Phishing uległ zmianie. Powoli, ale zdecydowanie, cyberprzestępcy coraz częściej sięgają po oprogramowanie służące do kradzieży danych.
Tradycyjne ataki phishingowe nie zniknęły. Wręcz przeciwnie. Jednak wielu cyberprzestępców nie skupia się już wyłącznie na nakłanianiu ofiar do podawania nazw użytkownika i haseł na fałszywych stronach logowania. Zamiast tego wykorzystują oni programy wykradające dane, aby w ukryciu gromadzić hasła, pliki cookie, dane przeglądarki i inne poufne informacje z zainfekowanych urządzeń.
To podejście jest atrakcyjne, ponieważ można je łatwo skalować i ogranicza przeszkody. Zamiast polegać na tym, że ofiara sama wpisze dane logowania na fałszywej stronie, złośliwe oprogramowanie może pozyskać dane logowania zapisane w przeglądarkach, tokeny sesji, dane z funkcji autouzupełniania, dane portfeli kryptowalutowych, a nawet pliki zawierające przydatne informacje.
Dzięki temu łańcuch ataku jest mniej widoczny. Tradycyjny e-mail phishingowy często zawiera oczywiste wskazówki: podejrzany link, fałszywą stronę logowania lub dziwny załącznik. Programy wykradające dane działają inaczej. Mogą przedostać się do systemu poprzez złośliwe reklamy internetowe (malvertising), pirackie oprogramowanie, fałszywe aktualizacje przeglądarki, kody do gier lub podejrzane strony z plikami do pobrania, a po zainstalowaniu działają w tle, kradnąc wszystko, co znajduje się na urządzeniu ofiary.
Częściowo zmiana ta może wynikać z powszechnego wdrożenia uwierzytelniania wieloskładnikowego (MFA). Kradnąc pliki cookie sesji, cyberprzestępcy mogą ominąć system MFA, dzięki czemu uzyskują dostęp do kont bez konieczności podawania hasła lub kodu uwierzytelniającego.
Kolejnym czynnikiem jest rozwój ekosystemu złośliwego oprogramowania jako usługi (MaaS). Programy służące do kradzieży danych są tanie w wdrożeniu, łatwe do skalowania i bardzo dochodowe. Zamiast samodzielnie tworzyć kompletny łańcuch ataku, wielu przestępców kupuje od podziemnych dostawców dostęp do gotowych zestawów do kradzieży danych, programów ładujących lub usług zapewniających wstępny dostęp. Obniża to barierę wejścia na rynek i pozwala mniej doświadczonym atakującym na przeprowadzanie operacji kradzieży danych uwierzytelniających.
W wielu przypadkach programy wykradające dane stanowią jedynie pierwszy etap większej operacji przestępczej. Skradzione dane są gromadzone, pakowane i sprzedawane innym przestępcom zainteresowanym zebranymi informacjami. Nabywcy ci mogą specjalizować się w oszustwach, przejmowaniu kontroli nad kontami, atakach typu BEC (Business Email Compromise) lub oprogramowaniu ransomware. Pojedynczy zainfekowany komputer może generować wiele źródeł dochodów: dane uwierzytelniające dla jednego nabywcy, pliki cookie sesji dla innego oraz dane dostępowe do systemów firmowych lub dane portfeli elektronicznych dla trzeciego.
Ten podział zadań jest jednym z powodów, dla których programy wykradające dane stały się tak uporczywe. Operatorzy mogą z minimalnym wysiłkiem aktualizować swój kod, zmieniać infrastrukturę i uruchamiać nowe kampanie, podczas gdy partnerzy zajmują się ich rozpowszechnianiem za pomocą phishingu, złośliwych reklam, fałszywych plików do pobrania lub przynęt w mediach społecznościowych.
Jak zachować bezpieczeństwo
Ponieważ programy wykradające dane często przedostają się do systemu poprzez złośliwe reklamy, fałszywe aktualizacje przeglądarek i pliki do pobrania jednym kliknięciem, warto podchodzić do reklam i wyskakujących okienek z pewną dozą sceptycyzmu. Moja osobista rada: nigdy nie klikaj w reklamy sponsorowane. Zamiast tego odwiedzaj bezpośrednio oficjalne strony internetowe i pobieraj oprogramowanie wyłącznie z zaufanych źródeł, takich jak oficjalne strony producentów lub sklepy z aplikacjami.
Kolejną coraz popularniejszą techniką jest ClickFix – atak oparty na socjotechnice, który nakłania użytkowników do zainfekowania własnych urządzeń. Nigdy nie uruchamiaj poleceń ani skryptów skopiowanych ze stron internetowych, wiadomości e-mail lub innych komunikatów, chyba że ufasz źródłu i rozumiesz cel danej czynności. Jeśli strona internetowa nakazuje Ci wykonanie polecenia lub podjęcie działania technicznego, przed kontynuowaniem sprawdź oficjalną dokumentację lub skontaktuj się z pomocą techniczną.
Zabrałeś coś, czego nie powinieneś?
Pirackie oprogramowanie, kody do gier i złamane narzędzia to wciąż jedne z najczęstszych sposobów rozpowszechniania programów wykradających dane. Pliki te często zawierają złośliwe oprogramowanie, które instaluje się razem z oprogramowaniem, które zamierzałeś pobrać. Ta sama ostrożność dotyczy wielu rozszerzeń i dodatków do przeglądarek, które obiecują dodatkowe funkcje lub wygodę. Korzystaj wyłącznie z rozszerzeń renomowanych twórców, dokładnie sprawdzaj recenzje i uprawnienia oraz unikaj instalowania dodatków, które wymagają szerszego dostępu, niż jest to uzasadnione.
Wiadomości phishingowe nadal stanowią poważne zagrożenie, ale wiele z nich można rozpoznać, jeśli nie spieszyć się i zweryfikować je przed kliknięciem. Nawet jeśli wiadomość wygląda na pochodzącą od zaufanej marki, należy podchodzić z ostrożnością do niechcianych załączników i linków, zwłaszcza gdy zachęcają one do otwarcia pliku, pilnej instalacji oprogramowania lub rozwiązania problemu związanego z rozliczeniami. Jeśli nie masz pewności, sprawdź adres nadawcy, poszukaj literówek lub dziwnych sformułowań i potwierdź prośbę za pośrednictwem innego kanału, takiego jak oficjalna strona internetowa firmy, a nie link zawarty w wiadomości e-mail.
Nie tylko informujemy o zagrożeniach - my je usuwamy
Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.
