Nová online hrozba: Phishing v reálném čase

Pokročilá verze phishingového útoku cílí na finanční instituce.

Jednoho horkého dne letošního léta zaznamenali bezpečnostní experti z CSIS Security Group pokročilou verzi phishingové kampaně „v reálném čase“, která míří na zákazníky velkých finančních ústavů. Součástí těchto phishingových útoků byla podvodná webová stránka, která byla připojena k webovému serveru příslušné banky v reálném čase. Přístupové údaje oběti, které byly touto stránkou odcizeny (včetně použití kódu dvoufaktorové autentikace) byly defraudanty zneužity rovněž v reálném čase – tedy prakticky okamžitě, kdy vytvořili falešnou transakci v internetovém bankovnictví.

Co se nejdříve zdálo, jako jednorázový, ale zajímavý incident, rychle vyeskalovalo do plnohodnotného vyšetřování týmu eCrime, zahrnujícího aktivity analytiků CSIS, antihackerského Incident Respond týmu a dalších skupin bezpečnostních odborníků z bank a orgánů činných v trestním řízení.

Z prvního šetření CSIS bylo patrné, že:

• Máme co do činění s vysoce zkušenými útočníky, schopnými vyvinout a nasadit phishingovou sadu vhodnou pro online phishingové kampaně fungující v reálném čase.
• Při útoku byl použit zcela nový a efektivní vektor útoku pro doručení škodlivého obsahu – maligní vyhledávací algoritmus, který jako výsledek vyhledávání podstrčil na první místo reklamu, která oběť navedla na podvodnou stránku internetového bankovnictví.
• Systém pro řízení přesměrování využíval účinné technologie obrany proti vystopování a byl hostován na zkompromitovaných webových stránkách.
• Rychle byly identifikovány další kampaně phishingu v reálném čase, které byly přivedeny k dokonalosti ve svém zacílení na finanční instituce. 

Vyšetřování 

Brzy bylo zřejmé, že útoky mířily na zákazníky více finančních institucí. Informace shromážděné použitým forenzním nástrojem CSIS Incident Response Kit (CIRK) se ukázaly jako zásadní pro identifikaci celého obrazu útoku. CIRK byl použit Incident Respond týmem k rychlé analýze počítačů obětí a ke včasnému zajištění příslušných důkazů. Začalo být zřejmé, jak útočníci vybírají své cíle, jaká klíčová slova zobrazila jako výsledek vyhledávače škodlivou reklamu a jak je celá infrastruktura útočníka utvořena.

„Díky našemu partnerství s organizací SIE Europe jsme získali cenná DNS data. Ta jsme využili pro monitorování IT infrastruktury útočníka, který neustále vytvářel nová hostovací zařízení a domény, a to v rámci přípravy na aktuálně probíhající i budoucí phishingové kampaně v reálném čase.“, říká Stefan Tanase, Cyber Intelligence expert CSIS. 

Je to neustálý boj, ve kterém se dánská CSIS Security Group trvale osvědčuje. Cílem je minimalizace trvání phishingových kampaní a eliminace následků a škod. Boj, který probíhá převážně na internetu, za branami našich firewallů a routerů. My, jako uživatelé se musíme bránit maximální obezřetností a opatrností. Po stránce technické je vhodné využít technologie chránící proti pokročilým hrozbám. Thor Foresight Enterprise je schopen zablokovat škodlivou komunikaci s hackerem i v případě, kdy neopatrný uživatel klikne na zprávu obsahující phishing a její škodlivý odkaz.

Pro banky a další finanční instituce přinášíme na náš trh se společnosti CSIS Security Group řešení pro eliminaci phishingových útoků i komplexní Threat Hunting.

Nebuďte snadným cílem! Chraňte se, svoji organizaci i své blízké odpovědným chováním i účinnými nástroji. 

Chcete-li se dozvědět více, můžete se zde přihlásit k odběru novinek, ve kterých Vám postupně zašleme více informací ve srozumitelné řeči nejen o problematice ochrany proti phishingu. Nebo vyplňte formulář zde a my se vám ozveme.

Zdroj článku a obrázku: CSIS Security Group A/S, CSIS THREAT MATRIX – H1 2020