Svakog meseca pojavi se skoro 1,5 miliona novih phishing sajtova
Rekordna stopa rasta phishing napada u 2017. Napadi su sve sofisticiraniji i uspešniji.
Ove godine beležimo veliki rast malicioznih sajtova, a rekordan broj novih sajtova (čak 2,3 miliona) pojavio se u maju. Najnoviji Webroot izveštaj o pretnjama otkriva da se svakog meseca pojavi oko 1,385 miliona novih phishing sajtova što nam daje uvid u to koliko je zaista velika phishing industrija.
Phishing napadi iz godine u godine, nažalost, bivaju sve bolji i sofisticiraniji. Napadači precizno ciljaju svoje žrtve, napade je teško detektovati, a žrtve imaju sve više problema da ih izbegnu.
Najnoviji phishing sajtovi imaju realistične web stranice koje web crawleri gotovo ne mogu pronaći. Cilj phishinga je uvek isti – na prevaru izvući lične, poslovne i druge osetljive informacije od korisnika koji ništa ne sumnja.
I kompanije u Srbiji su sve češće na meti phishing napada, o čemu redovno pišemo.
Ključni nalazi studije
U 2017. godini beležimo rekordnu stopu rasta phishing napada. Phishing je i dalje jedna od najčešćih i najraširenijih bezbednosnih pretnji sa kojom se suočavaju pojedinci i organizacije. On je uzrok broj jedan ilegalnog upada u sistem. Dnevno se pojavi oko 46.000 novih phishing sajtova. Sama činjenica da ih ima toliko kompanijama znatno otežava odbranu.
Studija takođe otkriva da je životni vek phishing sajtova kratak. U prvih 6 meseci ove godine u proseku su novi phishing sajtovi bili aktivni 4-8 sati. Cilj ovakvih sajtova kratkog veka je da se izbegne detekcija tradicionalnim anti-phishing strategijama poput liste blokiranih sajtova. Čak i kada bi se liste ažurirale svakog sata, obično su ti podaci stari 3-5 dana u trenutku objavljivanja što napadačima daje dosta vremena da izvuku informacije od žrtve i nestanu.
Napadi su sve sofisticiraniji i uspešniji u varanju žrtvi. Nekada su phishing napadi nasumično ciljali što veći broj ljudi nadajući se da će dovoljan broj njih otvoriti maliciozni atačment ili posetiti maliciozni sajt. Danas napadači imaju drugačiji pristup. Hakeri istražuju i primenjuju tehnike socijalnog inženjeringa kako bi otkrili relevantne personalne informacije koje će upotrebiti za personalizovani napad. Phishing sajtovi se takođe kriju iza benignih domena i maskiraju prave URL-ove, ubacuju sve opasnije malvere i varaju korisnike realističnim kopijama legitimnih sajtova.
Napadači uglavnom kopiraju sajtove nekolicine poznatih kompanija. Iako se mesečno pojavi više od milion novih phishing sajtova, većina njih nastoji da prevari korisnike tako što oponaša sajtove nekoliko globalno poznatih kompanija. Najčešće su u pitanju finansijske i tehnološke kompanije, a među 10 „omiljenih“ za napadače spadaju sledeći: Google (35%), Chase (15%), Dropbox (13%), PayPal (10%), Facebook, Apple, Yahoo, Wells Fargo, Citi i Adobe.
Koliko phishing „košta“ kompanije?
Prema zvaničnoj FBI objavi iz maja ove godine, phishing prevare nanose štetu od 500 miliona dolara godišnje američkim kompanijama.
U Verizon izveštaju navodi se da je phishing odgovoran za 90% ilegalnih upada u sistem i bezbednosnih incidenata.
ESG u svom izveštaju kaže da se 63% anketiranih bezbednosnih i mrežnih influensera i onih koji donose odluke suočilo sa phishing napadima u prethodne 2 godine. Njih 46% je reklo da napadi malverom sve preciznije ciljaju potencijalne žrtve, a 45% anketiranih smatra da se danas suočavamo sa većim brojem malver pretnji nego u prethodne 2 godine.
Zaključak
Aktuelni phishing napadi su opasniji nego ikad. Izuzetno visok nivo sofistikacije, vešto sakrivanje malicioznih linkova, temeljna priprema za napad putem prikupljanja što većeg broja informacija o izabranoj meti, korišćenje psihologije i tehnika socijalnog inženjeringa stavljaju phishing na ubedljivo prvo mesto sajber pretnji današnjice. Niko nije potpuno bezbedan, čak ni iskusni profesionalci iz oblasti sajber bezbednosti. Zbog toga je potrebna stalna edukacija korisnika uz zaštitu organizacije na osnovu informacija o pretnjama u realnom vremenu.
Za kraj, pročitajte i podsetite se kako da prepoznate phishing sajt.