu, jest bezprecedensowa. W każdym gospodarstwie domowym z globalnej sieci korzysta kilka osób, w tym dzieci, które przez pewien czas zajmują się zdalną nauką, a resztę czasu spędzają na rozmowach z przyjaciółmi. Często też całe rodziny angażują się w gry wieloosobowe, rozmowy z bliskimi za pośrednictwem mediów społecznościowych, a także strumieniowo odtwarzają muzykę i filmy.
Taka sytuacja to woda na młyn cyberprzestępców, którzy bynajmniej nie wykorzystują tej sytuacji do relaksu. W ostatnim czasie analitycy z FortiGuard Labs obserwują średnio około 600 nowych kampanii phishingowych dziennie. W ich treści przekazywane są fałszywe informacje na temat pandemii, zaś styl komunikacji to żerowanie na ludzkim strachu i empatii. Często w złośliwych wiadomościach pojawia się temat dostępu do trudno osiągalnych środków medycznych czy też wsparcia technicznego dla pracowników zdalnych. Organizacja "Trolling the Dark Web" ujawniła natomiast takie cyberoszustwa związane z pandemią, jak np. oferty dostarczania chlorochiny i innych leków oraz urządzeń medycznych - wszystkie żerujące na strachu związanym z koronawirusem.
Niestety, wielu użytkowników ma niewłaściwie niezabezpieczone urządzenia prywatne, z których realizują służbowe obowiązki, a nierzadką sytuacją jest całkowity brak jakiejkolwiek ochrony. Phishing jest wymierzony przede wszystkim w nich. Oszuści przygotowali nawet ataki socjotechniczne ukierunkowane na dzieci, jak np. fałszywe oferty gier online czy darmowych filmów. Wiele pirackich stron oferuje obecnie możliwość oglądania ostatnich hitów kinowych za darmo, jednocześnie infekując złośliwym oprogramowaniem urządzenie użytkownika. Tym bardziej więc należy uważać na wszelkie "darmowe" okazje.
Większość ataków phishingowych wykorzystuje jako złośliwy "ładunek" narzędzia typu ransomware (szyfrujące dane i żądające okupu za ich odzyskanie), trojany zdanego dostępu (Remote Access Trojan) i inne złośliwe oprogramowanie, za pomocą którego można uzyskać zdalny dostęp do urządzeń podłączonych do sieci. Znacznie wzrosła także liczba oszustw finansowych powiązanych z tematem pandemii, nawet z użyciem narzędzi w modelu usługowym MaaS (Malware-as-a-Service) przeznaczonych dla początkujących cyberprzestępców, tzw. script kiddies.
A jako że w czasie izolacji ludzie szukają kontaktu z innymi za pomocą komunikatorów, wideoczatów i za pośrednictwem mediów społecznościowych, cyberprzestępcy zyskują nowe możliwości działania. Domowe urządzenia bowiem nie muszą być atakowane bezpośrednio. Wszystkie są podłączone do sieci domowej, co otwiera wiele dróg ataku, a ostatecznym celem jest uzyskanie dostępu do zasobów firmowych. W ten sposób prywatne urządzenie pracownika zdalnego (takie jak tablet, konsola do gier, aparat cyfrowy oraz sprzęt z kategorii smart home jak system alarmowy czy oświetleniowy) może stać się bramą do sieci przedsiębiorstwa i umożliwia rozprzestrzenienie się złośliwego oprogramowania na urządzenia kolejnych pracowników. Wynikające z tego kłopoty mogą być równie poważne, co konsekwencje ataku ransomware, a w efekcie spowodować długotrwały przestój w działalności firmy.
Analitycy FortiGuard Labs zaobserwowali znaczny przyrost liczby wykrytych wirusów, spośród których wiele znajdowało się w złośliwych załącznikach do phishingowych wiadomości. Na przykład, w I kwartale 2020 r. udokumentowano: wzrost o 17 proc. liczby wirusów w styczniu, 52 proc. w lutym i 131 proc. w marcu (w porównaniu z danymi z analogicznych miesięcy 2019 r.).
Co ciekawe, jednocześnie widać spadek liczby botnetów (w styczniu o 66 proc., lutym - o 65 proc., marcu - o 44 proc. rok do roku). Podobnie liczba ataków wykrywanych przez systemy ochrony przed włamaniami (IPS) spadła w marcu o 58 proc. w porównaniu z marcem roku 2019. Widać więc wyraźnie, że cyberprzestępcy reagują na kryzys, dostosowując do niego strategie ataków.
Istotne jest, aby administratorzy IT w przedsiębiorstwach podejmowali działania mające na celu ochronę pracowników zdalnych i pomagali im zabezpieczyć swoje urządzenia oraz sieci domowe. Zacząć należy od działań edukacyjnych, aby pracownicy zdalni i ich rodziny byli świadomi zagrożeń (Fortinet udostępnił szereg bezpłatnych kursów dla telepracowników z zakresu bezpieczeństwa). Następnie należy zapewnić szyfrowaną łączność z firmą z wykorzystaniem wirtualnej prywatnej sieci VPN. Warto też rozważyć dostarczenie pracownikowi licencji stosowanego w firmie oprogramowania do zwalczania złośliwego kodu, aby mógł je zainstalować na prywatnym sprzęcie. Być może pracownicy będą zainteresowani także konsultacjami w jaki sposób upewnić się, że ich domowe routery i punkty dostępowe Wi-Fi są odpowiednio zabezpieczone.
Oczywiście konieczne jest także zapewnienie ochrony w firmowej infrastrukturze. Szczególnie zalecane jest skorzystanie z wieloskładnikowego uwierzytelniania i systemów jednokrotnego logowania (Single-Sign On), jak też nieustanna weryfikacja, czy z siecią łączą się wyłącznie uprawnione do tego urządzenia. Ochronę przed phishingiem oraz ransomwarem zapewnią dodatkowe narzędzia zabezpieczające bramy poczty elektronicznej.
Derek Manky, Chief of Security Insights & Global Threat Alliances w firmie Fortinet
Opr. KM