Kako se boriti protiv sajber kriminala

Newsjacking ( “kačenje na aktuelnosti“) se obično definiše kao praksa u kojoj se konkretni aktuelni događaji ili vesti koriste na način da se dobije pažnja ciljne publike, i odavno je prepoznat u marketinškoj komunikaciji za promovisanje određenog proizvoda ili brenda, posebno na društvenim mrežama. Odlikuju ga spontanost, brzina reakcije na aktuelne događaje, ali i kreativnost u pristupu.

Ovaj fenomen poznat je i sajberkriminalcima; globalni događaji koji privlače pažnju javnosti i pune novinske strane mogu poslužiti kao odličan povod za ostvarenje njihovih malicioznih ciljeva. U početnoj fazi Covid 19 pandemije, došlo je do prave eksplozije spam i phishing poruka na ovu temu a isto se desio i sa početkom geopolitičkog konflikta u Ukrajini.

Ni region zapadnog Balkana nije ostao imun na ovaj trend; sa početkom leta, mogli smo svedočiti napadima kako na državnu infrastrukutru, tako i na privatan sektor. Samo u Srbiji, registrovano je više od deset napada vezanih za spear-phishing, napade zasnovan na newsjacking taktici od kojih su neki postigli i izvestan uspeh i doneli probleme kompanijama.

„Jedna od karatkeristika ovih napada je i što su uspeli da privuku pažnju medija i javnosti. To je s jedne strane dobro, jer se tako podiže svest o potrebi za adekvatnim rešenjima za zaštitu informacionih sistema, ali je ujedno to i signal drugim napadačima da aktuelnu temu mogu dalje da koriste“ izjavio je Srđan Radosavljević, Cybersecurity Solution Architect kompanije Kaspersky na eSecurity konferenciji u Beogradu.

Analitičari kompanije Kaspersky redovno registruju porast broja malicioznih poruka, koje imaju za cilj da ostvare neovlašćeni pristup osetljivim dokumentima, nakon što neki drugi događaj od lokalnog ili regionalnog značaja okupira pažnju javnosti.

„Ovakav vid napada, kada se napadači dobro sastavljenom email porukom referiraju na neki lokalni događaj i pokušavaju da kompromituju veliki broj korisnika različitih usluga globalno je već dobro poznat, ali nije bio toliko čest u našem regionu, pa je zato i izazvao dosta zabune kod domaće IT zajednice“ dodao je Radosavljević.

U borbi protiv ovog tipa napada, od neprocenjivog značaja je edukacija zaposlenih kako bi pravovremeno prepoznali pretnje. Na nivou SOC / IT tima, osnovni alat u uspešnoj borbi su Threat Intelligence izveštaji.

Kaspersky Threat Intelligence Portal pruža podatke i uvide prikupljene tokom perioda dužeg od 20 godina, koji pomažu SOC/IT timovima prilikom identifikacije napada, ali i prilikom planiranja adektvanih koraka u zaštiti, a potom i prevenciji sličnih napada u budućnosti.

Dodatna vrednost Kaspersky Threat Intelligence servisa ogleda se i u mogućnosti detaljne analize spear phishing napada gde se zahvaljujući velikoj bazi operativnih podataka (darknet, deepweb, surface web, ositn, great team, soc team, ir team) na brz način dolazi do informacija poput:

odakle je poslat email, šta se nalazi u samoj email poruci (cloud sandboxing), koliko je puta registrovan ovaj napad na nekoj teritoriji (number of uniq hits), analiza malware-a (Cloud Sandboxing), atribucija malware-a (Kaspersky Threat Attribituon Engine).

Lokalni primer: kako je napad na RGZ iskorišten od strane sajberkriminalaca.

Jedan od ilustrativnih primera je i napad na Republički Geodetski Zavod, koji se dogodio u junu, kada su napadači pokrenuli ransomware koji je doveo do zaključavanja određenog broja sistema ove ustanove. Ova vest je veoma brzo pronašla put do medija, a potom su usledili dodatni phishing napadi na teritoriji Srbije. U tom periodu, Kaspersky Threat Intelligence Portal je upravo u Srbiji registrovao najveći broj slučajeva ovog tipa napada:

Napadači su pokušali da u kratkom roku iskoriste medijsku „gužvu“ i na veliki broj različitih sistema upute poruku koja je bila maskirana (phising) na takav način da su primaoci poruke zaista mogli da pomisle da je izvor Republički Geodetski Zavod.

„Preko 1000 razlicitih host-ova je kontaktirano u kratkom vremenskom periodu sa navedenom porukom, koja je sadržavala maliciozni kod. Analizom poruke uz pomoć Kaspersky Threat Intelligence portala dolazi se brzo do zaključka da je poruka poslata sa adresa koje nisu u vezi sa RGZ.“ pojasnio je Srđan Radosavljević, Cybersecurity Solution Architect kompanije Kaspersky, u toku svog izlaganja na eSecurity konferenciji.

Napad je uspešno detektovan i označen.

„Pomoću ovakvih podatka, moguće je doneti zaključke bazirane na činjenicama, što je od velikog značaja kako prilikom komunikacije sa javnošću, tako i sa bezbednosnim strukturama države (incident reporting)“ zaključio je Radosavljević.