Giải mã việc triệt phá Phishing-as-a-Service: Hướng dẫn của CISO về các mối đe dọa đang phát triển

Bối cảnh an ninh mạng luôn biến động, với các tác nhân đe dọa liên tục tinh chỉnh phương pháp của họ. Một mô hình lặp lại liên quan đến việc các cơ quan thực thi pháp luật triệt phá các bộ công cụ Phishing-as-a-Service (PaaS), một sự phát triển, mặc dù tích cực, nhưng thường che giấu những thách thức dai dẳng mà các nhà bảo vệ phải đối mặt. Những vụ triệt phá này làm nổi bật mối đe dọa dai dẳng của lừa đảo trực tuyến, một kỹ thuật vẫn là mối quan tâm hàng đầu của các tổ chức thuộc mọi quy mô.

Điều gì đã xảy ra

Các hành động gần đây của các cơ quan thực thi pháp luật và các công ty an ninh mạng đã nhắm vào cơ sở hạ tầng hỗ trợ các hoạt động lừa đảo trực tuyến tinh vi. Điều này bao gồm các nỗ lực của các thực thể khác nhau nhằm phá vỡ cơ sở hạ tầng tội phạm mạng. Những sự phá vỡ này nhằm mục đích phá hủy các hệ thống cơ bản cho phép các tác nhân đe dọa tiến hành các cuộc tấn công trên diện rộng.

Các hoạt động này thường liên quan đến việc triệt phá nhiều yếu tố tội phạm mạng dựa vào cơ sở hạ tầng được chia sẻ. Mục tiêu là mở rộng quy mô gián đoạn bằng cách nhắm mục tiêu vào các dịch vụ nền tảng mà tội phạm sử dụng. Những nỗ lực như vậy rất quan trọng trong việc chống lại hoạt động buôn bán bất hợp pháp do các doanh nghiệp tội phạm mạng này tạo điều kiện.

Tại sao mô hình này cứ lặp lại

Mặc dù các cơ quan thực thi pháp luật đã thành công, mô hình các bộ công cụ PaaS xuất hiện, bị triệt phá và sau đó các bộ công cụ mới xuất hiện, vẫn tồn tại do bản chất kinh doanh của tội phạm mạng. Các tác nhân đe dọa coi hoạt động của họ như các doanh nghiệp, liên tục thích nghi và đổi mới. Phạm vi toàn cầu của các hoạt động này khiến việc xóa bỏ hoàn toàn trở nên khó khăn.

Lừa đảo trực tuyến vẫn hiệu quả vì nó khai thác các lỗ hổng của con người, thường không phụ thuộc vào quy mô của tổ chức hoặc ngân sách an ninh mạng. Tội phạm mạng là những kẻ cơ hội, tìm kiếm bất kỳ điểm yếu trực tuyến nào. Việc dễ dàng tiếp cận các công cụ tinh vi thông qua các mô hình PaaS làm giảm rào cản gia nhập vào tội phạm mạng, duy trì chu kỳ này.

Kịch bản tấn công từng bước

Những kẻ tấn công tận dụng các bộ công cụ PaaS thường tuân theo một kịch bản được xác định rõ ràng. Đầu tiên, chúng mua hoặc phát triển một bộ công cụ lừa đảo, cung cấp các mẫu và cơ sở hạ tầng để khởi chạy các chiến dịch. Các bộ công cụ này thường bắt chước các dịch vụ hợp pháp, như các chuyên gia bảo mật đã lưu ý.

Tiếp theo, chúng phân phối email lừa đảo hoặc tin nhắn SMS (smishing) được thiết kế để dụ dỗ nạn nhân. Những tin nhắn này thường chứa các liên kết độc hại. Khi nhấp vào, nạn nhân được chuyển hướng đến các trang thu thập thông tin xác thực, trông có vẻ xác thực nhưng lại do kẻ tấn công kiểm soát.

Cuối cùng, thông tin xác thực đã thu thập được sử dụng để truy cập trái phép, đánh cắp dữ liệu hoặc các cuộc tấn công tiếp theo. Một số bộ công cụ nâng cao thậm chí có thể sử dụng các kỹ thuật để ẩn hoạt động của chúng, chẳng hạn như hiển thị các trang lỗi cho các nhà nghiên cứu bảo mật hợp pháp trong khi cung cấp nội dung độc hại cho nạn nhân.

Những gì các nhà bảo vệ đã bỏ lỡ

Một khía cạnh quan trọng mà các nhà bảo vệ thường bỏ lỡ là sự tinh tế của một 'vụ triệt phá'. Một vụ triệt phá được báo cáo không phải lúc nào cũng có nghĩa là một trang web lừa đảo thực sự ngoại tuyến. Các nhà cung cấp có thể báo cáo một trang web đã bị xóa, nhưng nó vẫn có thể đang phục vụ các trang thu thập thông tin xác thực thông qua các mạng hoặc thiết bị khác nhau.

Lý do cho một trang web 'trực tuyến' sau khi bị triệt phá bao gồm việc dựa vào nội dung được lưu trong bộ nhớ cache, chuyển hướng đến cơ sở hạ tầng mới hoặc các nỗ lực khắc phục không đầy đủ. Các nhóm bảo mật đã gặp phải các tình huống mà một trang web được đánh dấu là đã giải quyết vẫn tải bình thường, dẫn đến cảm giác an toàn sai lầm. Khoảng cách giữa báo cáo và thực tế này có thể khiến các tổ chức dễ bị tổn thương trong nhiều tuần.

Hiệu quả thực sự của một hoạt động triệt phá không nằm ở báo cáo ban đầu, mà ở sự bất lực kéo dài của cơ sở hạ tầng độc hại trong việc phục vụ mục đích của nó.

Danh sách kiểm tra phòng thủ thực tế

Để chống lại hiệu quả mối đe dọa đang phát triển của PaaS và lừa đảo trực tuyến tinh vi, CISO và kỹ sư bảo mật nên thực hiện chiến lược phòng thủ nhiều lớp:

• Xác minh tất cả các vụ triệt phá: Không chỉ dựa vào báo cáo của nhà cung cấp; tự mình xác minh rằng các trang web lừa đảo nhắm mục tiêu vào tổ chức của bạn thực sự ngoại tuyến từ nhiều mạng và thiết bị khác nhau.
• Thực hiện lọc email và web mạnh mẽ: Triển khai các giải pháp tiên tiến có thể phát hiện và chặn các nỗ lực lừa đảo tinh vi, bao gồm cả những nỗ lực sử dụng các kỹ thuật lẩn tránh.
• Thực hiện đào tạo nâng cao nhận thức về bảo mật liên tục: Thường xuyên giáo dục nhân viên về cách nhận biết các nỗ lực lừa đảo, các chiến thuật kỹ thuật xã hội và tầm quan trọng của việc báo cáo hoạt động đáng ngờ.
• Triển khai xác thực đa yếu tố (MFA): Thực thi MFA trên tất cả các hệ thống và tài khoản quan trọng, đặc biệt đối với các dịch vụ đám mây, để giảm thiểu tác động của thông tin xác thực bị xâm phạm.
• Giám sát việc mạo danh thương hiệu: Chủ động quét internet để tìm kiếm việc sử dụng trái phép thương hiệu của bạn trong các chiến dịch lừa đảo và khởi động các yêu cầu gỡ xuống nhanh chóng.
• Tận dụng thông tin tình báo về mối đe dọa: Tích hợp các nguồn cấp dữ liệu thông tin tình báo về mối đe dọa để cập nhật các bộ công cụ lừa đảo mới nổi, các phương pháp của kẻ tấn công và các chỉ số xâm phạm.
• Thường xuyên kiểm tra và vá lỗi hệ thống: Đảm bảo tất cả các hệ thống, ứng dụng và thiết bị mạng được vá lỗi và cấu hình an toàn thường xuyên để giảm thiểu các cơ hội khai thác.

Cách thử nghiệm tấn công hiện đại sẽ phát hiện ra điều này

Các biện pháp phòng thủ truyền thống, mặc dù cần thiết, thường phản ứng với các mối đe dọa đã biết. Thử nghiệm tấn công tự động hiện đại, đặc biệt với các Bằng chứng Khái niệm (PoC) có thể thực thi, thay đổi mô hình. Nền tảng của chúng tôi, với thông tin tình báo về mối đe dọa tiên tiến và khả năng thử nghiệm tấn công tự động, mô phỏng các cuộc tấn công lừa đảo trong thế giới thực, bao gồm cả những cuộc tấn công tận dụng các bộ công cụ PaaS phổ biến. Cách tiếp cận chủ động này xác định các lỗ hổng trước khi kẻ tấn công có thể khai thác chúng.

Bằng cách thực hiện các PoC, nền tảng có thể phát hiện các điểm yếu tinh vi trong bộ lọc email, khả năng dễ bị tổn thương của nhân viên và hiệu quả của các quy trình ứng phó sự cố chống lại các chiến dịch lừa đảo tinh vi. Điều này cho phép các tổ chức xác định và khắc phục các lỗ hổng trong hệ thống phòng thủ của họ mà một bộ công cụ PaaS trực tuyến có thể khai thác, rất lâu trước khi một cuộc tấn công thực sự xảy ra. Nó cung cấp những hiểu biết cụ thể, có thể hành động về khả năng phục hồi thực sự của một tổ chức trước những mối đe dọa phổ biến này.

Điều cần theo dõi tiếp theo

Hệ sinh thái tội phạm mạng sẽ tiếp tục phát triển, với các tác nhân đe dọa áp dụng các công nghệ và chiến thuật mới. Mong đợi sự tinh vi hơn nữa trong các bộ công cụ PaaS, có thể kết hợp các kỹ thuật lẩn tránh tiên tiến hơn và tạo nội dung dựa trên AI cho các cuộc lừa đảo được cá nhân hóa cao. Trọng tâm của các nhà bảo vệ phải chuyển từ việc chỉ phản ứng với các sự cố sang chủ động hiểu và vô hiệu hóa các con đường tấn công tiềm năng. Sự hợp tác liên tục giữa các cơ quan thực thi pháp luật, các nhà nghiên cứu an ninh mạng và ngành công nghiệp tư nhân sẽ là tối quan trọng trong việc phá vỡ các doanh nghiệp tội phạm này tận gốc, trong khi các tổ chức phải tăng cường hệ thống phòng thủ nội bộ của họ bằng thử nghiệm và thông tin tình báo tiên tiến. Trò chơi mèo vờn chuột sẽ tiếp tục, đòi hỏi sự cảnh giác và thích nghi liên tục từ CISO và các kỹ sư bảo mật.