Ľudia sa považujú za najslabší článok kybernetickej bezpečnosti, najmä preto, že majú tendenciu naletieť phishingovým útokom. Aj keď čoraz viac firiem tento problém rieši účinnými školeniami o kybernetickej bezpečnosti, nedokážu pokryť všetky hrozby, ktorým zamestnanci v digitálnom svete čelia. Dobrou správou je, že spoofing a homoglyfy teraz dokáže odhaliť aj technológia.
V tipoch, ako rozpoznať phishingový e‑mail, sa napríklad zvyčajne odporúča, aby používatelia skontrolovali, či je meno odosielateľa e‑mailu správne. Ale čo ak útočníci používajú vizuálne triky, aby e‑mail odosielateľa vyzeral legitímne, aj keď je v skutočnosti falošný? A čo ak je e‑mail podvrhnutý, takže ani to najpozornejšie oko nedokáže rozoznať rozdiel?
Na ochranu firiem a ich zamestnancov pred spoofingom a homoglyfickými útokmi spoločnosť ESET pridala do riešenia ESET Cloud Office Security funkcie Antispoofing a Detekcia homoglyfov, ktoré dokážu rozpoznať aj také nezrovnalosti v škodlivých e‑mailoch, aké ľudské oko nezachytí.
Okrem toho vynovené riešenie ESET Cloud Office Security ponúka možnosť presunu podozrivých doručených e‑mailov, ktorá zjednodušuje správu e‑mailovej karantény, a tiež vylepšený riadiaci panel poskytujúci rýchly prehľad o tom, čo sa deje vo firemnom prostredí služieb Microsoft 365 alebo Google Workspace z hľadiska bezpečnosti.
Ako útočníci klamú cez spoofing či homoglyfické útoky?
Podľa správy spoločnosti Verizon o vyšetrovaní únikov údajov za rok 2024 bolo 68 % narušení bezpečnosti spôsobených zlyhaním ľudského faktora, pričom v prípade väčšiny týchto útokov šlo o phishing (navedenie používateľa na to, aby poskytol citlivé informácie alebo si stiahol škodlivý obsah) alebo pretexting (získanie si dôvery obete prostredníctvom vymysleného príbehu alebo zámienky) cez e‑mail.
Výskum spoločnosti ESET opakovane ukázal, že kyberzločinci neustále zdokonaľujú svoje phishingové metódy rôznymi spôsobmi vrátane klamných vizuálnych techník, ktoré nenesú typické znaky kybernetického útoku. V týchto prípadoch zamestnanci zvyčajne čelia nejakému druhu homoglyfického útoku alebo spoofingu v kombinácii s dobre napísaným telom e‑mailu. Vďaka vysokokvalitným automatickým prekladačom a chatbotom využívajúcim umelú inteligenciu takýto e‑mail nie je v súčasnosti ťažké vytvoriť.
Tu sú niektoré bežné triky, na ktoré si treba dať pozor:
Podvrhnutie odosielateľa e‑mailu – podvrhnutie odosielateľa e‑mailu je phishingová technika, pri ktorej útočníci nakonfigurujú adresu v e‑mailovej hlavičke „From“ tak, aby vyzerala ako adresa dôveryhodného odosielateľa. Bežnou praxou kyberzločincov je aj konfigurácia hlavičky „Reply‑To“, takže hoci adresa v nej vyzerá ako legitímna adresa odosielateľa, odpoveď sa v skutočnosti odošle späť útočníkovi.
Homoglyfický útok – homoglyfické alebo homografické útoky využívajú to, že mnoho rôznych znakov vyzerá veľmi podobne. Vysvetlime si túto techniku na príklade názvu domény „℮s℮t.sk“. Nič nevyzerá podozrivo, však? V skutočnosti však nejde o skutočný názov domény ESET, pretože namiesto písmen abecedy „e“ sú použité symboly odhadu „℮“.
Typosquatting – podobne ako pri homoglyfických útokoch, aj pri typosquattingu sa používajú vizuálne triky, aby phishingové odkazy vyzerali legitímne. V tomto prípade však útočníci nemenia znaky, ale využívajú drobné preklepy, napríklad „eseet.sk“ namiesto „eset.sk“.
Príklady reálnych kybernetických útokov
Jedna z nedávnych kampaní zahŕňajúcich spoofing je opísaná v najnovšej správe ESET APT Activity Report. Skupina Kimsuky podporovaná Severnou Kóreou využila spoofing na vytvorenie vierohodných spearphishingových e‑mailov zacielených na severokórejských odborníkov pracujúcich pre mimovládne organizácie a výskumníkov z akademických kruhov. E‑maily obsahovali falošné žiadosti o poskytnutie prednášky alebo rozhovoru pre médiá. Keď si útočníci zo skupiny Kimsuky získali dôveru obete, doručili jej škodlivý balík, zvyčajne maskovaný ako zoznam otázok, na ktoré je potrebné vopred odpovedať.
Skupina Kimsuky si vytvorila falošné prihlasovacie mená a používala legitímne názvy domén, aby sa mohli útočníci vydávať za osoby z dôveryhodných organizácií vrátane think‑tankov a inštitúcií vyššieho vzdelávania.
Spoofing sa nepoužíva len v rámci starostlivo pripravených a cielených spearphishingových kampaní, ale po tejto technike siahajú aj kyberzločinci, ktorí masovo ponúkajú podvodné služby. Výskumníci spoločnosti ESET si napríklad všimli automaticky generované falošné e‑maily pri analýze súpravy nástrojov Telekopye, ktorá funguje ako bot Telegramu. Tieto e‑maily pomáhali podvodníkom oklamať obete na internetových trhoviskách.
Typosquatting tiež možno bežne spozorovať pri spamových a phishingových kampaniach. Výskumníci spoločnosti ESET si túto techniku všimli napríklad pri skúmaní kampane Rescoms, ktorá sa v septembri 2023 zamerala na firmy v Poľsku. Rescoms, známy aj ako Remcos, je trójsky kôň pre vzdialený prístup (RAT), ktorý útočníkom umožňuje na diaľku ovládať napadnutý počítač.
Útočníci sa snažili doručiť Rescoms prostredníctvom škodlivých príloh starostlivo vytvorených spamových e‑mailov, ktoré boli odoslané z falošných domén napodobňujúcich domény iných spoločností. Útočníci sa vopred pripravili a pri podpisovaní týchto e‑mailov použili názvy existujúcich poľských spoločností, mená skutočných zamestnancov alebo vlastníkov a ich kontaktné údaje.
Oči na stopkách
Na základe týchto príkladov z reálneho života je jasné, že okrem typických školení o kybernetickej bezpečnosti je potrebná aj technológia schopná odhaliť hrozby, ktoré ľudské oko nedokáže zachytiť.
Najnovšia verzia ESET Cloud Office Security rieši tieto problémy pomocou dvoch nových funkcií – Antispoofingu a Detekcie homoglyfov, a zároveň zjednodušuje systém správy e‑mailov.
Všetky tieto zmeny sú v súlade s prístupom spoločnosti ESET zameraným na prevenciu, ktorý znižuje riziká spojené s pokročilými hrozbami a minimalizuje čas, ktorý musia bezpečnostné tímy venovať reakcii na incidenty a náprave.
Vylepšenia v riešení ESET Cloud Office Security
Antispoofing – funkcia, ktorá identifikuje hrozby a zabráni útočníkom predstierať, že sú dôveryhodnými zdrojmi. Firmy si môžu pre prichádzajúce e‑maily nastaviť pravidlá overovania, ktoré sú založené na štandardných overovacích nástrojoch – DKIM (DomainKeys Identified Mail), ktorý kontroluje podpisy e‑mailov, SPF (Sender Policy Framework), ktorý kontroluje server odosielateľa, a DMARC (Domain‑based Message Authentication, Reporting & Conformance), ktorý dáva doméne odosielateľa možnosť informovať príjemcu, čo má robiť, ak kontrolovaný e‑mail neprejde dvoma predchádzajúcimi metódami overovania.
Ak sa napríklad zdá, že prichádzajúci e‑mail je legitímny, ale nemá platný digitálny podpis z legitímnej domény (nevyhovie kontrole DKIM), bude presunutý do karantény. ESET Cloud Office Security dokáže rozpoznať hrozbu, aj keď útočníci prevezmú kontrolu nad legitímnym e‑mailovým účtom a odošlú z neho škodlivé e‑maily, pretože IP adresa priradená k e‑mailovému serveru sa líši od adresy uvedenej v zázname SPF (zlyhá kontrola SPF).
Detekcia homoglyfov – funkcia, ktorá identifikuje škodlivé e‑mailové domény vydávajúce sa za legitímne tým, že namiesto písmen používajú podobné znaky alebo písmená z iných abecied. Firmy chránené produktom ESET Cloud Office Security si môžu nastaviť pravidlá pre názvy domén tak, aby prešli len tie e‑maily, ktoré majú správne napísané názvy domén. Táto funkcia by rozpoznala falošný názov domény „℮s℮t.sk“, pretože symbol odhadu „℮“ má iný unicode než písmeno abecedy „e“.
Presun podozrivých doručených e‑mailov – táto funkcia zjednodušuje správu e‑mailov v karanténe. Používatelia môžu jednoducho presunúť akýkoľvek podozrivý doručený e‑mail do karantény, a ak sa neskôr ukáže ako legitímny, jedným kliknutím ho z nej uvoľnia.
Vylepšený riadiaci panel – riadiaci panel ESET Cloud Office Security poskytuje dôležité informácie o celkovom počte chránených používateľov, využívaní licencií, používateľoch, ktorí sú najväčšími príjemcami spamu, škodlivých a phishingových e‑mailov, ako aj o najpodozrivejších účtoch alebo skupinách/lokalitách v službách OneDrive, Disk Google, SharePoint a Teams. Správcovia môžu tiež vidieť detekcie spamu, malvéru a phishingu v službách Exchange Online, Gmail, OneDrive, Disk Google, SharePoint a Teams.
Vylepšený riadiaci panel obsahuje plne prispôsobiteľné karty a komponenty, ktoré vyhovejú špecifickým potrebám správcov alebo rôznych druhov firiem, ako sú malé a stredné podniky, poskytovatelia spravovaných služieb či veľké firmy. Okrem vizuálne vylepšených existujúcich prvkov obsahuje aktualizovaný riadiaci panel aj nové prvky.
Čo tým získate?
Keďže útočníci zdokonaľujú svoje phishingové techniky, možnosti zamestnancov rozpoznať škodlivé e‑maily sú čoraz obmedzenejšie, a to aj napriek dostupnosti školení o kybernetickej bezpečnosti. Na úspešné zmiernenie týchto hrozieb potrebujú firmy pokročilé nástroje kybernetickej bezpečnosti so schopnosťou zachytiť škodlivé e‑maily, ktoré sú niekedy na nerozoznanie od legitímnych.
ESET Cloud Office Security si poradí s podvrhnutými e‑mailmi aj homoglyfickými útokmi a zablokuje ich skôr, ako preniknú k cieľovým zamestnancom. Firmy sa tak môžu vyhnúť prípadným finančným stratám, poškodeniu dobrého mena alebo narušeniu prevádzky.
