Οι ειδικοί στο phishing αυξάνουν το παιχνίδι τους για να κυνηγήσουν φάλαινες με C-suite

Οι επιθέσεις phishing δεν είναι κάτι καινούργιο. Ωστόσο, τα τελευταία χρόνια, υπήρξε μια απότομη αύξηση σε έναν συγκεκριμένο τύπο: φαλαινοθηρία phishing. Ενώ το phishing παραδοσιακά ρίχνει ένα ευρύ δίχτυ, στοχεύοντας οποιοδήποτε ανυποψίαστο άτομο, η φαλαινοθηρία κυνηγά τα μεγάλα ψάρια: στελέχη C-suite και ανώτερα στελέχη ενός οργανισμού. Αυτές οι επιθέσεις απαιτούν περισσότερο χρόνο, προσπάθεια και τεχνική τεχνογνωσία από τους επιτιθέμενους, αλλά οι ανταμοιβές είναι πολύ μεγαλύτερες.

Οι επιθέσεις φαλαινοθηρίας είναι συνήθως πιο εξελιγμένες, χρησιμοποιώντας μεθόδους όπως πλαστοπροσωπίες CEO, τεχνολογία deepfake και στοχευμένο spear-phishing. Τα πρόσφατα στοιχεία το δείχνουν Το 89% των email ηλεκτρονικού ψαρέματος τώρα περιλαμβάνουν την πλαστοπροσωπία κάποιου οικείου στον παραλήπτη. Περίπου το 16% αυτών των μηνυμάτων ηλεκτρονικού ταχυδρομείου περιλαμβάνει τον εισβολέα που υποδύεται ως συνάδελφο. Στην περίπτωση της φαλαινοθηρίας, αυτό σημαίνει ότι στοχεύετε ένα στέλεχος ή κάποιον με πρόσβαση σε σημαντικούς πόρους όπως τραπεζικούς λογαριασμούς.

Το κόστος του να πέσεις θύμα μιας επίθεσης phishing μπορεί να είναι σημαντικό. Το FBI ανέφερε Ζημίες 52 εκατομμυρίων δολαρίων από απάτες phishing μόνο το 2022. Τέτοιες δαπάνες δεν βαρύνουν μόνο τις επιχειρήσεις αλλά και τους πελάτες τους, για να μην αναφέρουμε τους πόρους που πρέπει να δαπανηθούν για την πρόληψη.

Αυτοί οι τύποι επιθέσεων είναι δύσκολο να αγνοηθούν, δεδομένης της πιθανής κλίμακας των οικονομικών διακυβεύσεων και της φήμης που εμπλέκονται. Για τις επιχειρήσεις, ωστόσο, προσφέρουν την ευκαιρία να εστιάσουν εκ νέου τις προσπάθειές τους στην προστασία των πιο πολύτιμων στόχων στους οργανισμούς τους. Σε αυτό το άρθρο, θα εξερευνήσουμε αυτήν την αυξανόμενη τάση και θα προσφέρουμε πρακτικές συμβουλές για το πώς οι οργανισμοί μπορούν να ενισχύσουν την άμυνά τους.

Γιατί η φαλαινοθηρία είναι τάση;

Το ηλεκτρονικό “ψάρεμα” γενικά δημιουργεί ένα ευρύ δίχτυ, με τους εισβολείς να βασίζονται στο τεράστιο μέγεθος της λίστας αλληλογραφίας τους για ένα ανυποψίαστο θύμα να κάνει κλικ σε έναν σύνδεσμο. Αντίθετα, το phishing φαλαινοθηρικών είναι ιδιαίτερα στοχευμένο και εξατομικευμένο. Οι επιτιθέμενοι αφιερώνουν χρόνο για να ερευνήσουν τα θύματά τους.

Αυτό περιλαμβάνει τη συλλογή προσωπικών στοιχείων, την κατανόηση των επιχειρηματικών τους ευθυνών, την ανάλυση των συνηθειών ηλεκτρονικού ταχυδρομείου και τη δημιουργία εξαιρετικά εξατομικευμένου περιεχομένου για να εξαπατήσουν τους παραλήπτες. Αυτό το επίπεδο προσπάθειας μπορεί να φαίνεται απαιτητικό, αλλά αποδίδει σημαντικά όταν πετύχει.

Σε τελική ανάλυση, η φαλαινοθηρία στοχεύει άτομα που έχουν τη δυνατότητα να εγκρίνουν οικονομικές μεταφορές ή να έχουν πρόσβαση σε ευαίσθητα εταιρικά δεδομένα, καθιστώντας τα πρωταρχικούς υποψηφίους για κακόβουλους παράγοντες που αναζητούν μεγάλες απολαβές. Ομοίως, τα στελέχη είναι πιθανώς λιγότερο πιθανό να έχουν υποβληθεί σε ενδελεχή εκπαίδευση ανίχνευσης απειλών και, επειδή είναι τόσο απασχολημένοι, είναι πιο πιθανό να παραβλέψουν ενδεικτικά σημάδια απάτης.

Μια περίπτωση που υπογραμμίζει την αυξανόμενη πολυπλοκότητα των επιθέσεων φαλαινοθηρίας συνέβη το 2023 όταν μια πολυεθνική εταιρεία στο Χονγκ Κονγκ εξαπατήθηκε για 25 εκατομμύρια δολάρια μέσω deepfake βιντεοκλήσεων που υποδύονται τον CFO και άλλα βασικά εταιρικά στελέχη. Ένας οικονομικός διευθυντής με πρόσβαση στα κεφάλαια παραπλανήθηκε για να μεταφέρει αυτό το μεγάλο χρηματικό ποσό φαινομενικά κατόπιν εντολής των αφεντικών.

Τέτοιες επιθέσεις βασίζονται συχνά σε συναισθηματική χειραγώγηση, δημιουργία επείγουσας ανάγκης ή εκμετάλλευση επιχειρηματικών σχέσεων για να εξαπατήσουν τα θύματα να λάβουν παρορμητικές αποφάσεις, όπως η εξουσιοδότηση τραπεζικών μεταφορών ή η παροχή εμπιστευτικών στοιχείων σύνδεσης. Σε εταιρικό περιβάλλονόπου δεν γνωρίζει κάθε ηγέτης επιχείρησης κάθε στέλεχος, οι κίνδυνοι είναι ακόμη πιο ισχυροί.

Για τους επιτιθέμενους, η ελκυστικότητα αυτών των στόχων υψηλής αξίας είναι ξεκάθαρη. Όσο περισσότερη προσπάθεια δαπανάται για την εξατομίκευση της επίθεσης, τόσο μεγαλύτερη είναι η πιθανή οικονομική απόδοση. Σε πολλές περιπτώσεις, το τεράστιο μέγεθος της ζημίας, τόσο οικονομική όσο και φήμη, μπορεί να έχει μακροπρόθεσμες συνέπειες για την εταιρεία-θύμα.

Ένα εξελισσόμενο βιβλίο παιχνιδιού

Οι τακτικές phishing έχουν γίνει πολύ πιο εξελιγμένες τα τελευταία χρόνια. Αυτό οφείλεται στην αυξημένη χρήση της τεχνητής νοημοσύνης (AI) και των τεχνολογιών μηχανικής μάθησης. Μια αξιοσημείωτη εξέλιξη είναι η χρήση των deepfakes, στα οποία οι επιτιθέμενοι χρησιμοποιούν φίλτρα που βασίζονται σε AI για να υποδυθούν τα στελέχη ή άλλα αξιόπιστα πρόσωπα σε βιντεοκλήσεις.

Ο τεχνολογία για live deepfake κλήσεις είναι πλέον ευρέως διαθέσιμο και συχνά είναι τόσο πειστικό που το θύμα συχνά δεν έβρισκε λόγο να αμφισβητήσει την αυθεντικότητά του, ειδικά όταν το αίτημα φαίνεται νόμιμο. Αυτή η τεχνική ήταν ένας βασικός παράγοντας στην υπόθεση του Χονγκ Κονγκ του 2023, όπου οι επιτιθέμενοι προσποιήθηκαν ότι ήταν ο οικονομικός διευθυντής σε μια βαθιά ψεύτικη βιντεοκλήση για να εξουσιοδοτήσουν την τραπεζική μεταφορά.

Ωστόσο, τα Deepfakes είναι μόνο ένα μέρος της εξίσωσης. Οι φαλαινοθήρες χρησιμοποιούν επίσης πλαστές διευθύνσεις email, προφίλ κοινωνικών μέσων, ακόμη και αριθμούς τηλεφώνου για να κρύψουν περαιτέρω την ταυτότητά τους. Ο στόχος είναι να γίνει η επίθεση όσο το δυνατόν πιο πειστική, βασιζόμενος στην εμπιστοσύνη του θύματος στις επικοινωνίες του για να παρακάμψει τα πρωτόκολλα ασφαλείας.

Οι επιτιθέμενοι βελτιώνονται επίσης στο να δημιουργούν μια αίσθηση επείγοντος. Δημιουργώντας μηνύματα που φαίνεται να προέρχονται απευθείας από τον Διευθύνοντα Σύμβουλο ή άλλο ανώτερο στέλεχος, ωθούν άλλα στελέχη να ενεργήσουν γρήγορα, χωρίς να μαντέψουν τις ενέργειές τους. Αυτή η τεχνική αναφέρεται συχνά ως «απάτη CEO» και παραμένει μια από τις πιο κοινές στρατηγικές που χρησιμοποιούνται σε επιθέσεις φαλαινοθηρίας.

Αυτή η απάτη εκμεταλλεύεται την ιεραρχική δομή των επιχειρήσεων, σύμφωνα με την οποία οι άνθρωποι είναι πιο πιθανό να συμμορφωθούν με ένα επείγον αίτημα ενός προϊσταμένου.

Προστασία του οργανισμού σας

Καθώς η πολυπλοκότητα του phishing υψηλού επιπέδου αυξάνεται, το ίδιο θα πρέπει να ισχύει και για τις άμυνες που έχουν σχεδιαστεί για την προστασία από αυτό. Οι ηγέτες επιχειρήσεων και οι επαγγελματίες ασφάλειας θα πρέπει να εφαρμόσουν μια πολυεπίπεδη προσέγγιση για την προστασία των ευαίσθητων δεδομένων και την πρόληψη απατών που στοχεύουν τα στελέχη. Εδώ είναι μερικά κρίσιμα βήματα.

Εκπαίδευση και ευαισθητοποίηση εργαζομένων. Ένας από τους πιο αποτελεσματικούς τρόπους άμυνας από επιθέσεις φαλαινοθηρίας είναι η εκπαίδευση των εργαζομένων, ειδικά εκείνων που βρίσκονται σε οικονομικά και ηγετικές θέσεις, σχετικά με το πώς να εντοπίζουν ύποπτες δραστηριότητες. Η εκπαίδευση θα πρέπει να καλύπτει τον εντοπισμό κόκκινων σημαιών, όπως άγνωστες διευθύνσεις αποστολέων, απροσδόκητα αιτήματα ή τακτικές υψηλής πίεσης. Οι τακτικές ασκήσεις προσομοίωσης phishing μπορούν να βοηθήσουν στην ενίσχυση αυτής της γνώσης και στη διατήρηση της ευαισθητοποίησης σε υψηλά επίπεδα.

Έλεγχος ταυτότητας πολλαπλών παραγόντων. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι ένα από τα απλούστερα αλλά πιο αποτελεσματικά εργαλεία για την αποτροπή εισβολέων, ειδικά όταν πρόκειται για την προστασία λογαριασμών υψηλής αξίας. Η απαίτηση πολλαπλών μορφών επαλήθευσης (π.χ. κωδικός πρόσβασης συν βιομετρικός έλεγχος ταυτότητας ή έλεγχος ταυτότητας βάσει διακριτικών) προσθέτει ένα επιπλέον επίπεδο προστασίας που μπορεί να καταστήσει πιο δύσκολη την παράκαμψη των εισβολέων.

Λογισμικό φιλτραρίσματος email και κατά του phishing. Η εφαρμογή προηγμένων συστημάτων φιλτραρίσματος email μπορεί να βοηθήσει στον εντοπισμό ύποπτων μηνυμάτων προτού φτάσουν στα εισερχόμενα ενός υπαλλήλου. Το λογισμικό κατά του phishing μπορεί να επισημάνει διευθύνσεις email που δεν συνάδουν με τον τομέα της εταιρείας, ειδοποιώντας τους υπαλλήλους για πιθανές απόπειρες πλαστοπροσωπίας. Αυτά τα συστήματα θα πρέπει να ρυθμιστούν με ακρίβεια για να ανιχνεύουν ανεπαίσθητα σημάδια ηλεκτρονικού ψαρέματος (phishing), όπως ονόματα τομέα με ελαφρώς ανορθόγραφα ονόματα ή ασυνήθιστα συνημμένα.

Πρωτόκολλα απόκρισης και αναφοράς περιστατικών. Η ύπαρξη ενός σαφούς πρωτοκόλλου για την αναφορά ύποπτων επικοινωνιών και την απόκριση σε πιθανές παραβιάσεις της ασφάλειας είναι ζωτικής σημασίας. Αυτό περιλαμβάνει τη δημιουργία μιας αλυσίδας εντολών για την επαλήθευση απροσδόκητων αιτημάτων και τη διασφάλιση ότι όλοι οι εργαζόμενοι γνωρίζουν τα βήματα που πρέπει να λάβουν εάν λάβουν ένα ύποπτο email, μήνυμα κειμένου ή κλήση.

Διαχείριση Κινδύνων Τρίτων. Οι εισβολείς δεν στοχεύουν μόνο έναν οργανισμό συγκεκριμένα, αλλά μπορούν επίσης να στοχεύσουν τρίτους προμηθευτές που έχουν πρόσβαση στα εταιρικά δίκτυα, επομένως είναι σημαντικό να διαχειρίζεστε αυτές τις σχέσεις προσεκτικά. Οι τακτικοί έλεγχοι ασφαλείας, οι ισχυρές συμβατικές υποχρεώσεις και οι σαφείς πολιτικές κοινής χρήσης δεδομένων μπορούν να συμβάλουν στον μετριασμό του κινδύνου που ενέχουν εξωτερικά μέρη.

Παραμένοντας μπροστά από την καμπύλη

Καθώς οι επιθέσεις phishing φαλαινοθηρικών συνεχίζουν να αυξάνονται, οι οργανισμοί πρέπει να είναι προορατικοί για την ενίσχυση της άμυνάς τους. Οι εξελισσόμενες τακτικές που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου απαιτούν μια πολυεπίπεδη, ολοκληρωμένη προσέγγιση που υπερβαίνει τα παραδοσιακά μέτρα ασφαλείας. Η προστασία των στελεχών του C-suite και άλλων στόχων υψηλής αξίας δεν είναι πλέον προαιρετική, αλλά μάλλον ένα κρίσιμο μέρος της διαφύλαξης της οικονομικής σταθερότητας, των δεδομένων και της φήμης ενός οργανισμού.

Εστιάζοντας στη συνεχή εκπαίδευση, εφαρμόζοντας προηγμένες τεχνολογικές λύσεις και αναπτύσσοντας ισχυρά σχέδια αντιμετώπισης περιστατικών, οι επιχειρήσεις μπορούν να ελαχιστοποιήσουν τον κίνδυνο να πέσουν θύματα αυτών των εξαιρετικά εξελιγμένων επιθέσεων. Η προετοιμασία είναι το κλειδί και η παραμονή μπροστά από τις αναδυόμενες τάσεις θα δώσει στον οργανισμό σας μια ευκαιρία να παλέψει.

Πίστωση επιλεγμένης εικόνας: Kasia Derenda/Unsplash