Az amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) valamint az NSA, az FBI és az MS-ISAC közös útmutatót adott ki, amelyben részletesen ismertetik a leggyakrabban használt adathalász technikákat, továbbá ajánlásokat tesznek a támadások hatásának mérséklésére.
Adathalász támadások során a fenyegetettségi szereplők social engineering módszereket alkalmaznak annak érdekében, hogy az áldozatokat rábírják a hitelesítési adataik megadására vagy rosszindulatú weboldalak meglátogatására. Ezen weboldalak célja kártékony szoftverek telepítése és bejelentkezési adatok eltulajdonítása, amelyeket később a támadók felhasználhatnak vállalati hálózatokhoz vagy más erőforrásokhoz való hozzáféréshez.
Az útmutató szerint az adathalászat során az elkövetők általában megbízható forrásként mutatkoznak be, például az adott áldozat felettesének vagy a cég informatikai osztály munkatársának adják ki magukat annak érdekében, hogy meggyőzzék a címzetteket, hogy osszák meg velük a felhasználónevüket és jelszavukat.
Ezenkívül megfigyelték, hogy a különböző chatelésre használt platformokon a szöveges üzenetek küldéséhez mobileszközöket, a hívószám hamisításra pedig VoIP technológiát használnak.
ADATHALÁSZ TÁMADÁSOK MEGELŐZÉSÉRE VONATKOZÓ INTÉZKEDÉSEK
- Felhasználók képzése a social engineering és az adathalász támadások veszélyeivel kapcsolatban
- Tartományalapú üzenethitelesítés, -jelentéskészítés és -megfelelőség (DMARC) engedélyezése
A DMARC, valamint az SPF (Sender Policy Framework) és a Domain Keys Identified Mail (DKIM), a beérkező e-mailek kiszolgálóját az előre megírt szabályok alapján ellenőrzi. Amennyiben egy e-mail nem felel meg az ellenőrzésnek és a küldő hamisított e-mail címnek minősül, akkor a levelezőrendszer karanténba helyezi majd rosszindulatúnak jelenti azt. - Belső e-mail forgalom monitorozása
A gyanús tevékenységek azonosítása szempontjából a szervezeten belüli e-mail és üzenetküldés forgalmának figyelése elengedhetetlen, mivel a felhasználókat a célponti hálózaton kívülről is megtámadhatják anélkül, hogy az intézmény IT biztonsági csoportja ezt észrevenné. - Többfaktoros hitelesítés (MFA) alkalmazása
Érdemes az MFA-t érdemes kiegészíteni FIDO vagy PKI hitelesítéssel.
ROSSZINDULATÚ PROGRAMOK FUTTATÁSÁNAK MEGAKADÁLYOZÁSA
- Tiltólisták alkalmazása
– Vezessen be tiltólistát az e-mail átjárón, valamint alakítson ki megfelelő tűzfal szabályokat a kártékony szoftver telepítésének megakadályozásához.
– Zárja ki az ismert rosszindulatú tartományokat, URL-eket és IP-címeket, valamint bizonyos fájlkiterjesztéseket, például .scr, .exe, .pif és .cpl, valamint helytelenül címkézett fájlkiterjesztéseket (pl. .exe fájlok, amelyek .doc-ként vannak címkézve) az elutasítási listák használatával.
- Alapértelmezett makró-blokkolás
A malware-alapú adathalászat is megbízható forrás megszemélyesítésére támaszkodik annak érdekében, hogy a címzettet a rosszindulatú melléklet megnyitására vagy a rosszindulatú link követésére csábítsa, így rosszindulatú programok futtatását eredményezve, amelyek kezdeti hozzáférést, információlopást, rendszerzavarást vagy -károsítást, vagy jogosultságok kiterjesztését hajtják végre.
A teljes útmutató az alábbi linken érhető el: Phishing Guidance: Stopping the Attack Cycle at Phase One (cisa.gov)
