Acum, să clarificăm ce înseamnă un atac de tip phishing. Un atac de phishing reprezintă o formă de înșelăciune online în care atacatorii își prezintă sub o formă falsă identitatea pentru a induce în eroare persoanele și a le determina să furnizeze informații personale, cum ar fi parole, numere de card de credit sau alte date sensibile. Aceste informații pot fi apoi folosite în mod fraudulos pentru diverse scopuri, inclusiv furt de identitate sau acces neautorizat.

 

Quishing

Quishing, o tehnică de phishing rezultată din combinarea termenilor "QR" și "phishing", a devenit o metodă populară pentru hackeri în 2023.

Prin ascunderea linkurilor malițioase în coduri QR, atacatorii pot evita filtrele tradiționale de spam, care sunt în principal concepute pentru identificarea încercărilor de phishing bazate pe text. Incapacitatea multor instrumente de securitate de a descifra conținutul codurilor QR face ca această metodă să fie o opțiune preferată pentru infractorii cibernetici.

Cum să analizăm un cod QR cu un link malițios:

1. Accesați o platformă sau un instrument de analiză a malware-ului, cum ar fi ANY.RUN, care oferă suport pentru analiza codurilor QR;
2. Încarcați fișierul sau imaginea care conține codul QR primit pe mail în platforma de analiză. Aceasta poate fi de obicei realizată prin încărcarea fișierului sau prin furnizarea unui URL către imaginea respectivei coduri QR;
3. Platforma de analiză va procesa imaginea și extrage informațiile conținute în codul QR;
4. După ce informațiile au fost extrase, analizați dacă conținutul codului QR este legitim sau malițios. Platforma poate oferi informații suplimentare despre URL-ul sau conținutul codului QR pentru a vă ajuta să evaluezi riscul;
5. Dacă doriți să examinați conținutul URL-ului într-un mediu sigur, o metodă de analiză ar putea fi într-un browser separat cu un sandbox sau mașină virtuală.

Atacuri Bazate pe CAPTCHA

CAPTCHA este o soluție de securitate folosită pe site-uri pentru a preveni crearea de conturi false sau trimiterea de spam de către roboți automatizați. Atacatorii au reușit să exploateze acest instrument în avantajul lor.

Atacatorii utilizează tot mai des CAPTCHA-uri pentru a masca formularele de colectare a credențialelor pe site-uri false. Prin generarea a sute de nume de domenii folosind un Algoritm de Generare a Domeniilor Aleatoare (RDGA) și implementând CAPTCHA-uri de la CloudFlare, ei pot ascunde eficient aceste formulare de sistemele de securitate automate, cum ar fi web crawler-ele, care nu pot depăși CAPTCHA-urile.

O situație des întâlnită de aplicare a acestor metode este exemplul în care utilizatorii trebuie să treacă mai întâi de verificarea CAPTCHA, iar apoi sunt redirecționați către o pagină de autentificare privată Office 365 realistă, greu de distins de pagina reală.

După ce userii introduc credențialele de autentificare, sunt redirecționați către un site legitim, în timp ce atacatorii extrag credențialele către serverul lor de Comandă și Control.

Campanii de malware cu steganografie

Steganografia este practica ascunderii datelor în diferite tipuri de media, cum ar fi imagini, videoclipuri sau alte fișiere.

Un atac tipic de phishing care utilizează steganografia începe cu un e-mail atent construit pentru a părea legitim. Înăuntrul e-mailului se află un atașament, de obicei un document Word, însoțit de un link către o platformă de partajare a fișierelor precum Dropbox. În exemplul de mai jos, puteți vedea un e-mail fals de la o organizație guvernamentală columbiană.  Odată ce utilizatorul dă click pe linkul din document, descarcă o arhivă, care conține un fișier script VBS. Scriptul conține un fișier, aparent inofensiv, dar ce conține cod malițios ascuns. Odată executat, malware-ul infectează sistemul victimei.

Instituirea unui mediu sandbox

După cum am precizat mai sus, un mediu sigur de testare este sandbox-ul.

Pentru versiunile Windows 10 și 11, dezvoltatorii au inclus o funcționalitate sandbox încorporată, pe care o puteți activa fără a necesita instalarea unor aplicații terțe. Windows Sandbox reprezintă un mediu virtual care poate fi activat. Acest lucru înseamnă că, în cazul în care aveți suspiciuni cu privire la orice tip de atașament considerat suspect, puteți să-l rulați într-un mediu izolat, asigurându-vă că nu va interfera cu procesele normale și nu va compromite fișierele utile.

Pentru a activa și utiliza Windows Sandbox în Windows 11/10, puteți urma acești pași:

1. Căutați "caracteristici Windows" (windows features) în bara de căutare din bara de activități;
2.  Dați click pe rezultatul individual al căutării;
3. Bifați caseta Windows Sandbox;
4. Dați click pe butonul OK;
5. Permiteți instalarea automata;
6. Reporniți computerul;
7. Acum, căutați Windows Sandbox în bara de căutare din bara de activități și selectați intrarea corespunzătoare;
8. De pe computerul principal (gazdă), copiați fișierul executabil în mediul Windows Sandbox.

Se pare că atacatorii profită de limitările sistemelor automate de securitate, în special ale celor lipsite de capacități de analiză dinamică. Este recomandată integrarea unei zone securizate de testare pentru analiză dinamică, permițându-vă să interacționați în siguranță cu și să examinați conținutul malițios.

ANY.RUN reprezintă o platformă de analiză a malware-ului ce dispune de capacitatea de a identifica diverse tactici de phishing, oferind utilizatorilor posibilitatea de a le examina în detaliu. În paralel, un alt instrument deosebit de util în lupta împotriva amenințărilor cibernetice este Virustotal, un serviciu online ce permite analiza atașamentelor pentru a verifica dacă acestea sunt malitioase.

Prin integrarea acestor instrumente în strategiile de securitate, utilizatorii pot spori substanțial capacitatea lor de a detecta și contracara atacurile cibernetice.

Sursa1, sursa2