V čoraz viac digitalizovanom hospodárstve Spojeného kráľovstva, kde je dôvera základom všetkého, od online bankovníctva a komunikácie v rámci NHS až po právne a dodávateľské reťazce, je táto dôvera oslabovaná rastúcou hrozbou: doménami, ktoré sa podobajú originálnym.
Tieto podvodné webové adresy sú navrhnuté tak, aby napodobňovali tie legitímne a sú teraz široko používané pri útokoch prostredníctvom falšovania e-mailov, ktoré sú zamerané na britské podniky a verejné inštitúcie.
Elia Okulovski
Cyber Threat Intelligence Analyst v BlueVoyant.
Kybernetickí zločinci napríklad údajne zaregistrovali doménu, ktorá sa podobala na doménu známej logistickej platformy používanej britskými dopravcami. Táto falošná doména bola údajne takmer identická s tou legitímnou, líšiaca sa len jedným znakom alebo doménou najvyššej úrovne, ako napríklad .co namiesto .com.
Útočníci ju použili na odosielanie podvodných e-mailov a hosťovanie klonovaných prihlasovacích stránok, úspešne napodobňovali dopravcov a odkláňali skutočné zásielky. Tento podvod spôsobil rozsiahle prevádzkové narušenie a finančné straty, pričom odhady v odvetví sa pohybujú od 40 000 do viac ako 160 000 libier na jeden incident.
Tento prípad ilustruje, ako útočníci využívajú jemné variácie domén, ako je zámena písmen, pridávanie pomlčiek alebo zmena domén najvyššej úrovne (TLD), aby obišli tradičnú obranu a zneužili dôveru.
Tieto taktiky sú obzvlášť nebezpečné v odvetviach, ako je logistika, financie a právne služby, kde je koordinácia prostredníctvom e-mailu bežná a časovo citlivá.
Hoci tieto metódy nie sú nové, ich rozsah a účinnosť sa zvýšili, najmä v odvetviach, kde digitálna zmena predbieha pripravenosť na kybernetickú bezpečnosť. Britské podniky teraz čelia rastúcej hrozbe, ktorá si vyžaduje okamžité kroky.
Podceňované, ale významné skreslenie
Domény, ktoré sa podobajú originálnym, využívajú ľudské chyby, pretože si ľudia nevšímajú malé detaily online, ako sú vymenené znaky alebo zmenené rozšírenia, ako je uvedené vyššie, čo ich sťažuje na odhalenie, najmä na mobilných zariadeniach alebo keď sú pod tlakom, aby dokončili naliehavé úlohy.
Útočníci spájajú tieto jemné zmeny s presvedčivými e-mailmi, ktoré napodobňujú interný jazyk a komunikáciu, pričom používajú falošné domény na spustenie cielených phishingových kampaní.
E-mail zostáva základným komunikačným nástrojom v mnohých britských podnikoch, a práve tu domény, ktoré sa podobajú originálnym, spôsobujú najväčšie škody.
E-mail, ktorý zdanlivo pochádza od dôveryhodného vedúceho pracovníka alebo známeho dodávateľa, môže spustiť akcie, ako sú bankové prevody, obnovenie hesiel alebo odhalenie citlivých údajov.
Tieto útoky sa často nespoliehajú len na vizuálny klam, ale aj na psychologické taktiky naliehavosti, autority a známosti, ktoré majú podnietiť rýchle reakcie predtým, ako padnú otázky.
Hrozby domén, ktoré sa podobajú originálnym, umožňujú rôzne druhy podvodov. Útočníci môžu používať tieto domény na páchanie fakturačných podvodov zachytávaním alebo napodobňovaním legitímnej fakturačnej komunikácie, pričom platby presmerujú na svoje vlastné účty.
V odvetviach, ako je stavebníctvo a logistika, ktoré zahŕňajú časté a vysoké transakcie, môžu mať tieto schémy za následok značné finančné straty.
Ďalšia taktika zahŕňa napodobňovanie vedúcich pracovníkov, keď sa e-maily tvária, že pochádzajú od vedúcich pracovníkov spoločnosti, ako je generálny riaditeľ alebo finančný riaditeľ, a vyžadujú urgentné prevody finančných prostriedkov alebo dôverné správy.
Tieto žiadosti môžu obísť interné protokoly z dôvodu vnímanej autority. Do týchto schém sa často začleňujú metódy sociálneho inžinierstva, vďaka čomu sa zdajú byť bežné alebo legitímne.
Podvody s náborom sú v Spojenom kráľovstve rastúcou hrozbou, najmä preto, že diaľková práca a digitálny nábor sa stávajú normou v rôznych odvetviach. Kybernetickí zločinci čoraz viac napodobňujú pracovníkov HR z renomovaných britských firiem, často používajú domény, ktoré sa podobajú originálnym, aby nalákali uchádzačov o prácu falošnými ponukami.
Tieto podvody sú navrhnuté tak, aby získali osobné údaje, bankové údaje alebo dokonca uskutočňovali podvodné procesy nástupu. Obete sú zraniteľné voči krádeži identity, zatiaľ čo spoločnosti trpia poškodením reputácie a narušením legitímneho úsilia o získanie talentov.
Ešte znepokojivejšia je úloha domén, ktoré sa podobajú originálnym, v kampaniach zameraných na prevzatie účtov zameraných na britské podniky.
Útočníci posielajú presvedčivé žiadosti o obnovenie hesla alebo overovacie výzvy z domén, ktoré úzko napodobňujú dôveryhodné značky, čím oklamú zamestnancov, aby odovzdali svoje prihlasovacie údaje.
Keď sa útočníci dostanú do podnikových systémov, môžu extrahovať citlivé údaje, napodobňovať vedúcich pracovníkov a spúšťať ďalšie phishingové útoky.
Detekcia a obrana: Prečo nestačia základy
Samotná povaha domén, ktoré sa podobajú originálnym, sťažuje ich detekciu. Na rozdiel od zrejmých phishingových pokusov alebo škodlivého softvéru, tieto domény často nespúšťajú tradičné bezpečnostné filtre.
Mnohé z nich sú po registrácii neaktívne a aktívnymi sa stávajú až po týždňoch alebo mesiacoch, čo im umožňuje vyhnúť sa včasnej detekcii. Táto latencia v kombinácii s obrovským objemom nových registrácií domén robí manuálne sledovanie nepraktickým.
Organizácie musia prijať pokročilé metodológie detekcie, ktoré presahujú základné prístupy založené na kľúčových slovách alebo čiernych listinách. Napríklad modely strojového učenia, ktoré merajú podobnosť reťazcov medzi názvami domén, môžu pomôcť včas odhaliť jemné variácie.
Detekcia je však len prvý krok. Rovnako dôležité je monitorovanie domén v priebehu času, najmä tých, ktoré boli označené ako podozrivé, ale ešte nie sú škodlivé. Domény, ktoré spočiatku neslúžia na žiadny škodlivý účel, sa môžu aktivovať kedykoľvek. Bez neustáleho dohľadu riskujú organizácie, že budú zaskočení.
Strategické reakcie pre britské organizácie
Zložitosť dnešného prostredia kybernetických hrozieb znamená, že reaktívny postoj už nie je pre britské organizácie životaschopný.
Od phishingových kampaní v rámci NHS až po útoky zamerané na napodobňovanie finančných inštitúcií, riziká sa rýchlo vyvíjajú. Britské podniky musia prijať viacvrstvový a proaktívny obranný model, ktorý odráža sofistikovanosť moderných hrozieb aj regulačné očakávania v rámci rámcov, ako sú GDPR a ISO 27001.
Povedomie zamestnancov zostáva základným kameňom kybernetickej odolnosti. Britské firmy musia ísť nad rámec základného rozpoznávania phishingu a školiť zamestnancov, aby spochybňovali neočakávané požiadavky, a to aj tie, ktoré zdanlivo pochádzajú od známych kolegov alebo dôveryhodných dodávateľov.
Kultúra overovania, ktorá je podporená jasnými protokolmi eskalácie a nástrojmi, pomáha znížiť faktor ľudskej chyby, ktorý je základom mnohých úspešných útokov.
Akonáhle je doména, ktorá sa podobá originálnej, odhalená, je nevyhnutná rýchla akcia. Právne, IT a oddelenia dodržiavania predpisov musia koordinovať zhromažďovanie dôkazov, predkladanie žiadostí o stiahnutie a zmierňovanie poškodenia reputácie.
Organizácie by sa mali zamerať na rýchle stiahnutie na úrovni servera, aby zabránili útočníkom pokračovať v používaní entity a zameriavať sa na značku. Tieto akcie najlepšie vykonáva dôveryhodný partner v oblasti kybernetickej bezpečnosti s hlbokými odbornými znalosťami v oblasti stiahnutí.
Investície do spravodajských informácií o hrozbách a spolupráca s partnermi v oblasti kybernetickej bezpečnosti môžu tiež poskytnúť rozsah a odborné znalosti, ktoré mnohým interným tímom chýbajú. Pre väčšie organizácie sa budovanie interných kapacít na sledovanie registrácií domén a monitorovanie pokusov o napodobňovanie u partnerov a dodávateľov stáva štandardnou osvedčenou praxou.
Prečo musia britské podniky viesť s ostražitosťou
Hrozba od domén, ktoré sa podobajú originálnym, je učebnicovým príkladom toho, ako malé zmeny v digitálnom ekosystéme môžu viesť k nadmerným rizikám.
Organizácie, ktoré považujú ochranu digitálnej identity za základný pilier bezpečnostnej stratégie, budú v lepšej pozícii na obranu nielen svojich sietí, ale aj svojej reputácie a dôvery zákazníkov.
Nejde o výzvu, ktorú je možné zadať externe, ale musí sa stať obchodnou nevyhnutnosťou. Digitálne bojisko je o podvode, psychológii a rýchlosti. Britské podniky, ktoré to rýchlo pochopia, sa stanú odolnejšími, a to aj v budúcnosti.
