Firma Netskope zaprezentowała nowe badania, które pokazują, jak powszechność aplikacji chmurowych zmienia sposób, w jaki twórcy cyberzagrożeń wykorzystują metody przeprowadzania ataków phishingowych w celu kradzieży danych.
79% użytkowników przesyła, tworzy, udostępnia lub przechowuje dane w aplikacjach w chmurze. Organizacja z 500- 2000 użytkowników używa średnio 1 558 odrębnych aplikacji w chmurze każdego miesiąca. Spośród tych aplikacji 138 (9%) jest wykorzystywanych do przesyłania, tworzenia, udostępniania lub przechowywania danych- wynika także z wcześniejszych z danych Netskope.
Phishing nadciąga z każdej strony
11% alertów phishingowych pochodziło z usług poczty internetowej, takich jak Gmail, Microsoft Live i Yahoo, które uznawane były dotychczas za źródło największego zagrożenia phishingowego. Osobiste strony internetowe i blogi, szczególnie te prowadzone na darmowych serwisach hostingowych, były najczęstszymi kanałami odsyłającymi do treści phishingowych, zajmując pierwsze miejsce z wynikiem 26%.
Raport zidentyfikował dwie podstawowe metody odesłań do phishingu: wykorzystanie złośliwych linków poprzez spam na legalnych stronach i blogach oraz wykorzystanie stron i blogów stworzonych specjalnie w celu promowania treści phishingowych.
79% użytkowników przesyła, tworzy, udostępnia lub przechowuje dane w aplikacjach w chmurze
Od stycznia 2022 r. do maja 2022 r. liczba aplikacji, w których użytkownicy przesyłają, tworzą, udostępniają lub przechowują dane, wzrosła o 35%. Organizacja z 500- 2000 użytkowników używa średnio 1 558 odrębnych aplikacji w chmurze każdego miesiąca. Spośród tych aplikacji 138 (9%) jest wykorzystywanych do przesyłania, tworzenia, udostępniania lub przechowywania danych. Wraz ze wzrostem wielkości organizacji, liczba aplikacji odpowiednio wzrasta. Organizacje z 2 000-4 000 użytkowników mają średnio 204 aplikacje, natomiast organizacje z ponad 4 000 użytkowników mają średnio 326 aplikacji. Wzrasta również odsetek użytkowników, którzy przesyłają, tworzą, udostępniają lub przechowują dane w aplikacjach chmurowych – z 65% do 79% w pierwszych pięciu miesiącach 2022 roku.
Pracownicy firm zostali przeszkoleni w zakresie dostrzegania wiadomości phishingowych w wiadomościach e-mail i tekstowych, więc twórcy cyberzagrożeń dostosowali swoje metody i zwabiają użytkowników do klikania linków phishingowych w innych, mniej spodziewanych lokalizacjach. Chociaż możemy nie myśleć o możliwości ataku phishingowego podczas surfowania po Internecie lub ulubionej wyszukiwarce, wszyscy musimy zachować taki sam poziom czujności i sceptycyzmu, jak w przypadku przychodzących wiadomości e-mail, i nigdy nie wprowadzać danych uwierzytelniających lub poufnych informacji na żadnej stronie po kliknięciu linku. Należy zawsze kierować się bezpośrednio do stron logowania. –powiedział Ray Canzanese, Threat Research Director, Netskope Threat Labs.
Wzrost popularności fałszywych aplikacji chmurowych zewnętrznych firm
Raport Netskope ujawnia kolejną kluczową metodę phishingu: oszukiwanie użytkowników w celu udzielenia dostępu do ich danych i zasobów w chmurze za pośrednictwem fałszywych aplikacji firm zewnętrznych. Ten zarysowujący się trend jest szczególnie niepokojący, ponieważ dostęp do aplikacji zewnętrznych jest wszechobecny i stanowi dużą przestrzeń do ataku. Użytkownicy końcowi w organizacjach udzielili średnio ponad 440 aplikacjom firm zewnętrznych dostępu do swoich danych i aplikacji Google, przy czym w jednej organizacji dostęp do danych miało aż 12 300 różnych wtyczek – średnio 16 wtyczek na użytkownika. Równie alarmujące jest to, że ponad 44% wszystkich aplikacji firm zewnętrznych uzyskujących dostęp do dysku Google ma dostęp do wrażliwych danych lub wszystkich danych na dysku Google użytkownika – co jeszcze bardziej zachęca przestępców do tworzenia fałszywych aplikacji chmurowych firm zewnętrznych.
Nadchodzi kolejna generacja ataków phishingowych. Wraz z rozpowszechnieniem aplikacji chmurowych i zmieniającą się naturą sposobu ich wykorzystania, z rozszerzeń Chrome lub dodatków do aplikacji, użytkownicy są proszeni o autoryzację dostępu do tego, co stało się przeoczonym wektorem ataku. Ten nowy trend fałszywych aplikacji zewnętrznych jest czymś, co ściśle monitorujemy i śledzimy dla naszych klientów. Spodziewamy się, że tego typu ataki będą się z czasem nasilać, więc organizacje muszą zapewnić, że nowe ścieżki ataku, takie jak autoryzacje OAuth, są ograniczone lub zablokowane. Pracownicy powinni również być świadomi tych ataków i analizować prośby o autoryzację w taki sam sposób, w jaki analizują e-maile i wiadomości tekstowe. – dodaje Ray Canzanese.
Dodatkowe kluczowe wnioski z raportu są następujące:
• Pracownicy nadal klikają w złośliwe linki i padają ich ofiarą. Powszechnie wiadomo, że wystarczy jedno kliknięcie, aby poważnie narazić organizację na niebezpieczeństwo. Chociaż świadomość i szkolenia w zakresie phishingu w przedsiębiorstwach są coraz bardziej powszechne, raport ujawnia, że średnio ośmiu na 1000 użytkowników końcowych w przedsiębiorstwie kliknęło link phishingowy lub w inny sposób próbowało uzyskać dostęp do treści phishingowych.
• Użytkownicy są zwabiani przez fałszywe strony internetowe, które mają imitować legalne strony logowania. Atakujący umieszczają te strony głównie na serwerach z zawartością (22%), a następnie na nowo zarejestrowanych domenach (17%). Gdy użytkownicy umieszczają dane osobowe na fałszywej stronie lub przyznają jej dostęp do swoich danych, napastnicy są w stanie przechwycić nazwy użytkownika, hasła i kody uwierzytelniania wieloskładnikowego (multi-factor authentication – MFA).
• Lokalizacja geograficzna odgrywa rolę we wskaźniku dostępu do phishingu. Afryka i Bliski Wschód były dwoma regionami o najwyższym poziomie procentowym użytkowników uzyskujących dostęp do treści phishingowych. W Afryce odsetek użytkowników uzyskujących dostęp do treści phishingowych jest o ponad 33% wyższy od średniej, a na Bliskim Wschodzie jest ponad dwukrotnie wyższy od średniej. Atakujący często wykorzystują strach, niepewność i zwątpienie (fear, uncertainty, and doubt – FUD) do projektowania przynęt phishingowych, a także próbują wykorzystać ważne informacje prasowe. Szczególnie na Bliskim Wschodzie, atakujący wydają się odnosić sukcesy w projektowaniu przynęt, które wykorzystują polityczne, społeczne i ekonomiczne kwestie dotyczące tego regionu.
Statystyki zawarte w niniejszym raporcie dotyczą trzymiesięcznego okresu od 1 lipca 2022 r. do 30 września 2022 r.