Wystarczy mniej niż minuta, aby ktoś padł ofiarą oszustwa phishingowego. 21 sekund zajmuje kliknięcie złośliwego linku po otwarciu e-maila i kolejne 28 sekund - wprowadzenie wymaganych danych. Takie statystyki zostały przedstawione w raporcie Verizon o naruszeniach danych w 2024 r. Ataki oparte na e-mailach stały się nie tylko szybkie, ale również powszechne i skuteczne. Przede wszystkim dlatego że są stosunkowo tanie i łatwe do przeprowadzenia. Można je też modyfikować w momencie, gdy pojawiają się nowe narzędzia i możliwości.
"W ostatnich miesiącach Barracuda opublikowała kilka raportów na temat zagrożeń związanych z e-mailami i ich ewolucji. Bazowały one na danych, które uzyskaliśmy z naszych narzędzi do wykrywania i analizy zagrożeń. Wniosek jest jeden - zagrożenia te nieustannie dostosowują się do zmieniającego się krajobrazu cyfrowego, a cyberprzestępcy wykorzystują nowe narzędzia i techniki, aby obejść zabezpieczenia i zwiększyć szanse na sukces" - mówi Mateusz Ossowski, CEE Channel Manager w firmie Barracuda Networks.
Kluczowe odkrycia analityków firmy Barracuda:
• Liczba bardziej zaawansowanych i ukierunkowanych zagrożeń e-mailowych stale rośnie: oszustwa typu BEC (Business Email Compromise) stanowią już ponad 1 na 10 ataków wykorzystujących inżynierię społeczną, a przechwytywanie rozmów wzrosło o 70% od 2022 roku.
• Atakujący wykorzystują kody QR, popularne usługi poczty internetowej i narzędzia do skracania adresów URL, aby ukryć swoje zamiary i oszukać więcej ofiar. Używają też zaufanych usług ochrony adresów URL do ukrywania złośliwych linków w e-mailach phishingowych.
• Wielkość firmy ma znaczenie, jeśli chodzi o rodzaj zagrożeń e-mailowych, na jakie jest najbardziej narażona.
Wielkość firmy a rodzaje cyberataków
Wszystkie firmy, niezależnie od wielkości, są podatne na zagrożenia e-mailowe, ale w różny sposób. Z analiz Barracuda wynika, że 42% ataków ukierunkowanych na większe firmy obejmuje tzw. phishing lateralny. W ich przypadku ataki są wysyłane do skrzynek pocztowych w całej organizacji z już skompromitowanego konta wewnętrznego. Tylko 2% ataków na firmy zatrudniające do 100 pracowników należy do tej kategorii.
Mniejsze firmy są najczęściej (71% ukierunkowanych zagrożeń e-mailowych) celem ataków phishingowych z zewnątrz. Dla porównania - w największych firmach jest to 41%. Dodatkowo mniejsze organizacje trzy razy częściej doświadczają ataków wymuszających (ang. extortion attacks). Stanowią one 7% ukierunkowanych incydentów w przypadku najmniejszych firm oraz 2% w przypadku organizacji zatrudniających 2000 lub więcej pracowników.
Powszechność ataków typu BEC i przechwytywania rozmów jest względnie stała i nie zależy od wielkości firmy.
Nowe taktyki cyberprzestępców
Z analiz firmy Barracuda wynika też, że w ostatnim kwartale 2023 roku około 1 na 20 skrzynek pocztowych stała się celem ataków z wykorzystaniem kodów QR. Ataki te są trudne do wykrycia za pomocą tradycyjnych metod filtrowania e-maili. Ponadto przenoszą ofiary z komputerów firmowych na urządzenia osobiste, takie jak telefony lub tablety, które nie są chronione oprogramowaniem zabezpieczającym firmy.
Analitycy zauważyli również, że Gmail był w 2023 roku najpopularniejszą darmową usługą webmail używaną do inżynierii społecznej - został użyty w 22% tego typu ataków. Co więcej, narzędzie bit.ly było wykorzystywane w prawie 40% ataków inżynierii społecznej, które zawierały skrócony URL. Aplikacje tego typu ukrywają prawdziwy link, co maskuje jego rzeczywisty cel.
"Zaobserwowaliśmy również, że atakujący wykorzystują zaufane usługi ochrony adresów URL, aby ukrywać złośliwe linki w atakach phishingowych. Prawdopodobnie uzyskują dostęp do tych usług po skompromitowaniu kont legalnych użytkowników. Ta pomysłowa taktyka pozwala atakującym unikać wykrycia. Zastosowanie wiarygodnych marek ze świata zabezpieczeń sprawia, że odbiorcy bardziej ufają linkom i chętniej w nie klikają" - dodaje Mateusz Ossowski.
Jak zachować bezpieczeństwo
Specjaliści ds. IT i bezpieczeństwa muszą być na bieżąco z ewoluującymi zagrożeniami e-mailowymi i ich wpływem na środki bezpieczeństwa oraz reakcję na incydenty. Powinni więc rozumieć, jak atakujący mogą wykorzystywać generatywną sztuczną inteligencję do rozszerzania i skalowania swoich działań oraz jakie nowe taktyki stosują, aby ominąć zabezpieczenia.
"Najlepszą obroną jest technologia zabezpieczeń e-mailowych oparta na sztucznej inteligencji, która może szybko dostosowywać się do zmieniających się warunków. Co ważne, nie polega wyłącznie na wyszukiwaniu złośliwych linków lub załączników. Niezwykle istotne są też regularne szkolenia dla pracowników w zakresie świadomości bezpieczeństwa. Natomiast mniejsze firmy mogą również rozważyć skorzystanie z usług zarządzanych, aby uzyskać dodatkową wiedzę i wsparcie w zabezpieczeniu się przed wszystkimi zagrożeniami" - podsumowuje Mateusz Ossowski z Barracuda.
Źródło: Barracuda Networks