התקפות דיוג (Phishing) מתרחשות בכל מקום, בין אם אנחנו עובדים בתאגיד בינלאומי או בסניף מקומי קטן של רשת קמעונאית. למרבה המזל, העובדים של היום כבר למדו לאתר ניסיונות פישינג, במיוחד אלה המגיעים עם הודעות דוא"ל. רק 2.9% מהעובדים יקליקו על הודעת דוא"ל שמנסה ל"דוג" מהם מידע פרטי, כך לפי הדוח האחרון של Verizon DBIR. עם זאת, מתקפות על כמה חברות טכנולוגיה גדולות ממחישות את מידת התחכום שאליה הגיעו מזימות דיוג הפועלות במספר רב של דרכים.
אפשר להתייחס לדיוג ממספר נקודות מבט ויש רשימה שמתארכת והולכת של טקטיקות, טכניקות ונהלי התקפה (TTPs). טקטיקה שעשויה לחסום ניסיון דיוג אחד עלולה לא להיות אפקטיבית בניסיון אחר, מה שמחייב שימוש בגישת שכבות הגנה. ההבנה באיזה גורם צריך להתמקד, ומתי, יכולה לעזור לארגונים להתגונן טוב יותר. לשם כך חקרנו את חמשת הגורמים המאפיינים מתקפות דיוג בפרופיל גבוה, לצד טיפים לצמצום הסיכונים.
חמישה גורמים עיקריים שנצפו לאחרונה במתקפות דיוג:
1. הנדסה חברתית כאמצעי לזיהוי אנשים העובדים בארגוני טכנולוגיה ספציפיים. טיפ לצמצום סיכון הסייבר: מנהלי אבטחה שנסקרו לאחרונה דירגו את ההכשרה בנושא מודעות לאבטחה כאסטרטגיה האפקטיבית והמעמיקה ביותר להגנה מפני תוכנות כופר. קיום הכשרות שגרתיות ומפגשי למידה מסייעים בהטמעת התנהגות מודעת-אבטחה בתרבות הארגונית, כדי לוודא שהעובדים אכן מודעים לטכניקות המתפתחות של הנדסה חברתית ולטכניקות דיוג. כדאי לשקול להעביר את ההדרכות האלו ולוודא שמסנני הספאם פועלים כמו שצריך ומהווים את מערך הגנה הראשון, קמפיינים כמותיים והודעות שיווקיות הנשלחות לנמענים מבלי שנתבקשו כדי שלא יגיעו לתיבות הדואר של העובדים.
2. גניבת זהות באמצעות גניבת אמצעי זיהוי (first factor) במטרה לחדור לרשת. לדוגמה, באמצעות התקפת "אדם בתווך" ("man in the middle attack") המאפשרת לתוקף לנטר סיסמאות הנשלחות מכיוון המשתמשים.
טיפ לצמצום סיכון הסייבר: קמפיינים לעידוד מודעות לסכנות סייבר אינם אפקטיביים תמיד במניעת גניבת הזהות של המשתמש. מערך אסטרטגיות ההגנה חייב לכלול את הרובד החשוב של ניהול פריבילגיות בנקודות הקצה המגן על ההרשאות בצד הלקוח ומסייע במניעת גניבת הרשאות (לדוגמא קוקיז הנשמרים בתחנת הקצה) שעלולים לאפשר עקיפה של אימות זהות מרובה גורמים (MFA).
3. התקפות התשה בהזדהות רב גורמית (MFA) עושות שימוש בדיוג SMS ובדיוג קולי כדי להתחזות למקורות אמינים. ההתקפות מייצרות כמות גדולה של בקשות זיהוי ומסתמכות על עייפות משמשים שלבסוף מאשרים את בקשת הזיהוי. זה לרוב מאפשר לתוקפים להשיג גישה ל-VPN התאגידי ולמערכות יעד אחרות.
טיפ לצמצום סיכון הסייבר: התוקפים ממשיכים למצוא דרכים חדשות לתקוף את האימות מרובה הגורמים ולעקוף את בקשות האבטחה. בחירה בגורמי MFA חסיני דיוג, כגון FIDO, קוד QR טוקנים פיזיים יכולה לסייע בסיכול ניסיונות התקפה כאלו.
רמה חדשה של חדשנות בפישינג
גישה ידידותית יותר למשתמש היא לדרוש התאמה מספרית להשגת אימות זהות מוצלח של ה-MFA. כאשר המספרים תואמים, משתמשים המגיבים לדרישות MFA המגיעות באפליקציית אימות הזהות מקבלים מספר אותו הם חייבים להקליד באפליקציה על מנת להשלים את אישור הזהות. במהלך מתקפת דיוג, למשתמש הקצה אין מושג מהו רצף המספרים הנכון ולפיכך הוא או היא אינם יכולים לאשר את הבקשה.
כחלק מסימולציות התקיפה שאנחנו עורכים, אנו בוחנים סוגי איתור שונים, לרבות "אינדיקטורים קשיחים" ( Hard IOCs). הכוונה ל-IOCs שהם חלק בסיסי למתקפה ספציפית. במקרה של תשישות MFA, לתוקף כבר יש גישה להרשאות והוא צריך לבקש מהמשתמש לאשר את בקשת ה-MFA כדי להשיג גישה. אם הארגון מצליח לחסום את תשישות ה-MFA, לתוקף לא תהיה ברירה אלא לבחור בנתיב מתקפה שונה. זיהוי מבוסס התאמת מספרים הופך את המשתמש לפחות פגיע למתקפה מסוג זה ומצמצמת את הסיכון באופן משמעותי.
כאשר מתגוננים מפני מתקפת MFA, מכל סוג שהוא, חשוב לדרוש אימות זהות רב-גורמי בכל פעם שחל שינוי בפרופיל כדי שפעולות זדוניות לא יחמקו מתחת לרדאר, וליזום סקירות של אירועים מסוכנים
כאשר מתגוננים מפני מתקפת MFA, מכל סוג שהוא, חשוב לדרוש אימות זהות רב-גורמי בכל פעם שחל שינוי בפרופיל כדי שפעולות זדוניות לא יחמקו מתחת לרדאר, וליזום סקירות של אירועים מסוכנים. בנוסף, מרכז האבטחה (SOC) יכול להיעזר באנליטיקה של התנהגות במשתמש ולהקים טריגרים הקשריים המתריעים על כל התנהגות חריגה או חוסמים אימות זהות של משתמש שמגיע מכתובות IP חשודות.
4. תנועת רוחבית (לטרלית) יוצרת רצף, מכסה עקבות וחודרת למערכות ושרתים נוספים. עליה ברמת הפריבילגיות במטרה להגיע למערכות קריטיות, לרבות בקרי דומיינים.
טיפ לצמצום סיכון הסייבר: אכיפת פריבילגיות מינימליות (least privilege) בכל התשתיות, היישומים והנתונים. גישה כזאת נראית כמו דרך הפעולה ההגיונית ביותר לנקוט, אבל עם זאת, זוהי גישה קשה לביצוע בהיקף נרחב. זהו השלב שבו נכנסות לתמונה בקרות פריבילגיה חכמות המסייעות לאבטח באופן חלק את הגישה לכל הזהויות וליצור אוטומציה גמישה של מחזור חיי הזהות באמצעות איתור ומניעה רצופים של איומים במקביל לאנליטיקה התנהגותית המגינים על הנכסים הקריטיים ביותר שלכם.
5. זליגת מידע
טיפ לצמצום סיכון הסייבר: באחת ממתקפות הדיוג שהתרחשו לאחרונה, התוקפים ניסו, על פי הדיווחים, לחזור לרשת לאחר שהצליחו לגרום ללמידע לדלוף החוצה, אותרו והוסרו. לשם כך, התוקפים התמקדו בעובדים ששינו תו אחר בלבד בסיסמה שלהם לאחר שנדרשו לאפס סיסמת הרשאה. למרבה המזל, התוקפים נכשלו אבל לעולם לא מזיק להקפיד על נהלים מחמירים של יצירת סיסמאות. חשוב מכל, כדאי להסיר את העומס מהמשתמשים לחלוטין פשוט על-ידי ציודם במנגנון אוטומטי ליצירת סיסמאות ייחודיות וחזקות.
מתקפות הדיוג הגיעו לרמות חדשות של חדשנות כפי שניתן ללמוד מאירועים שחלו לאחרונה וממחישים כמה רחוק התוקפים ילכו כדי לבלבל את הקורבנות - או את אלה שכבר סובלים מתשישות MFA. הגנה אפקטיבית מפני דיוג צריכה לכלול מרכיבי אבטחה טכניים ואנושיים, ולצאת מהנחה שתוקף עיקש מספיק יכול לגרום למשתמשים ללחוץ על לינקים זדוניים. לפיכך, הנחת חדירה (Assume Breach) צריכה להיות חלק מתוכניות ההגנה של כל ארגון.
הכותב הוא: שי נהרי, סמנכ"ל וראש צוות שירותי Red Team בסייברארק