Nätfiske i framtiden: statistik och prognoser för 2022 och därefter
Nätfiske är det äldsta tricket i en hackers bok. Ändå, trots sin ålder, är just denna attackvektor den mest uthålliga av dem alla. Med tiden har nätfiskeförsök till stor del förbättrats i deras förmåga att framstå som mer legitima och på ett övertygande sätt lura lekmannen och – faktiskt – även cybersäkerhetsexperter i många fall.
Med framväxten av artificiell intelligens, Internet of Things och relaterade teknologier kommer volymen och virulensen av nätfiske bara att öka. Föga överraskande rapporterar APWG att nätfiskewebbplatser har ökat från ett antal av 138 328 till 266 387, vilket motsvarar en nästan fördubblad ökning under den korta perioden mellan 2018 Q4 och 2019 Q3.
Det är bara en av många alarmerande statistik som avslöjar hur förödande nätfiske har varit den senaste tiden för både människor och företag. Den senaste tidens händelser, teknisk utveckling (AI och djupt falsk) och omgivande data indikerar oroande – som du kommer att få reda på i den här artikeln – att hotet om nätfiske kan bli ännu större och mer lömskt än det redan är.
Och vi kanske inte är helt förberedda på det.
Nätfiskestatistik – Skadan som skett
Dela denna bild på din sida
Statistiken för nätfiske visar en uppåtgående trend, en omisskännlig ökning som inte har observerats under de senaste 3 åren. Greg Aaaron, APWG Senior Research Fellow sa "Detta är den värsta perioden för nätfiske som APWG har sett på tre år, sedan fjärde kvartalet 2016".
Enligt Verizon var 32 % av dataintrången som rapporterades 2018 ett resultat av nätfiskeattacker. Detta blev ännu värre under 2019 med nätfiske som ansvarade för 90 % av dataintrången. Statistiken tyder på att hackare fortfarande till övervägande del förlitar sig på social ingenjörskonst och självförtroendetrick snarare än brute-force och andra mer sofistikerade attacker för att komma åt känslig information om användare/företag.
Effektiviteten och den höga framgångsfrekvensen för nätfiskeattacker för cyberbrottslingar kan också uppskattas utifrån det faktum att så många som 1,5 miljoner nätfiskewebbplatser skapas varje månad. En sådan extraordinärt hög aktivitet kan bara upprätthållas om agenterna bakom nätfiske tjänar bra på det.
Faktum är att på företagsnivå är de genomsnittliga förlusterna för medelstora företag som drabbats av nätfiske 1,6 miljoner USD. Inte konstigt att nätfiske har en speciell plats i varje hackers hjärta.
Den bestående framgången med nätfiske är helt enkelt ett resultat av vår mänskliga tendens att bli frestad att utföra en handling, särskilt när vi litar på källan.
Salvatore Stolfo, CTO på Alluresecurity konstaterar träffande:
Det är sant att AI kan omvändskonstrueras och beväpnas av motståndare för att rikta in sig på människor med cyberattacker. Men verkligheten är att när det kommer till nätfiske behöver angripare inte ens vara så tekniskt kunniga för att lyckas. Och det är därför nätfiske fortsätter att bestå som en toppattackvektor. Det utnyttjar vår grundläggande instinkt att lita på och klicka på en länk som vi tror kommer från en legitim källa, som din bank, eller ett varumärke du känner till och litar på som Microsoft, Netflix eller PayPal.
Evolving Methods – Phishers on the Storm
Metoderna och strategierna för nätfiske kommer bara att bli mer sofistikerade med tiden. Faktum är att förbättringar av tekniker redan är uppenbara, vilket pekar mot en allvarligt prekär cybersäkerhetsmiljö i de kommande tiderna.
Dela denna bild på din sida
Riktade spam-attacker
Vi har redan sett förändrade normer när det gäller nätfiske via e-post. Traditionellt är hagelgevärsmetoden vanligare när hackaren vill locka så många människor som möjligt. Men attacker mot företagssäkerhet är avsevärt mer sannolikt att bli framgångsrika när de utförs på ett riktat sätt, en teknik som kallas spear-phishing.
Cisco hävdar att 95 % av alla attacker på företagssäkerhetsnätverk är möjliga på grund av spear-phishing. I en spear-phishing-attack kan en hackare utge sig för att vara en verklig – ofta högprofilerad – medlem av en organisation eller industri i ett försök att lura mottagaren av e-postmeddelandet för att avslöja deras information.
Spear-phishing-e-postmeddelanden utnyttjades fullt ut som den primära infektionsmetoden som användes av 71 % av hackergrupperna under 2017. Den höga framgångsfrekvensen för spear-phishing är helt enkelt ett resultat av bättre förtäckt identitetsstöld, vilket lockar även de mer försiktiga bland oss att bli lurad.
Dennis Bell, en IT-expert och grundare av Byblos Coffee, förutspår att:
År 2021 skulle Spear-nätfiske vara mer utbrett… AI och ML kan användas för att identifiera de bästa målen baserat på vad de gör online. De kan till och med samla information om vem som har mest åtkomst i deras företagsnätverk. När AI och ML har tagit fram profiler kan de börja skicka anpassat nätfiskematerial baserat på målets sårbarheter.
Deep Fakes och AI
Missbruket av AI och den resulterande utvecklingen av teknik som en djup fejk är ytterligare ett hårt slag mot våra förhoppningar om ett nätfiskefritt internet. Innan AI kunde nätfiskare bara dölja sig bakom smart designade e-postmeddelanden och webbplatser. Med AI och Deep Fake kan de till och med imitera ansiktet och rösten till vilken person de väljer, vilket ger sociala ingenjörsbedrägerier en helt ny dimension.
Kim Martin, marknadschef på biometriföretaget ID R&D, påpekar:
Bedragare använder maskininlärning och AI för att utföra sofistikerade nätfiskeattacker där de utger sig för att vara riktiga, auktoriserade användare genom framsteg inom syntetiskt tal. I ett nyligt scenario involverade en röst "djupt falsk" som lurade en VD att överföra 243 000 USD till en ungersk leverantör. Vd:n trodde att förfrågan kom från hans chef. Med dessa funktioner har bedragare hittat ett nytt verktyg för social ingenjörskonst och ett sätt att komma förbi biometrisk baserad autentisering om de rätta skydden inte finns på plats.
Framsteg inom naturlig språkbehandling öppnar ytterligare en väg för hotaktörer. Att använda maskininlärning för att skriva officiella korrespondenser utformade för att lura företagspersonal är en mycket verklig möjlighet idag och kommer nästan säkert att bli mer utbredd i framtiden.
Natural Language Processing är ett av de mest aktivt undersökta områdena inom AI, som kan förstå mänskliga språk och kommunicera effektivt med detsamma. Eftersom dessa möjligheter förbättras med tiden, kommer det att bli en stor utmaning att märka skillnaden mellan språk som skapats av människor och maskin. Som Digital Privacy Expert Attila Tomaschek framhåller:
en cyberbrottsling kan injicera ett stycke skadlig programvara i en befintlig e-posttråd som har förmågan att utnyttja AI och ML för att analysera trådens språk och sammanhang för att lära sig och efterlikna naturligt mänskligt språk och därigenom skräddarsy övertygande, naturligt klingande nätfiske-e-postmeddelanden till individuella mål." Han påpekar också hur AI-drivna chat-bots kan lura offer att klicka på skadliga länkar.
Det mest alarmerande faktum bland alla dessa är att detta inte är en futuristisk förutsägelse som är för långt från nutiden för att börja oroa sig för. Det är mycket verkliga förmågor som redan finns i nästan skrämmande omfattning.
Maskininlärning kan också göra nätfiskeattacker omöjliga att upptäcka. Med tiden kan e-post lära sig att kringgå e-postfilter och använda ett mer och mer realistiskt språk för att framstå som helt legitimt. Om detta delar Will Pearce, en senior säkerhetskonsult på Silent Break Security
Adversarial Machine Learning har förmågan att göra nätfiskeförsök omöjliga att upptäcka – en del forskning publicerad 2019 kallad "Proof-Pudding" gjorde just detta. Proofpoint-spamfiltret läckte spamförutsägelsepoäng, forskningen samlade in en datauppsättning och tränade en modell för att mata ut ord som skulle säkerställa att nätfiske-e-postmeddelanden blev "oupptäckta". Machine Learning-system är en ny attackyta som i allmänhet inte är väl förstådd.
Med tanke på att enkla algoritmer kan användas för att fastställa även dolda delar av information på Facebook-profiler, kommer kombinationen av djupt falska och kontradiktoriska ML att avsevärt bredda utbudet av attacker till en vanlig nätfiskares förfogande.
Homografattacker
En homografattack utnyttjar det faktum att många bokstäver i alfabetet i de flesta moderna språk är lika. Till exempel är bokstaven B β på grekiska. Medveten om detta kan en skadlig nätfiskewebbplats använda ett domännamn som ser exakt ut som en annan legitim domän. Skillnaden på ett litet tecken är ofta omöjligt att lägga märke till, särskilt på skärmarna på mindre handhållna enheter som smartphones.
Till exempel: https://www.theíndependent.com/ skiljer sig från The Independents domän endast i ett tecken: "í" för "i". Dessa look-alike-domäner bidrar bara till den arsenal av tekniker som moderna nätfiskare har till förfogande.
Framtiden som kommer – Corona, val i USA och missbruk av teknik
Dela denna bild på din sida
Teknologisk kapacitet representerar bara ett möjlighetsområde bland flera som nätfiskare utnyttjar för att lansera allt mer förödande cyberattacker. Med utnyttjande av paniken som skapats av det mystiska coronaviruset, lanserar bedragare nätfiskekampanjer för att lura människor att klicka på skadliga länkar och ge känslig information.
Det mest anmärkningsvärda fallet med sådana nätfiskemissbruk rapporterades av Kaspersky där nätfiske-e-postmeddelanden som låtsas skickas av CDC stjäl din information när du klickar på en länk som ber om din Outlook-inloggning. E-postmeddelandena kommer från en cdc-gov.org-domän, även om domänen för den legitima CDC är cdc.gov.
Det räcker med att säga att det är extremt svårt för en genomsnittlig användare att märka denna skillnad i domänen och misstänka bedrägeri, särskilt när e-postmeddelandet är formulerat så övertygande med legitima externa länkar. Naturligtvis finns det inget legitimt med hela mejlet i verkligheten.
Dessa taktiker drar sin effekt från paniken kring situationen (i det här fallet coronaviruset), där den rådande osäkerheten och brådskan kan kortsluta även en vis mans omdöme. Mot verkliga hot är faran för cyberattacker, hur verklig den än är, i bästa fall avlägsen och perifer.
US Elections 2021 kommer att presentera sig som ytterligare en möjlighet för nätfiskare att göra sina dåliga affärer som de gjorde i föregående val. Som Orion Casetto, direktör för produktmarknadsföring på Exabeam, uppmärksamt konstaterar
Nätfiske försvinner inte inom kort. Glöden kring det amerikanska presidentvalet 2021 ger blivande angripare den perfekta miljön för att genomföra nätfiske- och sociala ingenjörskampanjer. Många människor är passionerade, redo att vidta åtgärder och tar emot en störtflod av kommunikation från nya källor; det här är en perfekt storm som ger människor stora möjligheter att falla offer för välgjorda nätfiske-e-postmeddelanden förklädda som kommunikation från politiska organisationer och kandidater.
Dessa viktiga händelser i kombination med hjälp av AI kommer bara att uppmuntra nätfiskare och bedragare att sätta in ytterst skadliga kampanjer riktade mot alla delar av samhället från individen till organisationer av alla storlekar.
Förbereder sig för ett nätfiskeutbrott
Det bästa försvaret mot nätfiske är fortfarande ditt vanliga gammaldags omdöme, intelligens, sunt förnuft och försiktighet. Tyvärr, i en fartfylld värld där människor har minskande uppmärksamhetsförmåga och ännu lägre tålamod, börjar det bli en ganska utmaning att vara försiktig och vara försiktig inför varje länk du klickar på och varje webbplats du besöker.
Det är därför som anti-phishing-programvara också blir allt viktigare för att hjälpa människor med felbedömning. Ändå kan några sunt förnuft tips fortfarande rädda dig från att bli nästa nätfiskeoffer.
Dela denna bild på din sida
Tips för användare
- Var uppmärksam på e-postavsändare: Läs alltid avsändarens e-postadresser i din inkorg. Små stavningsändringar, tecken, skiljetecken, etc. som indikerar en imitator är en enorm röd flagga.
- Var mycket försiktig innan du utför åtgärder: Nätfiske-e-postmeddelanden ber dig i allmänhet utföra någon åtgärd som att klicka på en länk och/eller ange dina lösenord, PIN-koder, bankkontonummer etc. Sådana e-postmeddelanden måste undvikas till varje pris om du inte är helt säker på vad du gör.
- Misstänkta bilagor: En annan vanlig egenskap hos nätfiske-e-postmeddelanden är konstiga e-postbilagor. Om du ser några filer eller länkar bifogade till ett e-postmeddelande som du inte förväntar dig, är det bäst att undvika att ladda ner eller klicka på något. Du kan också föra muspekaren över en bilaga eller länk ett tag och kontrollera den faktiska URL som den pekar mot (utan att klicka på den).
Organisationers roll
Det här är några försiktighetsåtgärder du kan vidta som användare. Men det ligger fortfarande ett större ansvar på organisationer av alla slag för att tackla nätfiske mer effektivt. De kan börja med att uppgradera sina sårbara äldre datorsystem till moderna, uppdaterade som Threat Intelligence Team Leader på Skybox Security, understryker Sivan Nir
NCSC-rapporten 2019 upptäckte att mer än 318 offentliga nätverk körs på Windows XP trots att Microsoft upphörde med stödet för det 2014. Med företag som förlitar sig på "legacy" programvara och cyberbrottslingar som använder AI och ML för att mutera sin skadliga programvara, blir nätfiskeattacker nästan osynliga för en företagets ögon och ännu mer förödande.
Stolfo noterar att de flesta nätfiskare ofta använder webbskrapning för att imitera den legitima domänen. Han rekommenderar att bädda in kod på den ursprungliga webbplatsen som gör det möjligt för webbansvariga att spåra och upptäcka om deras webbplats har skrapats, och ta med sig den inbäddade koden. Den här koden utlöser sedan en varning och samlar in information om hackaren, såsom deras geolokalisering, för att hjälpa till att spåra källan till problemet.
Även om dessa åtgärder är viktiga för företag att förbättra sin motståndskraft mot nätfiskeattacker, finns det ingen ersättning för användarmedvetenhet som den mest effektiva förebyggande strategin för att bekämpa nätfiske. I sin mest grundläggande är nätfiske i grunden ett utarbetat självförtroendetrick.
Det är därför naturligt att användare som är uppdaterade med aktuella nätfisketrender är mycket bättre rustade för att identifiera en nätfiskeattack – och korrekt identifiering är allt som behövs för att skydda sig från det. Som Packet Lab -teamet noterar:
Nätfisketrenden kommer definitivt att finnas kvar under 2021 och åldrar framöver. Som Marcus Hutchins (en populär författare av skadlig programvara) en gång påstod, börjar konsten att vända och skapa skadlig programvara på låg nivå bli en förlorad konst eftersom nätfiske bara är ett mycket enklare sätt för motståndare och hackare att uppnå sina mål. Packetlabs tror mycket på detta och inkluderar ofta nätfiskekampanjer som en del av våra bedömningar för att öka medvetenheten om cybersäkerhet och lära anställda hur de kan upptäcka och förhoppningsvis undvika att bli nätfiske
Slutord
Alla befintliga datapunkter och framtida prognoser indikerar att hotet om nätfiske som den vanligaste attackvektorn är här för att stanna. Faktum är att nätfiske som teknik utvecklas snabbt mot högre grader av sofistikering genom att utnyttja artificiell intelligenss kraftfulla kapacitet.
Om det inte vore nog kommer paniken kring Coronaviruset, det kommande valet i USA och andra viktiga händelser bara att förvärra hotet genom att fungera som den perfekta miljön för lömska nätfiskekampanjer för att blomstra och locka alla slags användare på individ och organisation lika nivå.
Trots allvaret i den nuvarande situationen är det de enklaste åtgärderna som kommer att vara avgörande om samhället i stort ska klara sig igenom denna svåra tid: håll dig lugn. Men hur lugna kan vi förbli inför en global pandemi som gör att alla andra problem – avgjort viktiga i sig själva – verkar obetydliga i jämförelse?