Cyberprzestępcy dostosowują swoje metody do aktualnych wydarzeń, wykorzystując tematy związane z COVID-19 do oszukiwania ofiar. Mimo, że ich metody się zmieniają, podstawowe zagrożenia pozostają te same, a nawet ewoluują i narastają. Zachowanie czujności wobec cyberataków jest obecnie niezwykle istotne. Sąd Dystryktowy USA dla Wschodniego Dystryktu Wirginii ujawnił niedawno dokumenty, które szczegółowo opisują działania Microsoft zmierzające do powstrzymania
cyberprzestępców wykorzystujących pandemię COVID-19. Ich celem okazali się klienci Microsoft w 62 krajach na całym świecie. Proces cywilny zakończył się wydaniem nakazu sądowego pozwalającego firmie Microsoft na przejęcie kontroli nad kluczowymi domenami w infrastrukturze przestępców, tak aby nie mogły być więcej wykorzystywane do przeprowadzania cyberataków.
Jednostka Microsoft ds. walki z cyberprzestępstwami po raz pierwszy zaobserwowała działalność tej grupy w grudniu 2019 r. Wdrożyła ona nowy, zaawansowany schemat phishingu, który miał zaatakować konta klientów Microsoft. Przestępcy chcieli uzyskać dostęp do poczty elektronicznej, list kontaktów, poufnych dokumentów i innych cennych informacji. Microsoft za pomocą środków technicznych zablokował ich działalność i dezaktywował złośliwą aplikację wykorzystywaną do ataków. Jednak niedawno firma zaobserwowała wznowienie działalności tej grupy. Tym razem, aby dotrzeć do ofiar, cyberprzestępcy wykorzystali nawiązujące do COVID-19 wiadomości e-mail typu phishing.
To kolejna forma ataku na biznesową pocztę e-mail (BEC), która w ostatnich latach stała się bardziej złożona, wyrafinowana i częstsza. Według raportu FBI na temat przestępczości internetowej z 2019 r., naruszenia dotyczące przestępstw na biznesową pocztę e-mail kosztowały firmy ponad 1,7 mld dolarów. To prawie połowa wszystkich strat finansowych spowodowanych cyberprzestępczością. Rosnące szkody gospodarcze powodowane przez cyberprzestępców muszą być brane pod uwagę i konfrontowane zarówno przez sektor publiczny, jak i prywatny.
Cyberprzestępcy zaprojektowali e-maile typu phishing tak, aby przypominały one pocztę pochodzącą od pracodawcy lub innego zaufanego źródła. Często były one kierowane do liderów biznesowych z różnych branż, próbując naruszyć ich tożsamość, kraść informacje i przekierowywać przelewy. Gdy grupa zaczęła realizować ten mechanizm, e-maile typu phishing zawierały informacje związane z ogólnymi działaniami biznesowymi. Na przykład złośliwe łącze w wiadomości e-mail nosiło tytuł “Raport Q4 – Dec19”.
Atak na biznesową pocztę e-mail
Jednak ostatnio e-maile typu phishing zawierały wiadomości dot. COVID-19. Był to sposób na wykorzystanie obaw finansowych spowodowanych pandemią i nakłonienie ofiar do otwierania złośliwych linków. Wykorzystywano terminy takie jak „Bonus COVID-19”, jak widać poniżej:
E-mail wykorzystujący temat związany z COVID-19 do phishingu
Po kliknięciu w zainfekowany link, ofiary były proszone o przyznanie dostępu do kontrolowanej przez cyberprzestępców złośliwej aplikacji internetowej. W rzeczywistości, cyberprzestępcy uzyskiwali dostęp do konta Microsoft 365 użytkownika.
Złośliwa aplikacja internetowa
Microsoft podejmuje wiele działań mających na celu monitorowanie i blokowanie złośliwych aplikacji internetowych, których działanie wzbudza podejrzenia. Ponadto, firma cały czas doskonali zabezpieczenia. W przypadkach, gdy przestępcy nagle skalują swoją działalność i dostosowują swoje techniki w celu ominięcia wbudowanych mechanizmów obronnych Microsoft, konieczne staje się wykorzystanie dodatkowych środków, takich jak postępowanie sądowe. Ta wyjątkowa sprawa cywilna przeciwko atakom na biznesową pocztę e-mail związanym z COVID-19 pozwoliła nam na proaktywne wyłączenie kluczowych domen, które stanowią część złośliwej infrastruktury przestępców. To istotny krok w kierunku ochrony użytkowników.
Aby jeszcze lepiej chronić się przed phishingiem zalecamy dwuskładnikowe uwierzytelnienie na wszystkich biznesowych i osobistych kontach e-mail. Warto również nauczyć się rozpoznawania phishingu. Ponadto zalecamy użycie programu SmartScreen oraz zablokowanie automatycznego przesyłania wiadomości e-mail. Korzystając z zasobów Microsoft, firmy mogą dowiedzieć się, jak rozpoznawać tego typu ataki oraz jak na nie reagować, a także jakie podjąć kroki w celu zwiększenie bezpieczeństwa swoich organizacji.