Útoky začínají e-maily se spear phishingem

Spear phishing je typem phishingu, který se v poslední době stále více prosazuje. Jedná se o phishing, tedy podvodné maily zasílané s cílem získat citlivá data, jenž využívá informace o cílovém objektu, aby byl útok konkrétnější a osobnější. Namísto obecných oslovení, jako je tomu o běžných phishing kampaní, se tak v mailech objeví např. jméno příjemce, jeho pracovní  zařazení nebo funkce.

Konečným cílem je přinutit oběť, aby buď otevřela škodlivý soubor v příloze mailu nebo aby klikla na odkaz směrující na web s malwarem či jinými exploity, čímž se spustí škodlivá činnost uvnitř sítě oběti.

Podle zmíněné zprávy “Spear Phishing Email: Most Favored APT Attack Bait,” používá 94 % cílených e-mailů jako zdroj nakažení přílohu se škodlivým souborem. Zbývajících 6 % používá alternativní metody, např. instalaci malwaru prostřednictvím falešných odkazů.

„S jistotou očekáváme, že zaznamenáme oživení škodlivých e-mailů, jak se budou cílené útoky rozšiřovat a rozvíjet,“ uvedl Rik Ferguson, ředitel pro bezpečnostní výzkum a komunikace ve společnosti Trend Micro. “Zkušenosti ukazují, že kyberzločinci pokračují ve zneužívání odzkoušených metod a pak přímo využívají informace shromážděné během rekognoskace terénu pro cílené útoky. Také jsme zjistili, že se cílené útoky vyvíjejí a rozšiřují. Vzhledem k hojnosti informací o společnostech a jednotlivcích se stává vymýšlení e-mailů, které působí extrémně důvěryhodně, mnohem jednodušší záležitostí. Reakce na tuto situaci je součástí cílené bezpečnostní obrany, kterou by společnosti neměly podceňovat."

Nejdůležitější informace a závěry z této zprávy:

• Běžně používané a sdílené typy souborů činily během monitorovaného období 70 % z celkového počtu příloh e-mailů se spear phishingem. Nejčastěji používaným typem souboru byly: .RTF (38 %), .XLS (15 %) a .ZIP (13 %). Naopak proveditelné soubory s příponou .EXE nebyly mezi kyberzločinci tak oblíbené, pravděpodobně proto, že e-maily s přílohou se souborem .EXE bezpečnostní řešení obvykle detekují a zablokují.
• Nejčastějšími cíli útoků jsou vládní organizace a aktivistické skupiny. Na Internetu a webových stránkách státních úřadů jsou pohotově k dispozici rozsáhlé informace o institucích a jejich pracovnících. Aktivistické skupiny, které jsou velmi aktivní v sociálních sítích, také ochotně poskytují členské informace, aby usnadnily komunikaci, organizovaly kampaně nebo získávaly nové členy. Tyto zvyky vedou ke zvýrazňování členských profilů, a tím se z nich činí viditelné cíle.
• V důsledku toho tři ze čtyř e-mailových adres cílových obětí lze snadno nalézt prostřednictvím webového vyhledávání nebo za použití běžných e-mailových adresních formátů.

Organizace by měly být schopny detekovat a blokovat pokusy o spear phishing v rámci první obranné linie proti cíleným útokům. Jakožto součást svého programu cílené obrany proti pokročilým perzistentním hrozbám (APT) Custom Defense against APTs spuštěnému v říjnu doplnila společnost Trend Micro svoji sadu řešení pro e-mailovou bezpečnost tak, aby tato řešení nejen zastavovala tradiční hrozby, ale také aby identifikovala vysoce cílené kritické e-mailové útoky.

Plné znění zprávy “Spear Phishing Email: Most Favored APT Attack Bait” je k dispozici zde: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-email-most-favored-apt-attack-bait.pdf.