Η απομακρυσμένη απομόνωση του προγράμματος περιήγησης θα μπορούσε να είναι η μυστική υπερδύναμή σας κατά του phishing

Το email μπορεί να είναι ένα δίκοπο μαχαίρι. Είναι ένα από τα πιο ουσιαστικά εργαλεία για επιχειρηματική επικοινωνία και, ταυτόχρονα, είναι ο νούμερο ένα φορέας απειλής για τους εγκληματίες του κυβερνοχώρου. Τα μηνύματα ηλεκτρονικού ψαρέματος είναι η αχίλλειος πτέρνα της άμυνας ασφαλείας των περισσότερων οργανισμών.

Παρά τις πολλές προόδους και βελτιώσεις στα εργαλεία προστασίας όλα αυτά τα χρόνια, το email παραμένει ο πιο αποτελεσματικός τρόπος για τους εισβολείς να παραδίδουν κακόβουλα ωφέλιμα φορτία. Περισσότερο από 90% Οι επιτυχημένες επιθέσεις στον κυβερνοχώρο ξεκινούν με ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος, σύμφωνα με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA).

Η ψυχολογία του phishing

Οι επιτιθέμενοι λεηλατούν τις ασυνείδητες προκαταλήψεις των ανθρώπων για να τους ξεγελάσουν ώστε να κάνουν αυτό το ένα κλικ που θα ανοίξει τις πόρτες σε έναν καταρράκτη αρνητικών συνεπειών. Η Verizon ανέφερε πρόσφατα σε αυτήν Έκθεση ερευνών παραβίασης δεδομένων 2022 ότι το 82% των παραβιάσεων είναι αποτέλεσμα ανθρώπινου λάθους ή εσφαλμένης εκτίμησης.

Οι άνθρωποι είναι πρακτικά σχεδιασμένοι για να πέφτουν σε προσεκτικά σχεδιασμένες απάτες. Βασιζόμαστε σε νοητικές συντομεύσεις, γνωστές ως ευρετικές, για να μας βοηθήσουν να προχωρήσουμε αποτελεσματικά στη ζωή. Ψυχολόγος Ρόμπερτ Σιαλντίνισυγγραφέας του αναγνωρισμένου βιβλίου Επιρροή, εντόπισε επτά ψυχολογικές αρχές επιρροής που χρησιμοποιούν συχνά οι επιτιθέμενοι σε απάτες phishing. Για παράδειγμα, όταν οι άνθρωποι είναι αβέβαιοι για κάτι, προσβλέπουν σε εξωτερική αρχή για να μειώσουν την αβεβαιότητα και την αίσθηση της ασάφειας.

Το πιο πρόσφατο τέχνασμα για τους απατεώνες είναι να χρησιμοποιήσουν αυτές ακριβώς τις αρχές της κοινωνικής απόδειξης και εξουσίας για να αξιοποιήσουν τη φήμη νόμιμων υπηρεσιών και πλατφορμών, όπως οι Υπηρεσίες Ιστού της Amazon (AWS). Αυτό κάνει τους χρήστες να κάνουν κλικ σε συνδέσμους που μπορούν επίσης να παρακάμψουν τους ελέγχους φήμης των εργαλείων ασφαλείας email.

Μια συνταγή για καταστροφή

Ας δούμε πώς λειτουργεί αυτό. Πρώτον, ένας εισβολέας εισβάλλει σε έναν επαγγελματικό λογαριασμό. Στη συνέχεια, ο εισβολέας στέλνει ένα ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος στους χρήστες, ενθαρρύνοντάς τους να κατεβάσουν ένα εικονικό αρχείο «Απόδειξη πληρωμής». Το αρχείο θα φιλοξενείται από αξιόπιστους ή κάπως αξιόπιστους αλλά γνήσιους παρόχους φιλοξενίας, υπηρεσίες μεταφοράς αρχείων και πλατφόρμες συνεργασίας ή συνδυασμό, συμπεριλαμβανομένων των διοργανωτών ημερολογίου. Αυτός είναι ο τρόπος με τον οποίο ο εισβολέας παρακάμπτει τα εργαλεία ασφαλείας email.

Ένα παράδειγμα αυτής της προσέγγισης εμφανίστηκε το 2019 με τη μορφή ενός στελέχους απειλής γνωστό ως Lampion. Χρησιμοποίησε τη δωρεάν υπηρεσία μεταφοράς αρχείων „WeTransfer“ για να στοχεύσει δημογραφικά στοιχεία που μιλούν Ισπανικά και Πορτογαλικά.

Μόλις ο χρήστης κάνει αυτό το μοιραίο κλικ στο εικονικό αρχείο, ένα πακέτο ZIP που περιέχει ένα Virtual Basic Script (VBS) εγκαθίσταται και εκτελείται στη συσκευή του. Καθώς ξεκινά η διαδικασία Wscript, τα κακόβουλα ωφέλιμα φορτία κατατίθενται και εκτελούνται διακριτικά στο παρασκήνιο πριν αρχίσουν να αναζητούν και να εξάγουν δεδομένα από το σύστημα του χρήστη. Το τελευταίο χτύπημα είναι όταν ένας trojan μιμείται μια φόρμα σύνδεσης σε μια τραπεζική σελίδα σύνδεσης, έτσι ώστε όταν ένας χρήστης εισάγει τα διαπιστευτήριά του σε κάτι που μοιάζει με τη σελίδα σύνδεσης της τράπεζάς του, η ψεύτικη φόρμα στέλνει τα διαπιστευτήρια απευθείας στον χάκερ. Επειδή αυτή η παραβίαση συμβαίνει στη συσκευή του ίδιου του θύματος, αυτός ο τύπος κακόβουλου λογισμικού είναι ιδιαίτερα δύσκολος για τον εντοπισμό των ομάδων ασφαλείας.

Απομακρυσμένη απομόνωση προγράμματος περιήγησης στη διάσωση

Ένας αποτελεσματικός τρόπος για την καταπολέμηση αυτών των τακτικών είναι η εφαρμογή απομακρυσμένης απομόνωσης προγράμματος περιήγησης (RBI) για την προστασία της συσκευής από κακόβουλα ωφέλιμα φορτία, cookies και περιεχόμενο. Το RBI απομονώνει επικίνδυνα και κακόβουλα αιτήματα ιστοσελίδων, έτσι ώστε να εμφανίζεται στον χρήστη μόνο μια οπτική ροή εικονοστοιχείων που αντιπροσωπεύουν τις σελίδες. Ο χρήστης μπορεί να αλληλεπιδρά με τον ιστότοπο ως συνήθως, εάν το επιτρέπει ο διαχειριστής, αλλά τα περιεχόμενα δεν κατεβαίνουν ποτέ στη συσκευή.

Οι ομάδες ασφαλείας μπορούν να προσαρμόσουν την RBI στις ανάγκες τους. Μπορούν να δημιουργήσουν προσαρμοσμένες λίστες επικίνδυνων κατηγοριών φήμης, όπως κοινή χρήση αρχείων, Peer2Peer και ιστότοπους τυχερών παιχνιδιών. Μπορούν να προστατεύονται από συγκεκριμένες κατηγορίες URL, διευθύνσεις IP και τομείς. Μπορούν ακόμα να παρέχουν λειτουργίες όπως μεταφορτώσεις, λήψεις και χρήση του προχείρου ή μπορούν να τις αποκλείσουν εντελώς.

Η ουσία είναι ότι, με την RBI, οι ομάδες ασφαλείας δεν είναι πλέον στο καπρίτσιο των αναζητήσεων φήμης ή των δυαδικών πολιτικών άδειας/άρνησης για τον εντοπισμό του λύκου με ρούχα προβάτου. Ακόμη και όταν κυκλοφορούν νεότερες, πιο εξελιγμένες παραλλαγές, οι ομάδες ασφαλείας μπορούν να είναι σίγουρες ότι τα συστήματά τους προστατεύονται στην ατυχή περίπτωση που ένα θύμα κάνει κλικ σε έναν κακόβουλο σύνδεσμο ηλεκτρονικού ψαρέματος.

Ο Rodman Ramezanian χρησιμεύει ως επικεφαλής της παγκόσμιας απειλής cloud στο Skyhigh Security.