Аномальная безопасность: Microsoft возглавила список наиболее часто выдаваемых за бренды в фишинговых атаках

30 августа 2023 г.

Значительная часть атак социальной инженерии, таких как фишинг, включает в себя маскировку метафорического волка в овечьей шкуре. Согласно новому исследованию Abnormal Security, в котором изучались тенденции подражания бренду и фишинга учетных данных в первой половине 2023 года, брендом Microsoft чаще всего злоупотребляли в качестве камуфляжа при фишинговых атаках.

Из 350 брендов, подделанных в ходе фишинговых попыток и заблокированных Abnormal, имя Microsoft использовалось в 4,31% (около 650 000) из них. Согласно отчету, злоумышленники отдают предпочтение Microsoft из-за возможности проникновения в среду Microsoft в организации.

Подразделение по угрозам Abnormal также проследило, как генеративный ИИ все чаще используется для построения атак социальной инженерии. В исследовании рассматривается, как инструменты искусственного интеллекта позволяют злоумышленникам намного проще и быстрее создавать убедительные фишинговые электронные письма, подделывать веб-сайты и писать вредоносный код.

Перейти к:

Топ-10 брендов, выдаваемых за себя в результате фишинговых атак Злоумышленники все чаще полагаются на генеративный искусственный интеллект Как фишинговые атаки, ориентированные на учетные данные, приводят к устойчивости BEC растет вместе с изощренностью атак Если не мертвые раздачи, то явные признаки фишинга

Топ-10 брендов, выдаваемых за себя в результате фишинговых атак

Хотя 4,31% кажутся небольшой цифрой, директор по информационной безопасности Abnormal Security Майк Бриттон отметил, что это все равно в четыре раза больше, чем объем выдачи себя за другое лицо, второго по популярности бренда, PayPal, который выдавал себя за другое лицо в 1,05% атак, отслеженных Abnormal. Следом за Microsoft и PayPal в длинном хвосте вымышленных брендов в 2023 году шли:

Майкрософт: 4,31% PayPal: 1,05% Фейсбук: 0,68% Документ-подпись: 0,48% Интуиция: 0,39% ДХЛ: 0,34% Макафи: 0,32% Гугл: 0,30% Амазонка: 0,27% Оракул: 0,21%

Best Buy, American Express, Netflix, Adobe и Walmart — вот некоторые из других вымышленных брендов в списке из 350 компаний, используемых в фишинге учетных данных и других атаках социальной инженерии, отмеченных Abnormal за последний год.

Злоумышленники все чаще полагаются на генеративный искусственный интеллект

Одним из аспектов подражания бренду является способность имитировать тон, язык и образы бренда. Как показывает отчет Abnormal, злоумышленники, занимающиеся фишингом, делают это лучше благодаря легкому доступу к генеративным инструментам искусственного интеллекта. Чат-боты с генеративным искусственным интеллектом позволяют злоумышленникам создавать не только эффективные электронные письма, но и создавать идеальные веб-сайты с поддельными брендами, наполненные соответствующими изображениям, логотипами и текстами бренда, чтобы соблазнить жертв ввести свои сетевые учетные данные.

Например, Бриттон, автор отчета, написал, что Abnormal обнаружила атаку с использованием генеративного искусственного интеллекта для выдачи себя за логистическую компанию DHL. Чтобы украсть данные кредитной карты жертвы, в фиктивном электронном письме жертве предлагалось перейти по ссылке и оплатить стоимость доставки «неоплаченных таможенных пошлин (рис. А)».

Рисунок А

В ходе фишинговой атаки с подменой DHL компания Abnormal определила, что слова, выделенные зеленым, скорее всего, созданы искусственным интеллектом. Изображение: Аномальная безопасность.

Как Abnormal выбрасывает отпечатки пальцев генеративного ИИ в фишинговые электронные письма

Бриттон объяснил TechRepublic, что Abnormal отслеживает ИИ с помощью недавно запущенного CheckGPT, внутреннего инструмента постобнаружения, который помогает определить, когда угрозы электронной почты, включая фишинговые письма и другие атаки с использованием социальной инженерии, вероятно, были созданы с использованием генеративных инструментов ИИ.

«CheckGPT использует набор больших языковых моделей с открытым исходным кодом для анализа вероятности того, что сообщение электронной почты создала генеративная модель искусственного интеллекта», — сказал он. «Система сначала анализирует вероятность того, что каждое слово в сообщении было сгенерировано моделью ИИ, учитывая контекст, который ему предшествует. Если вероятность постоянно высока, это является сильным потенциальным индикатором того, что текст был сгенерирован ИИ».

Злоумышленники используют генеративный искусственный интеллект для кражи учетных данных

По словам Бриттона, использование ИИ злоумышленниками включает в себя фишинг учетных данных, взлом деловой электронной почты и атаки с мошенничеством со стороны поставщиков. Хотя инструменты искусственного интеллекта также можно использовать для создания веб-сайтов, выдаваемых за другое лицо, «обычно они дополняют электронную почту как основной механизм атаки», — сказал он. «Мы уже видим, как эти атаки ИИ разыгрываются — недавно компания Abnormal опубликовала исследование, показывающее ряд электронных писем, содержащих язык, предположительно сгенерированный ИИ, включая BEC и фишинговые атаки с учетными данными». Он отметил, что ИИ может исправить неработающие подсказки: опечатки и вопиющие грамматические ошибки.

«Кроме того, представьте, что злоумышленники вводят фрагменты истории электронной почты своей жертвы или содержимое профиля LinkedIn в свои запросы ChatGPT. Это привносит в картину очень персонализированный контекст, тон и язык, что делает электронные письма BEC еще более обманчивыми», — добавил Бриттон.

СМОТРИТЕ: ИИ против ИИ: следующий фронт фишинговых войн (TechRepublic)

Насколько сложно создать эффективные методы взлома электронной почты с помощью ИИ? Не очень. В конце 2022 года исследователи из тель-авивской компании Check Point продемонстрировали, как можно использовать генеративный ИИ для создания жизнеспособного фишингового контента, написания вредоносного кода на Visual Basic для приложений и макросов для документов Office и даже создания кода для операций обратной оболочки (рис. B). ).

Рисунок Б

Исследователи Check Point создали эффективное фишинговое письмо с помощью ChatGPT. Изображение: Программное обеспечение Check Point

Они также опубликовали примеры злоумышленников, использующих ChatGPT для создания инструментов для кражи информации и инструментов шифрования (рис. C).

Рисунок С

Киберпреступник показывает, как он создал инфокрада с помощью ChatGPT. Изображение: Программное обеспечение Check Point

Как фишинговые атаки, ориентированные на учетные данные, приводят к BEC

Бриттон писал, что фишинговые атаки учетных данных пагубны отчасти потому, что они являются первым шагом на пути злоумышленника к достижению устойчивости сети, то есть способности злоумышленника занять паразитическое, невидимое место жительства внутри организации. Он отметил, что, например, когда злоумышленники получают доступ к учетным данным Microsoft, они могут войти в корпоративную среду Microsoft 365, чтобы взломать Outlook или SharePoint и провести дальнейшие BEC-атаки и атаки с мошенничеством со стороны поставщиков.

«Фишинговые атаки учетных данных особенно вредны, поскольку обычно являются первым шагом в гораздо более вредоносной кампании», — пишет Бриттон.

Поскольку постоянные злоумышленники могут притворяться законными пользователями сети, они также могут осуществлять перехват потоков, когда злоумышленники внедряются в существующую корпоративную электронную переписку. Эта тактика позволяет злоумышленникам внедряться в строки электронной почты и перехватывать их для запуска дальнейших фишинговых атак, мониторинга электронной почты, изучения командной цепочки организации и нападения на тех, кто, например, санкционирует банковские переводы.

«Когда злоумышленники получают доступ к банковским учетным данным, они могут получить доступ к банковскому счету и перевести средства со счета своей жертвы на свой собственный», — отметил Бриттон. По его словам, поскольку учетные данные учетной записи в социальной сети были украдены с помощью фишинговых атак, злоумышленники могут использовать личную информацию, содержащуюся в учетной записи, для вымогательства у жертв денег, чтобы они заплатили деньги за сохранение конфиденциальности своих данных.

BEC растет вместе с изощренностью атак по электронной почте

Бриттон отметил, что успешные эксплойты BEC являются ключевым средством для злоумышленников украсть учетные данные цели с помощью социальной инженерии. К сожалению, по данным Abnormal, количество BEC растет, продолжая пятилетнюю тенденцию. Microsoft Threat Intelligence сообщила, что в период с апреля 2022 года по апрель 2023 года она обнаружила 35 миллионов попыток компрометации корпоративной электронной почты, в среднем 156 000 попыток ежедневно.

Отчет Splunk о состоянии безопасности за 2023 год, основанный на глобальном опросе 1520 руководителей служб безопасности и ИТ, которые тратят половину или более своего времени на вопросы безопасности, показал, что за последние два года 51% зарегистрированных инцидентов были BEC — почти 10% увеличение по сравнению с 2021 годом, за которым следуют атаки программ-вымогателей и подделка веб-сайтов.

Также растет изощренность атак по электронной почте, включая использование взлома финансовой цепочки поставок, при котором злоумышленники выдают себя за поставщиков целевой организации, например, чтобы потребовать оплату счетов — явление, о котором Abnormal сообщил в начале этого года.

SEE: Новый фишинг и BEC усложняются, обходят MFA (TechRepublic)

Если не мертвые раздачи, то явные признаки фишинга

В отчете «Ненормальное» говорится, что организациям следует внимательно следить за электронными письмами от списка часто подделываемых брендов, который включает в себя:

Убедительные предупреждения о возможности потери доступа к аккаунту. Ложные оповещения о мошеннической деятельности. Требует авторизоваться по предоставленной ссылке.

---

Оригинал