Microsoft upozorňuje na rizika phishingu a další hrozby

Phishing je poměrně jednoduchá metoda kybernetické kriminality, jejímž cílem je získat přihlašovací údaje oběti, datum narození nebo jiné osobní údaje, které útočníkovi pomohou získat další možné informace, které lze později využít ke zneužití identity oběti. Existuje několik metod phishingu, které jsou stále sofistikovanější. Většinou jde o naléhavé informace nebo o sdělení s jasnou „výzvou k akci“ spojenou s emocí, kdy oběť nechtěně klikne na sdílený odkaz.

Za poslední období jde o jednu z nejčastějších metod, které kyberútočníci používají. Ukazuje se, že mezi hrozbami, které výzkumníci společnosti Microsoft sledují a chrání, je objem phishingových útoků řádově vyšší než u všech ostatních hrozeb. Podle MDDR bylo vloni každý týden zablokováno na 710 milionů phishingových e-mailů. Průměrná doba, kterou útočník potřebuje, než získá přístup k soukromým údajům uživatele, pokud se stanete obětí phishingového e-mailu, je 1 hodina 12 minut. A průměrně hodina 42 minut stačí útočníkovi na to, aby se dostal do zbytku firemní sítě poté, co se „nabourá“ do jednoho z firemních zařízení.

Phishingová aktivita se rozmohla především v období pandemie. Během covidu jsme trávili více času doma než v kancelářích. Tím se rozšířil bezpečnostní perimetr o nové IP adresy, místa, zařízení atd. S rozšiřováním podnikové sítě do nových neznámých míst se útočníci snáze dostávali na slabá místa.

Také v českém a slovenském prostředí je v poslední době evidován zvýšený výskyt phishingových útoků. Mezi konkrétní příklady aktivit, které Microsoft zaznamenal, patří smishing, podvodné telefonáty jménem Microsoftu, sociální inženýrství s cílem získat od jedinců citlivá data nebo podvodný online prodej.

Dále se zvyšuje počet technik, jako jsou škodlivé neidentifikovatelné přílohy v mailech, údajné kompromitující materiály, zavádějící zprávy na chatovacích platformách, falešné výhry v neexistujících soutěžích a mnohé další…

Komercializace kybernetických útoků

Studie MDDR dále ukazuje, že dnešní kybernetické útoky se v podstatě stávají byznysem jako kterýkoli jiný. Na jedné straně stojí objednavatel útoku, na druhé přímo útočník, který může mít několik cílů, proč takový útok vykonává. Tyto organizované skupiny dnes vznikají a vytváří se tím nové odvětví, které označujeme jako „Cybercrime as a Service“, zkráceně CaaS.

Právě kybernetická kriminalita jako služba (CaaS)je rostoucí a vyvíjející se hrozbou pro zákazníky po celém světě. Oddělení digitální kriminality společnosti Microsoft (DCU) zaznamenalo pokračující růst ekosystému CaaS s rostoucím počtem online služeb usnadňujících různé kybernetické zločiny, včetně BEC a ransomwaru ovládaného lidmi. DCU v tomto roce úspěšně zablokovala na 2 750 000 stránek, které se měly stát platformami pro globální kybernetické útoky, za účelem jejich prevence. DCU dále nařídilo stažení 531 000 unikátních phishingových adres URL umístěných mimo společnost Microsoft.

I zde je preferovanou metodou útoku právě phishing, protože kyberzločinci mohou úspěšnou krádeží a prodejem přístupu k ukradeným účtům získat značnou hodnotu. V reakci na rozšiřující se trh CaaS vylepšila DCU své odposlouchávací systémy, aby detekovala a identifikovala nabídky CaaS v celém ekosystému internetu, hlubokého webu, prověřených fór, specializovaných webových stránek, online diskusních fór a platforem pro zasílání zpráv. Kyberzločinci nyní spolupracují napříč časovými pásmy a jazyky, aby dosáhli konkrétních výsledků.

Služby útočníků jsou navíc skutečně levné, a tedy dostupné takřka pro každého:

• Exploit kits: 1 400 USD za měsíc;
• Zero days: 50 000 až 3,5 milionu USD (průměrně 180 000 USD);
• Ransomware: 66 USD dopředu + 30 % z výnosu (afilační model);
• Loads (kompromitovaná zařízení): od 0,03 do 1,80 USD za PC a v průměru 0,68 USD za mobil;
• Spearphishing: 100 až 1 000 USD za úspěšný útok na účet;
• Compromised accounts: 150 USD až 400 milionů USD (v průměru 1,14 USD za 1 000 účtů);
• Denial of Service: 766,67 USD za měsíc;
• Breaching services: od 250 USD, v průměru 10 500 USD (za zakázku).

Propojení kyberzločinu s Ruskem

Zhruba v posledním roce, návazně na válku na Ukrajině, se zintenzivňuje také takzvaný spear phishing. Jak konkretizuje MDDR, společnost Microsoft zaznamenala jejich zvýšenou aktivitu v podobě škodlivých příloh nebo odkazy na ruské státní nebo na Rusko napojené skupiny, jako jsou ACTINIUM, NOBELIUM, STRONTIUM, DEV0257, SEABORGIUM a IRIDIUM. Ty prokazatelně používaly phishingové kampaně k získání počátečního přístupu k požadovaným účtům a sítím v organizacích na Ukrajině i mimo ni. Mnoho kampaní využívalo kompromitované nebo podvržené účty v cílových organizacích nebo ve stejném odvětví a přesvědčivá témata, aby nalákaly své oběti.

Výjimkou nejsou ani útoky na národní cíle (veřejný sektor). Studie Microsoftu hovoří např. o útocích na 128 cílů ve 42 zemích jen ze strany Ruska. Více než polovina (63 %) útoků přitom směřuje na čtyři oblasti, kterými jsou IT služby, státní sektor, školství a Think Tanky (a nestátní neziskové organizace). Až 90 % ruských aktivit je mířeno na členské země NATO.

Klíčové oblasti ovlivňující kybernetickou odolnost

Microsoft studoval oběti kybernetických útoků a identifikoval faktory tvořící šestici největších přispěvatelů ke zranitelnosti (80 % bezpečnostních incidentů lze přiřadit několika chybějícím elementům, které mohou být řešeny moderními bezpečnostními přístupy).

Nejvýznamnější příčiny kybernetické zranitelnosti podniků:

• nedostatečný privilegovaný přístup a řízení laterálního pohybu (92 %);
• nebezpečná konfigurace poskytovatele identit (86 %);
• omezená adopce moderních bezpečnostních frameworků (85 %);
• chybějící multi-factor autentizace (74 %);
• chybějící nástroje pro ochranu informací (64 %);
• nízká vyspělost řízení bezpečnosti (58 %).

Rizika IoT a technologických zařízení

Studie Microsoftu dále upozorňuje např. na nárůst zneužití OT a IoT řešení, který bude podle odhadů v roce 2025 celosvětově téměř 42 miliard kusů. Nejnovější informace přitom upozorňují na 78% nárůst odhalených kritických zranitelností v těch systémech. Tři čtvrtiny nejvíce používaných průmyslových řídicích systémů v OT sítích navíc disponují nejméně jednou neopravenou kritickou zranitelností.

Izolace zařízení (air gapped) a perimetr již není dostatečnou ochranou, mnoho útoků je navíc vedeno přes servisní organizace a jejich sítě. Stále častější příčinou potíží je také prohlubující se konvergence mezi světem IT a OT nebo provozování již nepodporovaných zařízení, což samozřejmě zvyšuje riziko vzniku zranitelností a jejich zneužití.

Často jsou však příčinou napadení i velmi jednoduchá a snadno napravitelná pochybení, který lze předcházet bez větších nákladů i nároků na obsluhu. Zmínit můžeme např. využívání přednastavených přihlašovacích údajů, slabé šifrování, neplatné (expirované) certifikáty nebo nulový či nefunkční monitoring.

Údaje vyplývají ze studie Digital Defense Report a dalších materiálů společnosti Microsoft. Více se můžete dozvědět také z publikace Cyber Signals, kterou naleznete v příloze.