BezpieczeństwoZagrożenie miesiąca: ataki próbne > Robert Kamiński Opublikowane 23 listopada 20210 0 556 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Aby zwiększyć ukierunkowanie i skuteczność phishingu, napastnicy zaczęli badać potencjalne ofiary, gromadząc informacje, które zwiększają prawdopodobieństwo udanego ataku. Ataki próbne to jedna z technik, które służą do testowania adresów e-mail i sprawdzania, kto jest skłonny odpowiedzieć.Według analizy przeprowadzonej przez badaczy z firmy Barracuda, wśród 10 500 przeanalizowanych organizacji nieco ponad 35 proc. było we wrześniu 2021 r. celem przynajmniej jednego ataku próbnego, przy czym taka wiadomość przyszła średnio na trzy różne skrzynki pocztowe w firmie.Oto sposoby wykorzystywania ataków próbnych, techniki, które pomagają im uniknąć wykrycia oraz metody wykrywania, obrony i łagodzenia skutków tego typu ataków.Wyróżnione zagrożenieAtaki próbne — Ataki próbne to klasa zagrożeń polegających na tym, że napastnicy próbują zgromadzić informacje potrzebne do planowania przyszłych ataków ukierunkowanych.Ataki próbne, nazywane również atakami rozpoznawczymi, to zwykle wiadomości e-mail z bardzo krótką zawartością lub nawet całkowicie pozbawione treści. Ich celem jest potwierdzenie istnienia konta e-mail ofiary poprzez nieotrzymanie tzw. zwrotki, czyli wiadomości z informacją o niemożności doręczenia maila albo zaangażowanie ofiary w konwersację, która może doprowadzić do wyłudzenia pieniędzy albo wycieku poświadczeń.Ponieważ tego typu zagrożenia nie zawierają prawie żadnego tekstu, linków phishingowych, czy też złośliwych załączników, są one trudne do wykrycia przez konwencjonalne detektory phishingu.Co więcej, aby uniknąć wykrycia, napastnicy zwykle używają nowych kont e-mail w bezpłatnych serwisach pocztowych, takich jak Gmail, Yahoo, lub Hotmail. Wiadomości te są wysyłane w niewielkich ilościach, a nie w dużych seriach, aby ominąć detektory wykrywające wysyłki masowe lub anomalie.Choć ataki próbne nadal są stosunkowo nieliczne, nie są niespotykane. Według analizy przeprowadzonej przez badaczy z firmy Barracuda, we wrześniu 2021 r., nieco ponad 35 proc. spośród 10 500 przeanalizowanych organizacji było celem przynajmniej jednego takiego ataku przy czym średnio daną wiadomość otrzymały trzy skrzynki pocztowe na firmę.SzczegółyChoć było wiadomo, że ataki próbne zwykle poprzedzają jakiś rodzaj ukierunkowanego ataku phishingowego, nasz zespół badawczy przeprowadził eksperyment, odpowiadając atak, który przyszedł do prywatnej skrzynki pocztowej naszego pracownika.Pierwotny atak z 10 sierpnia 2021 r. był wiadomością e-mail z tematem „HI” i pustą treścią.W ramach eksperymentu 15 sierpnia 2021 r. pracownik firmy Barracuda odpowiedział wysyłając wiadomość o treści „Hi, how may I help you?” („Cześć, jak mogę Ci pomóc?”). W ciągu 48 godzin, 17 sierpnia 2021 r., pracownik ten stał się celem ukierunkowanego atak phishingowego. Oryginalna, pusta wiadomość miała tylko na celu potwierdzenie istnienia skrzynki pocztowej oraz skłonności ofiary do odpowiadania na maile.Jak bronić się przed atakami próbnymi?W celu identyfikowania i blokowania ataków próbnych należy wdrożyć sztuczną inteligencję. Tradycyjna technologia filtrowania jest praktycznie bezużyteczna przeciwko atakom próbnym. Wiadomości te nie zawierają złośliwej zawartości i zwykle przychodzą z Gmaila, który cieszy się dobrą reputacją. Znacznie skuteczniejsza jest obrona oparta na sztucznej inteligencji. Wykorzystuje ona do ochrony użytkowników dane gromadzone z wielu źródeł, w tym schematy kontaktów, oraz analizę na poziomie sieci.Szkolenie użytkowników w zakresie rozpoznawania i zgłaszania ataków próbnych. Część takich ataków może wylądować w skrzynkach pocztowych użytkowników, warto więc przeszkolić ich, jak te ataki rozpoznawać i ignorować. Przykłady ataków próbnych warto dołączać do szkoleń w zakresie świadomości zagrożeń oraz kampanii symulacyjnych. Należy też zachęcać użytkowników do zgłaszania takich ataków je personelowi IT i zespołom ds. bezpieczeństwa.Ataki próbne nie powinny pozostawać w skrzynkach użytkowników. Zidentyfikowane ataki próbne należy jak najszybciej usunąć ze skrzynek pocztowych, zanim użytkownicy otworzą wiadomość lub na nią odpowiedzą. W szybkim identyfikowaniu i usuwaniu tych wiadomości może pomóc zautomatyzowana reakcja na incydenty, która zapobiega rozprzestrzenianiu się ataku próbnego oraz przyszłym atakom dedykowanym.
