Sudet lammasten vaatteissa:
Näiden yritysten nimissä kyberrikolliset lähettävät urkintaviestejä
Check Pointin tietoturvatutkijat kertovat uusimmassa brändiväärennösraportissaan, että Microsoft oli huhti-kesäkuussa 2021 brändi, jota kyberkonnat jäljittelivät useimmin.
Espoo – 15. heinäkuuta 2021 Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut vuoden 2021 toista kvartaalia koskevan Brand phishing -raporttinsa. Raportista selviää, mitä tuotemerkkejä kyberrikolliset useimmin hyödynsivät kalastellessaan uhrien henkilötietoja tai verkkotunnuksia.
Microsoft varoitti viime kuussa uuden, venäläisen Nobelium-ryhmän kalastelukampanjasta ja joutui itsekin sen uhriksi. Teknologiajätti oli myös kyberrikollisten hyökkäyksissään useimmin hyödyntämä brändi, sillä 45 prosenttia kaikista brändiväärennöksistä koski Microsoftia. Se oli brändiväärennösten listaykkönen myös tämän vuoden ensimmäisellä ja viime vuoden viimeisellä kvartaalilla. Kuljetusyhtiö DHL piti paikkansa toiseksi yleisimmin imitoituna yrityksenä 26 prosentin osuudella. Rikolliset hyödynsivät tällä tavoin verkkokaupan kasvua.
Toimialoittain tarkasteltuna teknologiayritykset ovat väärentäjien suurimmassa suosiossa, ja toiseksi eniten väärinkäytetään kuljetusyritysten ja vähittäiskaupan brändejä. Kuluvan vuoden alussa pankit nousivat vähittäiskaupan paikalle listan kolmossijalle, mutta vuoden kääntyessä kohti kesää kaupan ala palasi entiselle paikalleen.
”Cyberrikolliset yrittävät yhä useammin päästä käsiksi ihmisten henkilötietoihin nimenomaan tunnettuja brändejä väärinkäyttämällä. Esimerkiksi kesäkuussa Amazonin ison myyntitapahtuman Amazon Prime Dayn edellä rekisteröitiin yli 2 300 uutta domainia Amazoniin viittaavilla nimillä”, Check Pointin Suomen ja Baltian maajohtaja Sampo Vehkaoja kommentoi.
”Ikävä kyllä, niin kauan kuin verkko-osoitteiden pienet virheet tai yritysten nimissä lähetetyt epäilyttävät sähköpostit ja tekstiviestit eivät soita ihmisten hälytyskelloja, tilanne jatkuu ja kyberrikolliset hyödyntävät yritysten mainetta henkilötietojen keräämiseen. Havaitsimme kesän alussa myös voimakkaan piikin kiristyshyökkäysten määrässä. Rikolliset valmistelevat kiristyshyökkäyksiä usein nimenomaan haitallisia liitteitä sisältävien kalastelusähköpostien avulla. Kehotamme huolellisuuteen henkilötietojen ja salasanojen kanssa ja toivomme, että jokainen ajattelisi kaksi kertaa ennen kuin avaa sähköpostissa tulleen liitteen tai linkin – etenkin, jos viesti on tullut esimerkiksi Amazonilta, Microsoftilta tai DHL:lta, joiden viestejä väärennetään useimmin”, Check Pointin datatutkimusryhmän vetäjä Omer Dembinsky toteaa.
Brand Phishing -hyökkäyksestä on kysymys, kun rikolliset yrittävät jäljitellä tunnetun tuotemerkin verkkosivuja käyttämällä samaa tai lähes samaa domain-nimeä tai URL-osoitetta ja samantyyppistä sivuston ulkoasua. Väärennetylle sivustolle voidaan houkutella uhreja sähköpostilla tai tekstiviestillä, mobiilisovelluksen avulla tai verkkoselaimessa. Väärennetty sivusto sisältää usein lomakkeen, jonka avulla kyberrikolliset keräävät uhrien henkilötietoja ja salasanoja.
Useimmin väärennetyt brändit, Q2 2021
- Microsoft(mukana 45 prosentissa kaikista tietojenkalasteluyrityksistä globaalisti)
- DHL (26 %)
- Amazon (11 %)
- Bestbuy (4 %)
- Google (3 %)
- LinkedIn (3 %)
- Dropbox (1 %)
- Chase (1 %)
- Apple (1 %)
- Paypal (0,5 %)
Esimerkki: Microsoftin nimissä lähetetty tietojenkalasteluviesti
Kevään aikana CPR:n haaviin osui kalasteluviesti, jossa yritettiin varastaa Microsoft-tilin salasanoja. Sähköposti (kuva 1) oli lähetetty väärennetystä sähköpostiosoitteesta Microsoft (no-reply@microsoft[.]com), ja sen otsikossa väitettiin vastaanottajan tilauksen päättyneen: ”Your Subscription Has Been Expired”. Hyökkääjä yritti houkutella uhria klikkaamaan haitallista linkkiä (http://adminsys[.]serveftp[.]com/nensa/fabio/ex/478632215/zer7855/nuns566623), joka vie käyttäjän väärennetylle Microsoftin tunnistautumissivulle (kuva 2). Uhrin oli tarkoitus täyttää lomakkeelle Microsoft-tilinsä tiedot.
Esimerkki tilikaappauksesta: Amazonin nimissä lähetetty kalasteluviesti
Toisessa kevään kalasteluviestissä yritettiin anastaa Amazon-käyttäjätilin tunnuksia. Sähköposti (Kuva 1) oli lähetetty osoitteesta Amazon Service (Service@srv[.]androidscrib[.]com), ja sen otsikko väitti, että vastaanottajan tili oli lukittu: ”Your amazon account has been locked”. Hyökkääjä yritti houkutella uhria klikkaamaan linkkiä linkki (https://habitosdamente[.]com[.]br/wp-admin/includes/logs/update-your-account-information/security-measure/?iyh_re), joka vei käyttäjän väärennetylle, mutta oikean Amazonin kirjautumissivun näköiselle sivulle (Kuva 2). Sivulla pyydettiin uhrin käyttäjänimeä ja salasanaa.
Check Point kerää brändiväärennösraportin tiedot ThreatCloud-verkostonsa kautta. ThreatCloud on maailman laajin kyberrikollisuuden paljastamiseen tähtäävä verkosto, joka kerää tiedot hyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman. ThreatCloud-tietokanta tarkastaa päivittäin yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa ja tunnistaa yli 250 miljoonaa haittatapahtumaa päivittäin.
Lue lisää aiheesta Check Point Researchin blogista.
Lisätiedot:
Sampo Vehkaoja, Country Manager, Finland and Baltics, Check Point Software Technologies, sampov@checkpoint.com.
Haastattelupyynnöt: Maija Rauha, viestintäkonsultti, OSG Viestintä, maija.rauha@osg.fi, p. 0400 630 065
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch