Hirdetés
. Hirdetés

Miért az online tárolási szolgáltatások az adathalász-támadások elsődleges célpontjai?

|

A sötét oldalról fenyegető játékosok megtalálják a felhőalapú online tárolószolgáltatások kihasználásának módját, és social engineering technikákat használnak a szervezetekbe való beszivárgás és rosszindulatú programok telepítése érdekében.

Hirdetés

A felhőalapú online tárolószolgáltatások arra is alkalmasak, hogy fájlokat osszon meg barátaival. Azonban nem minden online tárhelyre mutató link veszélyatelen, mivel egyre több bűnöző él vissza a népszerű felhőalapú fájlmegosztó szolgáltatásokkal, hogy rosszindulatú szoftverekre mutató linkeket terjesszen.

A támadók adathalász technikákat alkalmaznak, hogy rávegyék az áldozatokat rosszindulatú fájlok letöltésére. A Unit42 biztonsági kutatóinak nemrégiben készült jelentése bemutatja, hogy az ilyen linkek mennyire veszélyesek lehetnek. Jelentésük szerint a Cloaked Ursa (APT29) hackercsoport tagjai ilyen linkeket használtak a portugál és brazil nagykövetségek megtámadására 2022 májusában és júniusában.

Hirdetés

A támadók egy speciálisan elkészített PDF-et alkalmaztak, amely elvileg a nagykövetségekkel tervezett időpontokhoz vezetett volna. A linkre kattintva azonban egy sor rosszindulatú művelet indult el, például a felhasználói adatok megszerzése és rosszindulatú programok letöltése a Google Drive-ról vagy a Dropboxról.

Sőt, a bűnözők az online tárhelyet arra használták, hogy ott parkoltassák az ellopott információkat. A Cloaked Ursa valószínűleg az orosz hírszerző szolgálat, az SVR ernyője alatt dolgozik, és a múltban - például a SolarWinds meghackelésénél - már felhívta magára a figyelmet. Azonban kevésbé jól szervezett hackercsoportok is használnak ilyen trükköket magánszemélyek megtámadására.

Chris Morgan, a digitális kockázatvédelmi megoldásokat kínáló Digital Shadows vezető kiberfenyegetettség-elemzője elmondta, hogy a megbízható felhőalapú tárolóplatformok rendkívül csábítóak a kiberfenyegetésel foglalkozó szereplők számára, és egyre népszerűbbek a "living-off-the-land" alapú technikák. Ezek az áldozat rendszerében már meglévő, natív, ott jelen lévő eszközöket használó támadások, mivel ezek használata elfedi a rosszindulatú tevékenységet, és segít a felderítés elkerülésében.

"A felhőalapú tárolási platformok a vállalati hálózatokban mindennaposak, a Dropboxon vagy a Google Drive-on keresztül megosztott anyagok valószínűleg nem keltenek indokolatlan gyanút. A felhőalapú tárolási megoldásokkal való visszaélés rendkívül gyakori, többek között az államilag támogatott és kiberbűnözői fenyegető csoportok által" - mondta Morgan.

A felhőalapú tárolási szolgáltatások kockázatának minimalizálása nagyrészt annak megértéséből ered, hogy milyen szolgáltatásokat használnak a hálózaton belül, és folyamatokat alakítanak ki a biztonságos használatra. Ez számszerűsítheti a használatukkal járó kockázatot a szakember véleménye szerint. Azt ajánlja, hogy a rendszergazdák dokumentálják, mely folyamatokat kell engedélyezni és melyeket kell tiltani, és állapítsák meg, milyen észlelési intézkedések vannak érvényben a visszaélések felismerésére.

"A hitelesítési ellenőrzések, például a VPN használata a felhő és a felhasználók közötti biztonságos, titkosított csatornák létrehozására, szintén nagyban segíthetnek abban, hogy minimálisra csökkentsék annak esélyét, hogy a felhőalapú tárolási szolgáltatásokkal a fenyegető szereplők visszaéljenek" - tette hozzá.

Andrew Hay, a LARES Consulting információbiztonsági tanácsadó cég COO-ja szerint a felhőalapú tárolás elterjedésének két legnagyobb mozgatórugója a költségek és az online tárolási szolgáltatások általános elérhetősége. "Egy új Google-fiók regisztrálása és a fájlok megosztása egyáltalán nem kerül semmibe. Emellett sok szervezet egyszerűen engedélyezi a hozzáférést a felhőalapú tárhelyszolgáltatókhoz, hogy ne zavarják az alkalmazottak munkáját" - mondta.

A jobb védelem érdekében a szervezeteknek meg kell határozniuk a felhőben tárolt tárhelyszolgáltatók jóváhagyott listáját, és meg kell tiltaniuk a hozzáférést mindenhez, ami nem szerepel a jóváhagyott listán. Hay szerint az is jó ötlet lenne, ha biztosítanának egy vállalati fájlmegosztó és tároló platformot, és azt megtennék a fájlok megosztásának jóváhagyott, szabványos eszközévé.

Az online tárolási szolgáltatásokon keresztül történő támadások veszélye "hullámzik és áramlik", mint sok más fenyegetésvektor. "Gyakran látjuk, hogy a fenyegetések szereplői a nem működő eszközökről olyasmire váltanak, ami korábban működött - és talán újra működni fog" - mondta Hay.

John Bambenek, a Netenrich biztonsági és műveletelemző SaaS-vállalat vezető fenyegetésvadásza szerint az online tárolási szolgáltatások azért csábító vektorok a kiberbűnözők számára, mert bármi felhasználható, ami megbízható és használatban van az áldozat szervezetében. "A bűnözők a kattintási arányon élnek és halnak. Az amerikai szervezetek nem ismernék fel vagy nem tekintenék normálisnak a QQ-t. Ha azonban a felhasználó a Google Drive-ot használja, akkor sokkal fogékonyabbak az azt érintő vagy arra hivatkozó támadásokra" - mondta.

A viselkedéselemzés kulcsfontosságú a fiókátvételek felderítésében, amelyek ennek egy részét észlelik, míg az e-mail szolgáltatások erős adathalászat elleni védelme szintén segít - ahelyett, hogy például az Office 365 bázisára támaszkodnának - mondta. Végül Bambenek szerint a felhasználókat ki kell képezni arra, hogy figyelmesek legyenek, hogy az ilyen jellegű kísérleteket észrevegyék és jelenteni tudják a biztonsági műveleti központnak.

"Ezek a támadások a szolgáltatások megbízhatóságának növekedésével párhuzamosan fokozódnak. Ez azért válik jövedelmezőbbé, mert a kiberbiztonság számos aspektusa, például a hálózati biztonság vagy az IDS nem áll rendelkezésre a felhőalapú erőforrások védelmére. A vállalati fiókok átvétele sokkal többet jelent most, hogy mindenki távolról jelentkezik be és fér hozzá a felhőalapú erőforrásaihoz" - jegyzete meg.

Bambenek azt jósolja, hogy a támadások tovább fognak fejlődni, ahogy a szervezeti informatikai stackek fejlődnek, rámutatva, hogy 10 évvel ezelőtt a szervezetek adatvesztési vektorként blokkolhatták a felhőalapú tárolókat, de ma már ezek megbízható erőforrások. "Alapvetően minden nyitott és látható a támadók számára, akik szó szerint ugyanazokon a kiállításokon vesznek részt, mint mi, hogy lássák, hogyan változik az IT-térség" - mondta

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.