Gigant technologiczny Microsoft i międzynarodowa firma bankowa American Express są najczęściej podszywanymi firmami w wiadomościach phishingowych ukierunkowanych na usługi finansowe. Tak wynika z raportu „2023 Financial Services Sector Threat Landscape” opracowanego przez Trustwave SpiderLabs, który analizuje wiele zagrożeń, z jakimi boryka się branża usług finansowych. W raporcie wymieniono phishing i złośliwe oprogramowanie przenoszone pocztą elektroniczną jako najczęściej wykorzystywane metody zdobywania początkowego przyczółka w organizacjach, przy czym Trustwave SpiderLabs zaobserwowało „interesujące zmiany” w metodach dostarczania, technikach, tematach i ukierunkowanych markach ataków na usługi finansowe w ostatnim roku. Według raportu, takie zmiany przyczyniły się do dalszego znaczenia i skuteczności tego typu ataków.

Usługi finansowe coraz częściej znajdują się na celowniku cyberprzestępców. Niedawne badania przeprowadzone przez Akamai wykazały wzrost liczby ataków na aplikacje internetowe i interfejsy programowania aplikacji (API) wymierzonych w globalną branżę usług finansowych. Ataki te wzrosły o 65% w drugim kwartale 2023 r. w porównaniu z drugim kwartałem 2022 r., odpowiadając za 9 miliardów ataków w ciągu 18 miesięcy, przy czym banki poniosły największy ciężar, zgodnie z raportem High Stakes of Innovation: Attack Trends in Financial Services. Badanie wykazało również, że sektor usług finansowych jest obecnie głównym pionem ataków DDoS, a region EMEA odpowiada za 63,5% globalnych zdarzeń DDoS.

Zobacz również:

• Pishing metodą na e-TOLL. MF i KAS ostrzegają przed próbą wyłudzenia
• Przestępcy w internecie okradają każdego Polaka na średnio 750 zł

Pliki HTML najczęstszymi złośliwymi załącznikami

Dane z bazy klientów usług finansowych Trustwave SpiderLabs wskazują, że pliki HTML są najczęstszymi złośliwymi załącznikami w wiadomościach e-mail, stanowiąc 78% wszystkich ocenionych złośliwych załączników, zgodnie z raportem. Są one wykorzystywane głównie do wyłudzania danych uwierzytelniających, przekierowań i przemytu HTML, przy czym 33% plików HTML wykorzystuje zaciemnianie jako sposób na uniknięcie obrony. Oprócz HTML, Trustwave SpiderLabs zaobserwował pliki wykonywalne jako kolejny najbardziej rozpowszechniony typ złośliwego załącznika, stanowiący 14%. Złośliwe oprogramowanie kradnące informacje, takie jak Gootloader, XLoader, Lokibot, Formbook i Snake Keylogger były jednymi z najczęściej wykrywanych załączników, podczas gdy Agent Tesla (RAT) został również wykryty w zbiorze danych. Według raportu, atakujący rzadko wykorzystywali pliki PDF (3%), Excel (2%) i dokumenty Word (1%). Powiadomienia głosowe, pokwitowania płatności, zamówienia zakupu, przekazy pieniężne, depozyty bankowe i zapytania ofertowe były najczęstszymi tematami złośliwych załączników do wiadomości e-mail, przy czym American Express (24%), DHL (21%) i Microsoft (15%) były najczęściej podrabianymi markami.

Najbardziej rozpowszechnione, niezłośliwe załączniki phishingowe wymienione w raporcie obejmują wiadomości „Pilne działanie do wykonania”, alerty związane ze skrzynką pocztową, udostępnianie dokumentów, podpisywanie elektroniczne, alerty związane z kontem, nieodebrane wiadomości, powiadomienia związane ze spotkaniami oraz alerty związane z płatnościami/fakturami. Marki najczęściej podszywane pod tego typu ataki to Microsoft (52%), DocuSign (10%) i American Express (8%). Jeśli chodzi o kompromitację biznesowej poczty e-mail (BEC), „Przekierowanie listy płac” jest najczęściej używanym tematem na poziomie 48%, a „Prośba o kontakt" i „Zadanie” na poziomie, odpowiednio, 23% i 13%. Taktyki phishingowe ewoluują, gdy atakujący stosują sztuczną inteligencję i LLM (duże modele językowe).

W ciągu ostatniego roku Trustwave SpiderLabs odkryło i przeanalizowało nowe techniki phishingowe, które atakujący aktywnie wykorzystywali do atakowania sektora usług finansowych. Obejmują one phishing oparty na IPFS, Cloudflare Pages.dev i Workers.dev Phishing oraz kampanie RPMSG, czytamy w raporcie.

Trustwave SpiderLabs monitoruje również wpływ sztucznej inteligencji i dużych modeli językowych (LLM), takich jak ChatGPT, na ataki phishingowe. Szybka dojrzałość i rozszerzone zastosowanie technologii LLM sprawia, że tworzenie wiarygodnych wiadomości e-mail, które wydają się autentyczne, jest łatwiejsze, bardziej przekonujące, wysoce spersonalizowane i trudniejsze do wykrycia. „Ostatnio zauważyliśmy pojawienie się LLM, takich jak WormGPT i FraudGPT na podziemnych forach, podkreślając potencjalne zagrożenia dla cyberbezpieczeństwa wynikające z ich przestępczego wykorzystania”, napisano w raporcie. Możliwości WormGPT i FraudGPT obejmują nie tylko tworzenie przekonujących wiadomości phishingowych, ale także pomoc w tworzeniu niewykrywalnego złośliwego oprogramowania, pisaniu złośliwego kodu i znajdowaniu luk w zabezpieczeniach.

Łagodzenie skutków phishingu powinno obejmować testy, środki antyspoofingowe, warstwowe skanowanie wiadomości e-mail

Raport Trustwave SpiderLabs zawierał listę zaleceń dotyczących ograniczania ryzyka związanego z phishingiem. Stwierdzono w nim, że organizacje powinny:

• konsekwentnie przeprowadzać próbne testy phishingowe w celu oceny skuteczności szkoleń antyphishingowych i przekwalifikować osoby, które popełniły powtarzające się wykroczenia.

• wdrożyć solidne środki antyspoofingowe, w tym wdrożyć technologie na bramach e-mail.

• wdrożyć warstwowe skanowanie wiadomości e-mail za pomocą rozwiązania zapewniającego lepsze wykrywanie i ochronę.

• wykorzystywać techniki wykrywania błędów w pisowni domen w celu umożliwienia identyfikacji ataków phishingowych i BEC.

Źródło: CSO