Phishing od dawna stanowi główny wektor ataku na sieci firmowe. Nic więc dziwnego, że wszyscy i wszystko — od dostawców poczty e-mail po bramy internetowe i przeglądarki — stosują filtry chroniące przed phishingiem oraz skanery szkodliwych adresów. Z tego względu cyberprzestępcy nieustannie wymyślają nowe sposoby na ich obejście (a stare ulepszają). Jedną z takich metod jest phishing opóźniony.
Czym jest phishing opóźniony?
Phishing opóźniony to próba zwabienia ofiary na szkodliwą lub fałszywą stronę za pomocą techniki znanej jako Post-Delivery Weaponized URL. Polega ona na zastępowaniu treści internetowych wersją szkodliwą po dostarczeniu wiadomości zawierającej odpowiednie łącze. Innymi słowy, potencjalna ofiara otrzymuje e-mail zawierający łącze, które prowadzi albo donikąd, albo do legalnego zasobu, który już został zhakowany, ale w tym momencie nie zawiera jeszcze szkodliwej zawartości. W efekcie wiadomość przechodzi przez wszystkie filtry. Algorytmy ochrony znajdują w treści wiadomości adres URL, skanują stronę, nie widzą na niej nic niebezpiecznego i przepuszczają wiadomość dalej.
W pewnym momencie po dostarczeniu (zawsze po dostarczeniu wiadomości, a najlepiej, zanim zostanie ona odczytana) cyberprzestępcy zmieniają stronę, do której prowadzą łącza, lub aktywują szkodliwą zawartość na wcześniej nieszkodliwej stronie. Pułapką może być wszystko — od strony podszywającej się pod bankową po exploit dla przeglądarki, który próbuje umieścić na komputerze ofiary szkodliwe oprogramowanie. Jednak w około 80% przypadków jest to strona phishingowa.
W jaki sposób oszukiwane są algorytmy chroniące przed phishingiem?
Aby wiadomość przeszła przez wszystkie filtry, cyberprzestępcy używają jednego z trzech sposobów.
- Użycie prostego łącza. W tego rodzaju ataku sprawcy kontrolują witrynę docelową, którą sami utworzyli lub zhakowali i przejęli. Oczywiście wolą oni ten drugi przypadek, bo wtedy strona cieszy się dobrą opinią wśród algorytmów bezpieczeństwa. W momencie dostarczenia łącze prowadzi donikąd lub (częściej) strony, na której wyświetlany jest błąd 404.
- Nagła zmiana w skróconym łączu. W internecie znaleźć można mnóstwo narzędzi, dzięki którym każda osoba może skrócić adres internetowy. Krótkie łącza ułatwiają użytkownikom życie, jednak w tym przypadku te krótkie i łatwe do zapamiętania rozwijają się na bardzo długie, a w efekcie następuje przekierowanie. W przypadku niektórych usług można zmienić treść ukrytą pod postacią skróconego łącza, co wykorzystują atakujący. W chwili dostarczenia wiadomości adres internetowy prowadzi do legalnej witryny, jednak po chwili jest on zamieniany na szkodliwy.
- Dołączenie losowego i krótkiego łącza. Niektóre narzędzia służące do skracania łączy umożliwiają przekierowanie w ramach jednego z dwóch wariantów: łącze może prowadzić albo do witryny google.com, albo do strony phishingowej. Możliwość trafienia na stronę legalną może też wprowadzać w błąd roboty indeksujące (programy do automatycznego gromadzenia informacji).
Kiedy linki stają się szkodliwe?
Atakujący zwykle zakładają, że ich ofiara jest tradycyjnym pracownikiem, który w nocy śpi. Dlatego wiadomości z opóźnionym phishingiem są wysyłane po północy (w strefie czasowej ofiary), a szkodliwe stają się po kilku godzinach, bliżej świtu. Statystyki aktywacji filtrów chroniących przed phishingiem wskazują wzrost około godziny 7–10 przed południem, gdy pracownicy klikają łącza, które były nieszkodliwe w chwili wysłania, lecz podczas otwierania są złośliwe.
Należy tu również pamiętać o phishingu ukierunkowanym. Jeśli cyberprzestępcy postanowią zaatakować konkretną osobę, będą przyglądać się jej codziennej rutynie i aktywują szkodliwe łącze w zależności od tego, kiedy osoba ta sprawdza pocztę.
Jak rozpoznać phishing opóźniony?
Najlepiej by było, gdyby udało się zatrzymać łącza phishingowe, zanim dotrą do użytkownika, zatem najlepszą strategią może tu być ponowne przeskanowanie skrzynki pocztowej. W niektórych przypadkach jest to możliwe: jeśli na przykład organizacja używa serwera poczty Microsoft Exchange.
Od września br. rozwiązanie Kaspersky Security for Microsoft Exchange Server obsługuje integrację serwera poczty poprzez natywny interfejs API, który pozwala na ponowne skanowanie wiadomości znajdujących się już w skrzynkach pocztowych. Odpowiednio skonfigurowany czas skanowania zapewnia wykrywanie phishingu opóźnionego bez dodatkowego obciążania serwera w szczytowym czasie ruchu pocztowego.
Ponadto nasze rozwiązania umożliwia monitorowanie poczty wewnętrznej (która nie przechodzi przez bramę zabezpieczeń, a przez to jest niewidoczna dla filtrów i silników skanowania), jak również stosuje bardziej złożone reguły filtrowania treści. W szczególnie niebezpiecznych przypadkach ataków Business Email Compromise, w których hakerzy uzyskują dostęp do konta poczty firmowej, możliwość ponownego przeskanowania zawartości skrzynek pocztowych i kontroli wewnętrznej korespondencji nabiera szczególnego znaczenia.
Kaspersky Security for Microsoft Exchange Server stanowi część naszych rozwiązań Kaspersky Security for Mail Servers i Kaspersky Total Security for Business.