Alle IT-afdelinger kender til phishing! Men ved de, at de fleste af disse angreb fokuserer på Brands, at de peaker om onsdagen og finder sted inden for 3-5 dage efter registreringen af det pågældende domænenavn, der er oprettet med henblik på phishing? En nyligt lavet analyse giver os mulighed for at give dig en ret komplet profil af disse angreb og give dig vores anbefalinger til at begrænse deres omfang.
Den dybdegående undersøgelse, som Interisle Consulting Group gennemførte fra 1. maj til 31. juli 2020, efterlader ingen tvivl om at det er mere “skarpe” strategier, som svindlere anvender. I denne korte periode blev 99.412 domænenavne brugt til phishing og dette udløste 122.092 angreb. Det giver en bedre forståelse af omfanget af dette fænomen, hvor brands er de foretrukne mål: de udgør 43 % af angrebene. Blandt dem er banker, sociale medier, skattetjenester, universiteter og for at nævne de mest kendte, Amazon, Apple, AT&T, Chase, Facebook, LinkedIn, Microsoft, Outlook, Paypal og WhatsApp. Hvad værre er, ifølge de indsamlede data er mere end 300 af dem blevet angrebet mindst fem gange!
Ud over disse tal bidrager undersøgelsen også til at skitsere den nuværende profil for et phishing-angreb: de er korte (ca. 21 timer), finder hovedsagelig sted midt på ugen og opdages først 8 timer og 44 minutter efter, at ofrene er begyndt at logge ind.
Den viser også, at der for domænenavne med en kendt registreringsdato finder phishing-angreb sted:
- inden for 14 dage i 45 % af tilfældene;
- men inden for de første 3 dage for 57 % af de domænenavne, der er registreret til skadelige formål. Af disse domænenavne, der er identificeret som skadelige, forbliver 17 % (kendt som hvilende/inaktive domænenavne) ubrugte af hackere i mere end 90 dage efter registreringen, mens andre forbliver ubrugte i mere end et år, mens de venter på fremtidige angreb.
Endvidere viser undersøgelsen, at:
- 54 % af de angrebne domænenavne er registreret i .COM og .NET;
- Kun 24 % bruger geografiske endelser (ccTLD’er), men foretrækker de fem, der tilbyder billige registreringer, nemlig .TK (Tokelau), .GA (Gabon), .ML (Mali), .CF (Den Centralafrikanske Republik) og .GQ (Ækvatorialguinea);
- 18 % af domænenavnene er i de nye domæneendelser (mens disse nTLD’er kun udgør 9 % af alle de domænenavne, der er registreret i verden); det er værd at bemærke, at .BUZZ (der især er dedikeret til sociale interaktioner) er på femte pladsen over de domæneendelser, der anvendes af hackerne.
Det er dog sandsynligt, at omfanget af phishing er undervurderet. I undersøgelsen nævnes flere årsager, der kan være en hindring for at opdage og identificere angreb. Disse kan være:
- visse undvigelsesteknikker, der anvendes af svindlere, navnlig “cloaking”, som består i at præsentere forskelligt sideindhold, alt efter om den besøgende er et menneske eller en robot;
- de forskellige politikker om datafortrolighed, der garanterer svindlernes anonymitet, f.eks. GDPR.
EBRAND’S RÅD
Hackernes foretrukne teknik er identitetstyveri (spoofing), og indgangen til de fleste af disse bedragerier er stadig domænenavnet. For at oprette den falske e-mailadresse, der skal bruges til deres phishing-operationer, skal hackerne nemlig registrere et vildledende domænenavn på forhånd. Det er ikke muligt at forhindre oprettelsen af en e-mailadresse, men det er meget muligt at begrænse registreringen af domænenavne, der anses for at være “risikofyldte”.
Hvis du bemærker en betydelig stigning i antallet af angreb, er det vigtigt at indføre en tilpasset overvågning for at opdage disse angreb, men også for at forebygge sådanne angreb ved at foretage defensive registreringer af mere målrettede domænenavne.
Derfor tilbyder EBRAND dig XRay, et helt nyt antiphishing-detektionsværktøj. Dette værktøj overvåger på timebasis domæne- og subdomæne records for at undersøge sammensætningen af falske domænenavne og deres registreringshyppighed. Detekteringen sker blandt de angivne DNS-poster, men også blandt andre databaser, f.eks. ved oprettelsen af SSL-certifikater. På baggrund af den gennemførte undersøgelse vil du kunne tilpasse din defensive strategi på internettet mere præcist. Denne metode har vist sig at være meget effektiv til at forhindre angreb. Desuden giver overvågning på timebasis det nødvendige spillerum til at handle eller reagere inden fristen på tre dage.
Klik på banneret nedenfor for at få flere oplysninger om Xray-løsningen.
