Det er næppe forbigået manges opmærksomhed, at Danmark hen over det seneste halve år, har været ramt af en sværm af målrettede phishing angreb, der udspringer fra flere forskellige bander.
I mere end 98% af disse angreb har målet alene været at fiske kreditkort oplysninger og andre potentielt følsomme data. De indsamlede oplysninger anvendes af flere af disse grupper, til at købe varer på nettet, herunder flyrejser, hotelophold eller virtuelle let omsættelige services.
Problemet med disse phishing angreb er at de vil fortsætte. Der findes fortsat mange brugere som ikke er tilstrækkeligt oplyst om risikoen ved phishing. Desuden bliver disse kampagner løbende forbedret så de også sprogligt er mere troværdige end de første kampagner vi observerede.
Disse kampagner, adskiller sig fra andre spamruns, ved at være geografisk rettet mod danske e-mail adresser. Hovedparten af de grupper der angriber Danmark - indenfor den seneste måned - arbejder ud fra Marokko.
Hvis vi kigger på de forskellige phishing kampagner der har kørt de seneste måneder, og hvor målet har været at stjæle data fra uforsigtige danske brugere, har følgende brands/firmanavne været misbrugt:
- øvrige brands tæller PayPal, SKAT og eBay m.fl.
Alene i dag har vi registreret fire unikke phishing kampagner.
Når en ny kampagne observeres, initialiserer CSIS Security Group med det samme en nedtagning af den pågældende webside, men i gennemsnit går der 5,6 timer før indholdet er blevet fjernet, eller kontoen spærret. Bemærk, at der kan være meget stor forskel på responstid. Det skyldes, at mange af websiderne administeres og ejes af ikke-tekniske private personer, der simpelthen ikke ved hvordan de skal forholde sig. Vi ser også hyppigt, at ofret fjerner indholdet, men at indholdet i løbet af få timer bliver uploadet og genaktiveret af phisheren. Det sker fordi phisheren enten har uploadet en PHP bagdør (en såkaldt shell) eller at den oprindelige sårbarhed, som ikke er blevet fjernet, misbruges igen.
I ca 93% af alle tilfælde anvendes der usikre WordPress og Joomla installationer som platform for phishing materialet og ofte anvendes den kompromitterede server også som host for udsendelse af de mange spammails.
Vores problem er, kombineret med ovenstående, at Danmark er et relativt lille land og de kommercielle antispam leverandører tydeligvis kommer til kort og utilsigtet lader disse phishing mails lande hos slutbrugeren. Allerførst er der de sprogmæssige udfordringer, da disse spamruns er udformet på dansk, og dernæst er dette isolerede angreb der hyppigt slipper forbi internationale radarer og honeypots.
Hos CSIS har vi tre tilgange til denne problemstilling. Dels at oplyse vores kunder mod denne type risici, så almindelige medarbejdere og danske brugere opnår viden om phishing, og dels ved at stoppe disse uønskede e-mails i vores mailfirewall service og samtidig blokere adgang til phishing siderne i CSIS Secure DNS.
CSIS vil fortsætte med at identificere og spore disse phishing angreb. Vi frygter problemet vil vokse og at det afspejler en generel trend i det globale trusselsbillede hvor geografiske angreb bliver mere og mere populære hos it-kriminelle.
↧
CSIS Nyheder: Dansksprogede phishing mails glider forbi spamfiltre
↧