Bezpieczeństwo

Sztuczna inteligencja w walce z phishingiem

29 kwietnia 2021

Sztuczna inteligencja w walce z phishingiem

Wiecie, że gdyby nie sztuczna inteligencja, to nasze liczby sięgające nawet setek tysięcy zatrzymanych prób phishingu byłyby chyba niemożliwe do osiągnięcia? Przy liczbach nowych domen „odbijających” się codziennie od naszych serwerów DNS nasi „cyfrowi pracownicy” są nieocenioną pomocą.

W okularach widać lepiej

Pracuję już w naszym „cybersec” tak długo, że pamiętam początki naszego Security Operations Center. Gdy 11 lat temu (!) uruchomiliśmy monitoring zagrożeń w trybie 24/7/365 nagle okazało się, że czyhających w niej zagrożeń jest wyjątkowo dużo. Oczywiście nie chodzi o to, że przestępcy zaczęli Was atakować w ramach „uczczenia” startu SOC. Po prostu, niczym krótkowidz założywszy okulary, zaczęliśmy nagle dużo więcej widzieć!

„Zaprzęgnięcie” do pracy sztucznej inteligencji i uczenia maszynowego było kolejnym, oczywistym etapem rozwoju. Wiem, zabrzmiało to jak straszna oficjałka 🙂 Ale naprawdę liczba generowanych codziennie witryn/domen phishingowych jest olbrzymia. Tak bardzo, że nawet zatrudnienie wyłącznie do tego stu osób nie pozwoliłoby na „przerobienie” nawet 10 procent ruchu. O jakich liczbach mówimy?

Dziennie na części ruchu serwera DNS, z którego korzysta nasze rozwiązanie, obserwujemy 8-10 mld zdarzeń związanych z DNS, wstępnie agregowanych do 70 mln.

W kolejnym kroku robi się z tego 6 mln unikalnych domen, a ostatecznie 2-3 mln takich, których wcześniej na naszym serwerze nie widzieliśmy. Do tego dochodzi jeszcze blisko 25 mln informacji o nowych certyfikatach dla stron https. To – po korelacji z innymi danymi – też może być istotną informacją. Sami przyznacie, że to poziom niewyobrażalny do analizy przez człowieka.

Ostatecznie na koniec dnia do „ręcznej” weryfikacji trafia ok. 100-150 domen. Czyli między 0,00014 a 0,00021% zagregowanych domen. Bez wsparcia maszynowego – nie do przesiania.

Jak my to robimy?

Tutaj w zasadzie muszę, niczym Naczelnik Mieczysław z „Kilera”, rzec:

„Wiem… Ale nie powiem!”.

Tzn. trochę powiem :), ale szczegóły naszego autorskiego rozwiązania są poufne. Poza tym sam nie jestem wystarczająco mądry, by zrozumieć je na tyle, bym potrafił wytłumaczyć je Wam 🙂 Generalnie nasze sondy obserwujące ruch na jednym z serwerów DNS Orange Polska dokładnie przyglądają się wszystkim wpadającym nań zapytaniom. Czy dana domena pojawia się po raz pierwszy, kiedy została zarejestrowana, gdzie, pod jaki adres IP się odwołuje. Wreszcie – last, but not least – jaką ma nazwę. Zbierając te wszystkie dane sztuczna inteligencja przydziela każdej domenie punktację. Jeśli punkty przekraczają ustalony poziom – domena spada z „sitka” na kolejny etap analizy.

Dodatkowo, gdy strona dotrze już do analizy przez człowieka („przesianymi” witrynami phishingowymi zajmuję się np. ja), finalna decyzja – czy mamy do czynienia z wynikiem prawdziwie, czy fałszywie pozytywnym – wpływa na to, jak algorytmy będą traktować kolejne podobne witryny. Pojęcie uczenia maszynowego nie jest li tylko buzzwordem. Nasze rozwiązanie uczy się i z czasem staje się coraz dokładniejsze.

W sumie, korzystając z AI i innych źródeł, tygodniowo blokujemy 2-2,5 tysiąca domen.

Szybsi – pomaga sztuczna inteligencja

Pewnie macie na końcu języka pytanie: „Czy zdarzają się pomyłki?”. Oczywiście, że tak, nawet Skynet się mylił (oj, skojarzenia to przekleństwo 😉 ). Zdarza się to jednak naprawdę rzadko. To dlatego, że algorytm blokuje tylko witryny, które w sposób absolutnie oczywisty są phishingowe/malware’owe (np. na bazie ich wyglądu). To około połowa zablokowanych stron. W przypadku jakichkolwiek wątpliwości ostateczną decyzję podejmuje człowiek. Czy to jeden z naszych dzielnych operatorów SOC na I linii, czy też III linia, czyli wyżej podpisany albo któryś z moich kolegów. Co ciekawe, trafiają się oszuści z wyjątkowym tupetem! Potrafią, pisząc z adresu w domenie @protonmail.com, zażądać odblokowania konkretnej strony. Jeden nawet w ciągu kilku dni z tego samego adresu poprosił o zdjęcie blokady z trzech, bezdyskusyjnie phishingowych. Czasami w przypadku dużych wątpliwości uruchamiamy nawet „inteligencję białkową” 🙂 i wtedy dzwonię do firmy, która wydaje się być właścicielem witryny, by potwierdzić, czy to aby na pewno nie ich.

Gdyby jednak nie wsparcie naszego działającego w mgnieniu oka cyfrowego przyjaciela, na pewno nie byłoby tak łatwo. Nie byłoby mowy o zablokowaniu phishingowej witryny kilkanaście minut po jej powstaniu! Albo uniemożliwieniu (dzięki informacji o wystawieniu certyfikatu) wejścia na strony z SMSowych phishingów czasem nawet zanim wiadomość dotrze do pierwszej ofiary. Pozostaje tylko mieć nadzieję, że nie ma takich ambicji jak filmowy Skynet 😉

Zdjęcie z www.vpnsrus.com na licencji CC BY 2.0

Udostępnij: Sztuczna inteligencja w walce z phishingiem

Informacje prasowe

Co czwarta mała i średnia firma w Polsce obawia się zagrożeń związanych z korzystaniem z internetu przez pracowników

23 lutego 2021

Co czwarta mała i średnia firma w Polsce obawia się zagrożeń związanych z korzystaniem z internetu przez pracowników

Co czwarta mała i średnia firma zdaje sobie sprawę, że niezabezpieczony dostęp do sieci internet jest jednym z największych zagrożeń dla bezpieczeństwa danych firmowych. Obawiają się przede wszystkim zawirusowania komputerów oraz phishingu wyłudzającego dane – wynika z badania zrealizowanego na zlecenie Orange Polska. Cyberprzestępcy wykorzystują czas pandemii i pracy zdalnej, co potwierdza CERT Orange Polska, notujący blisko dwukrotnie więcej ataków phishingowych niż przed pandemią.

Oszuści podszywają się pod firmy kurierskie, platformy sprzedaży, dostęp do szczepionek czy możliwość skorzystania z rewolucyjnego sposobu zarabiania pieniędzy bez wychodzenia z domu.

– Phishing to powszechna i nieustająco rosnąca plaga. W minionym roku takich incydentów wykryliśmy w sieci Orange Polska dwa razy więcej niż w roku 2019. Oszuści wykorzystują już nie tylko SMS-y, czy maile, coraz częstszy jest  tzw. vishing, czyli połączenia telefoniczne, w których oszuści podszywają się np. pod przedstawicieli instytucji, które darzymy zaufaniem, by wyłudzić dane i uzyskać zdalny dostęp do komputera ofiary. Ataki na firmy bardzo często zaczynają się od pojedynczych pracowników, za pomocą odpowiednio spreparowanej wiadomości – mówi Robert Grabowski, szef CERT Orange Polska

Oprogramowanie antywirusowe, które jest bardzo często jedynym zabezpieczeniem przed zagrożeniami z internetu, ma ograniczone możliwości ochrony przed najnowszymi metodami ataków.

Atak phishingowy na firmę – jak to się dzieje?

Nieumyślne kliknięcie w link zawarty w wiadomości phishingowej, czy otworzenie spreparowanego załącznika, na pierwszy rzut oka nie wydaje się groźne. Jednak bez odpowiedniej ochrony komputera czy smartfona służbowego i bez świadomości użytkownika rozpoczyna się proces przejmowania kontroli nad urządzeniem, a tym samym nad danymi zawartymi nie tylko na nim, ale często także w całej firmie.

Phishing jest nośnikiem dla kilku rodzajów zagrożeń. Jednym z nich jest skierowanie użytkownika na spreparowaną stronę internetową, która będąc łudząco podobna, na przykład do portalu z płatnościami, wyłudza dane kart kredytowych. W innych przypadkach podszywając się pod bankowość elektroniczną czy portal służbowy wykrada wpisane przez pracownika dane logowania. Jeszcze inne nastawione są na wyłudzanie danych logowania do poczty elektronicznej, czy portali społecznościowych. W wielu sytuacjach w tle instalowane jest również złośliwe oprogramowanie przejmujące kontrolę nad komputerem/telefonem, które nie tylko wykrada z nich dane, ale wykorzystując uprawnienia użytkownika w sieci firmowej próbuje dostać się do innych baz danych, aplikacji i systemów.

Otworzenie spreparowanego pliku załączonego do wiadomości może skutkować również kradzieżą danych oraz przejęciem kontroli nad zarażonym urządzeniem i w konsekwencji danych firmowych. Podobnie niebezpieczne są aplikacje na telefon z nieznanych źródeł (szczególnie np. te otrzymywane jako załącznik do wiadomości pocztowej czy bezpośrednio z witryn internetowych).

Jak chronić firmę przed zagrożeniami w sieci?

Blisko co trzecia ankietowana firma uważa, że w czasie pandemii pojawiło się więcej zagrożeń związanych z korzystaniem z Internetu przez pracowników. 17% badanych stwierdziło, że doświadczyło cyberataku w ciągu ostatniego roku.

Warto wziąć pod uwagę fakt, że niewielkie firmy często nie wiedzą o ataku, dopóki nie doświadczą jego skutków. Nasze doświadczenie  pokazuje, że dużo firm tej wielkości nie ma wystarczającej wiedzy i narzędzi, aby skutecznie wykrywać i przeciwdziałać zagrożeniom – mówi Krzysztof Białek, dyrektor Marketingu i Rozwoju Produktów Cyberbezpieczeństwa

Chcąc ochronić dane firmowe należy zacząć od edukacji pracowników i podniesienia ich świadomości o zagrożeniach czyhających na nich internecie. Na stronie CERT Orange Polska – www.cert.orange.pl – można znaleźć wiele przydatnych informacji i filmów opisujących w przystępny sposób przed czym i w jaki sposób należy się chronić.

– Orange Polska wspiera przedsiębiorców kompleksowymi rozwiązaniami – podstawą są usługi sprawdzające wiedzę pracowników na temat zagrożeń, wspomagane testami socjotechnicznymi (kontrolowany phishing). Udostępniamy również narzędzia chroniące dane w smartfonach (poczta elektroniczna, SMS-y, dokumenty, zdjęcia), takie jak usługa MDM – już za kilka złotych miesięcznie za chronione urządzenie. Zapewniamy także kompleksową ochronę sieci wewnętrznej przed atakami z zewnątrz, dzięki usłudze „Zarządzany UTM”. Tu  niezależnie od dostawcy internetu, dostarczamy w modelu abonamentowym bardzo skuteczne urządzenie, będące zaawansowanym firewallem. Ponadto dla klientów sieci Orange Polska  świadczymy usługę „Orange Network Security”, która zapewnia podobny poziom zabezpieczeń ochrony przed atakami z zewnątrz, bez konieczności instalacji urządzenia po stronie klienta. Umożliwia ona także bezpieczny, szyfrowany dostęp do zasobów firmowych dla osób pracujących zdalnie. Wraz z powszechnym przejściem na pracą zdalną, ogromnym zainteresowaniem cieszy się natomiast oprogramowanie pozwalające pracodawcom sprawdzić jakie czynności pracownicy wykonują na urządzeniach służbowych – z jakich aplikacji korzystają w godzinach pracy i jak długo – mówi Krzysztof Białek.

Źródło danych: Badanie zrealizowane w grudniu 2020 przez firmę Kantar Polska na zlecenie Orange Polska, metodą wywiadów online (CAWI) wśród grupy 400 polskich przedsiębiorców na rynku SME (firmy zatrudniające 10-49 pracowników) i SOHO (firmy zatrudniające 1-9 osób)

***

Orange Polska wraz z Integrated Solutions oferują małym i średnim firmom szereg usług zwiększających poziom cyberbezpieczeństwa takich jak: firewalle i urządzenia UTM zabezpieczające styk firmy z internetem, MDM (Mobile Device Management) zarządzający bezpieczeństwem smartfonów, oprogramowanie antywirusowe, usługi CyberWatch i CyberTarcza, blokujące połączenia ze stronami phishingowymi i serwerami zarządzanymi przez atakujących, czy ochronę poczty w usłudze Email Protection.  Rozwiązania dla dużych firm można znaleźć na https://www.orange.pl/duze-firmy/cyberbezpieczenstwo Zapraszamy firmy do kontaktu na adres: cybsecurity@orange.com

W Orange Polska działa ponadto specjalistyczna jednostka CERT Orange Polska. Od ponad 20 lat dba o bezpieczeństwo sieci Orange i jej użytkowników,  nieustannie doskonaląc mechanizmy wykrywania i niwelowania zagrożeń. Dostępna w sieci Orange Polska CyberTarcza, otrzymała międzynarodową nagrodę na Broadband World Forum 2020, jako najlepsze operatorskie rozwiązanie z zakresu bezpieczeństwa sieci.

Mediateka

Udostępnij: Co czwarta mała i średnia firma w Polsce obawia się zagrożeń związanych z korzystaniem z internetu przez pracowników

Bezpieczeństwo

Znowu fałszywe faktury

4 czerwca 2020

Znowu fałszywe faktury

Ostatni tydzień, jeśli chodzi o maile od Was do CERT Orange Polska, zdominowały fałszywe faktury. Przestępcy już chyba przeszli do porządku dziennego nad pandemią. Świat luzuje obostrzenia, więc oni też, w efekcie obserwujemy naprawdę mnóstwo latających po sieci maili, podszywających się pod – w większości – Orange Polska.

„Dlaczego wysyłacie mi jakieś faktury?!”

W ostatnich dniach ciężko policzyć wszystkie informacje, jakie dostaliśmy od Was na temat domniemanych „faktur od Orange”. Jak łatwo się domyślić – o czym (o tym jak łatwo) za chwilę – nie mamy z ich wysyłką nic wspólnego. Mimo to wiadomości od Was utrzymywane są w tonach… Hmmm, cóż – znacząco różnych 🙂

Dzień dobry, dostałam/em coś takiego, to chyba wirus, więc Wam przesyłam

To na szczęście zdecydowanie najpopularniejsza forma wiadomości od Was. Czasami zdarzają się jednak też takie:

Z jakiej racji dostałem od was jakąś fakturę, jak ja nawet usług waszych nie mam?!

albo jeszcze mocniejsze, takie:

Nie życzę sobie jakichkolwiek faktur wysyłanych drogą elektroniczną. Mam jedno życie i nie zamierzam go stracić na drążenie problemu faktur za które nikt ponoć nie odpowiada (…)

Rozumiem emocje, a ton akurat tego maila, którego część pozwoliłem sobie zacytować, był utrzymany w tonie sarkastycznym. Dobry sarkazm zawsze w cenie, dlatego rozmowę z autorem kontynuowałem, wyjaśniając mu o co w tym wszystkim chodzi.

A o co chodzi?

Wróćmy jeszcze kilka linijek wyżej, do użytkownika, który dziwił się, że dostał od nas „fakturę” nie mając usług w Orange Polska. No właśnie – mail trafił do niego absolutnie losowo (aczkolwiek mimowolnie nieco się do tego przyłożył). Najpierw opublikował gdzieś w sieci swój adres mailowy, w kolejnym kroku „czeszące” internet nieprzerwanie crawlery znalazły go (i wiele innych) na koniec przestępca zebrał je razem (albo kupił od kogoś), przygotował mail phishingowy i wysłał. Licząc, że w grupie kilku/dziesięciu tysięcy adresów znajdą się klienci naszych usług! Po prostu. No dobra, nie tylko naszych – wśród kampanii z ostatnich dni poza Orange Polska atakowani są jeszcze klienci Play i DHL. Jeśli ktoś uzna, że to oszustwo – po prostu skasuje, może wyśle informację do nas (cert.opl@orange.com, polecam). Jeśli ma usługi w Orange Polska – tu gorzej, bo faktycznie odruchowo może coś kliknąć. Tymczasem maile z fakturami bardzo łatwo odróżnić!

Z lewej moja faktura za usługi, z prawej – mail od przestępców. Różnicę widać już na pierwszy rzut oka, przestępcy śląc do wszystkich takiego samego maila nie wpiszą doń Waszego imienia i nazwiska bo najzwyczajniej w świecie go nie mają! No i oczywiście adres nadawcy – nasze maile przychodzą z adresu e-faktura@pl.orange.com

Co dzieje się dalej?

Dalej, jeśli ktoś da się przekonać i będzie chciał zajrzeć do rzekomej faktury, otworzy załączony plik xlsx lub xlsm (nasze faktury przychodzą w PDFach). Potem kliknie zgodę na „włączenie treści”, co pozwoli na uruchomienie makr i… już po wszystkim. No chyba, że faktycznie macie usługi w Orange Polska, to wtedy o ile CyberTarcza nie stanie na przeszkodzie infekcji, to na połączenie zarażonego komputera z serwerem Command&Control botnetu już nie pozwoli. Dlatego warto regularnie wchodzić na stronę CyberTarczy, by sprawdzić, czy przypadkiem nie złapaliśmy jakiejś „niespodzianki”.

Co znajdziecie w złośliwych plikach? Po szczegóły pozwolę sobie wysłać Was na stronę CERT Orange Polska, gdzie pisałem o kampaniach przenoszących Danabota i ZLoadera. Co gorsza, przestępcy regularnie wrzucają nowe, za każdym razem nieco „stuningowane” wersje pliku, co utrudnia wykrycie go przez antywirusy. A co oba złośniki robią? W skrócie – chcą wykraść nasze loginy i hasła do banków. A potem nasze oszczędności. Nie dajmy przestępcom tej przyjemności. Uważajcie na siebie.

Udostępnij: Znowu fałszywe faktury

Bezpieczeństwo

Koronawirus? Przestępcy lubią to

12 marca 2020

Koronawirus? Przestępcy lubią to

To było pewnie, pytanie nie brzmiało „czy” przestępcy przygotują phishing, którego tematem będzie koronawirus, tylko kiedy to się stanie. Aż dziwne, że dopiero od kilku dni trafiają do nas strony, które – wykorzystując emocje, związane z pandemią – usiłują przekonać nas do… przekazania im naszych loginów i haseł do Facebooka.

Koronawirus, zobacz film!

Schemat phishingu jest standardowy, podobnie jak w przypadku „scamów na sensacyjne newsy”. Jedyną różnicą jest fakt, iż tym razem newsem jest właśnie koronawirus. Dotychczasowe witryny udają serwis Fakt24, ale doświadczenie wskazuje, że niebawem przestępcy mogą przygotować szablony pod kątem innych mediów. Po początkowych frazesach trafiamy na kluczowych aspekt, film o tytule, mającym przyciągnąć jak najwięcej ofiar:

Domyśliliście się w czym tkwi klucz? Jeśli uważacie, że w niebieskim „Zaloguj”, macie rację. Po kliknięciu w prostokąt przeniesiemy się na stronę łudząco przypominającą witrynę logowania do Facebooka. Wystarczy jednak spojrzeć na jej adres, by zorientować się, że mamy do czynienia z oszustwem. A co potem? W kolejnych krokach wykradzione login i hasło mogą zostać użyte do dalszych oszustw. Np. podszywania się pod nas i wyłudzania od znajomych kodów BLIK.

Nasz CERT blokuje takie strony natychmiast, gdy wykryją je nasze systemy, lub trafią do nas inną drogą. Po zasileniu taką informacją CyberTarczy, przy próbie wejścia na podejrzaną stronę zobaczycie odpowiedni ekran z informacją oraz linkiem do oficjalnego rządowego serwisu nt. koronawirusa. Jeśli traficie na tego typu podejrzaną stronę – napiszcie do nas na adres cert.opl@orange.com. Pomożecie wtedy innym internautom.

Udostępnij: Koronawirus? Przestępcy lubią to

Bezpieczeństwo

Jak rozpoznać phishingowy mail?

6 lutego 2020

Jak rozpoznać phishingowy mail?

11,5 miliona. Tyle razy w 2019 roku klienci naszych usług dostępu do internetu zobaczyli informację o tym, że CyberTarcza ustrzegła ich przed wejściem na strony phishingowe. W ogóle, gdy przyglądam się naszym CERTowym statystykom, wejściom na strony, informacjom z pierwszej linii – za każdym razem widzę, że przestępcy nieprzerwanie pracują nad kreatywnością, starając się nas przekonać do kliknięcia w załączniki do ich maili, albo wejścia w linki, czy podania naszych wrażliwych danych.

Ciągle łapiemy się na phishing

Na pewno znajdą się tacy, którzy powiedzą: „Oj przecież ten phishingowy mail często jest tak oczywisty, to nie problem go rozpoznać!”. Cóż… Nie. Z racji na charakter pracy mam okazję zapoznawać się regularnie z różnymi pomysłami przestępców i uwierzcie, że niektóre rozpoznałem tylko dlatego, że wszędzie widzę zło i prawie każdą nieznaną domenę wrzucam do analizatora 🙂 Poza tym praca „w okolicy” pierwszej linii (pozdrawiam koleżanki i kolegów z call center) daje też wyjątkową okazję kontaktu ze zgłoszeniami klientów. Tam idealnie widać, jak wiele osób niezmiennie łapie się na dość prostą socjotechnikę. Dowodzi tego też fakt, że znaczna większość kampanii opiera się o te same schematy! „Faktury” (te podszywające się pod dostawców usług i te biznesowe, „nieopłacone”), sensacyjne newsy (ukierunkowane na wykradanie danych logowania do Facebooka). No i te najgorsze – szereg odmian scamu, kierującego nas na fałszywe bramki płatności. W najgorszym przypadku może się to zakończyć utratą oszczędności całego życia!

Phishingowy mail – na co uważać?

A ja tymczasem zaryzykuję stwierdzenie, że wystarczą trzy minuty Waszego czasu (a może nawet mniej), by znacząco, niemal do zera, zmniejszyć ryzyko, że padniecie ofiarą tego typu ataku. Jak? Tajemnica tkwi w jednym pliku (nie obawiajcie się, to nie phishing :), CERT Orange Polska approved – link z naszej strony) A gdy już się z nim zapoznacie, bardzo chętnie ja zapoznam się z Waszym zdaniem, w komentarzach. Czy to dobry sposób na edukację? Czy warto rozesłać taki plik swoim mniej technicznym znajomym, czy bliskim? A może już to zrobiliście?

Trzy minuty o phishingu

Udostępnij: Jak rozpoznać phishingowy mail?

Dodano do koszyka.

zamknij
informacje o cookies - Na naszej stronie stosujemy pliki cookies. Korzystanie z orange.pl bez zmiany ustawień przeglądarki oznacza,
że pliki cookies będą zamieszczane w Twoim urządzeniu. dowiedz się więcej