Autor: Tanmay Ganacharya, Partner Director, Security Research Microsoft
Svět se za posledních několik týdnů v důsledku šíření koronaviru bezprecedentním způsobem změnil. I když v mnohých případech vidíme to nejlepší z lidského chování, jako v případě každé krize, i nyní se můžeme setkat i s těmi horšími formami chování. Počítačoví zločinci využívají strach a potřebu informací při útocích typu phishing pro odcizení citlivých informací nebo šíření škodlivého softwaru za účelem zisku. Navzdory tomu, že některé zločinecké skupiny tvrdí, že přestanou útočit na zdravotnické a ošetřovatelské ústavy, realitou je, že nemohou zcela kontrolovat šíření škodlivého softwaru.
Zatímco phishing a jiné e-mailové útoky nadále probíhají, objem škodlivých e-mailů, které zmiňují koronavirus, je velmi malý. I přesto se nás zákazníci ptají, co dělá společnost Microsoft pro to, aby je chránila před tímto typem útoků, a co mohou naopak udělat oni, aby sami sebe lépe chránili. Myslíme si, že by bylo užitečné shrnout, jak funguje naše automatická detekce a sdílení signálů na ochranu zákazníků (s konkrétním nedávným příkladem). Současně bychom rádi sdíleli osvědčené postupy, které můžete sami použít, abyste se vyhnuli pokusům o phishing.
Co dělá Microsoft
Celých 91 % všech kybernetických útoků začíná e-mailem. To je důvod, proč první obranná linie dělá vše, co je v jejich silách, aby blokovala škodlivé e-maily. Vícevrstevný obranný systém, který zahrnuje strojové učení, ověřování bezpečnosti příloh nebo odkazů a sdílení signálů, je klíčový pro naši schopnost rychle odhalit a zastavit e-mailové útoky.
Pokud některý z těchto mechanismů zjistí škodlivý e-mail, URL nebo přílohu, zpráva je zablokovaná a nedostane se do doručené pošty. Všechny přílohy a odkazy jsou detonované (otevřené v izolovaných virtuálních strojích). Na zjištění škodlivého chování se používá strojové učení, analyzátory anomálií a heuristika. Bezpečnostní analytici neustále vyhodnocují hlášení o podezřelé poště, které dostávají od uživatelů, aby získali další poznatky a trénovali modely strojového učení.
Pokud je soubor či URL adresa označena jako škodlivá, informace se sdílejí s jinými službami, jako je například Microsoft Defender Advanced Threat Protection (ATP), aby zabezpečení koncového bodu využilo znalosti získané z kontroly e-mailů, a naopak.
Zajímavý příklad se v praxi vyskytl začátkem letošního března, kdy útočník spustil cílenou phishingovou kampaň, která trvala méně než 30 minut.
Útočníci vytvořili e-mail navržený tak, aby vypadal jako legitimní zpráva o riziku v dodavatelském řetězci pro potravinářská barviva, s aktualizací založenou na přerušení dodávek v důsledku koronaviru. Příloha však byla škodlivá a přinesla sofistikovaný vícevrstevný útok založený na trojanu Lokibot (Trojan:Win32/Lokibot.GJ!MTB).
Pokud by se tento útok úspěšně nasadil, hackeři by ho mohli použít na odcizení ověřovacích údajů pro jiné systémy – v tomto případě FTP účtů a hesel, která by potom mohli použít na další útoky.
Cílem bylo pouze 135 tenantů zákazníků, na které bylo zasláno 2047 škodlivých zpráv, ale žádný ze zákazníků nebyl útokem ovlivněn. Detonační služba Office 365 ATP, sdílení signálu mezi službami a analytici pracovali společně a útok zastavili.
Díky sdílení signálů mezi službami byli zákazníci, kteří nepoužívají e-mailové služby společnosti Microsoft, jako jsou Office 365, hostované servery Exchange nebo Outlook.com, ale používají počítač se systémem Windows spolu s povoleným Microsoft Defender, plně chráněni. Když se uživatel pokusil otevřít škodlivou přílohu ze své e-mailové služby, která nepocházela od společnosti Microsoft, program Microsoft Defender se zapojil, poptal modely strojového učení v cloudu a zjistil, že příloha byla zablokována na základě předchozí cloudové detekce Office 365 ATP. Přílohu v počítači nebylo možné otevřít a zákazník byl chráněný.
Co můžete udělat
Zatímco útočníci se snaží na krizi COVID-19 vydělat, používají stejnou taktiku jako vždy. Právě nyní byste měli být obzvláště ostražití a podniknout kroky ke své ochraně.
Ujistěte se, že na vašich zařízeních jsou nainstalované nejnovější aktualizace zabezpečení a antivirová služba, případně služba proti malwaru. Pro zařízení se systémem Windows 10 je program Microsoft Defender Antivirus bezplatná vestavěná služba, kterou povolíte v části Nastavení. Zapněte ochranu a automatické odevzdávání vzorku poskytované z cloudu, aby umělá inteligence (AI) a strojové učení rychle identifikovaly a zastavily nové a neznámé hrozby.
Povolte ochranné prvky pro svoji e-mailovou službu. Pokud využíváte Office 365, získejte více informacích o službách Exchange Online Protection a ATP Office 365.
U všech účtů požívejte vícefaktorové ověřování (MFA). Většina online služeb nyní poskytuje způsob, jak používat vaše mobilní zařízení či jiné metody pro podobnou ochranu vašich účtů. Zde jsou k dispozici informace o tom, jak používat Microsoft Authenticator a další pokyny týkající se tohoto přístupu.
Podpora MFA je k dispozici jako součást bezplatné nabídky služby Azure Active Directory (Azure AD). Více informací najdete zde.
Vzdělávejte sebe, přátele a kolegy, jak rozpoznat pokusy o phishing a jak nahlásit podezřelé incidenty. Zde jsou vyjmenované některé charakteristické znaky:
- Pravopis a nesprávná gramatika. Počítačoví zločinci nepoužívají správnou gramatiku a pravopis. Profesionální společnosti nebo organizace mají většinou redakční personál, který zákazníkům zajišťuje kvalitní a profesionální obsah. Pokud je e-mailová zpráva plná chyb, pravděpodobně jde o podvod.
- Podezřelé odkazy. Pokud máte podezření, že e-mailová zpráva je podvod, neklikejte na žádné odkazy. Jednou z metod testování legitimity odkazu je položit myš na odkaz, ale nekliknout na ni. Pouhým najetím na odkaz zjistíte, zda se adresa shoduje s tím, co bylo napsané ve zprávě. V tomto příkladu se při přiložení myši na odkaz zobrazí skutečná webová adresa v poli se žlutým pozadím. Uvědomte si, že řetězec čísel IP adres nevypadá podobně jako webová adresa společnosti.
- Podezřelé přílohy. Pokud dostanete e-mail s přílohou od někoho, koho neznáte, nebo e-mail od někoho, koho znáte, ale s přílohou, kterou jste neočekávali, může to být pokus o phishing. Doporučujeme neotevírat žádné přílohy, pokud si neověříte jejich pravost. Útočníci používají různé techniky na to, aby si získali důvěru příjemců, že přiložený soubor je legitimní.
- Nedůvěřujte ikonám přílohy.
- Dejte si pozor na více přípon souborů, například pdf.exe“ nebo „rar.exe“ nebo „txt.hta“.
- V případě pochybností se obraťte na odesílatele zprávy a požádejte ho o potvrzení oprávněnosti e-mailu a přílohy.
- Tyto typy e-mailů způsobují pocit paniky či tlaku, abyste rychle reagovali. Mohou například obsahovat vyhlášení typu „Musíte odpovědět do konce dne.“ či „Pokud neodpovíte, můžete čelit finančním sankcím.“
- Falešné e-maily se zdají být přeposlané s legitimními webovými stránkami nebo společnostmi, ale dostanou vás na falešné podvodné weby či zobrazí automaticky otevíraná okna.
- Změněné webové adresy. Forma spoofingu, kde se webové adresy velmi podobají jménům známých společností, ale jsou mírně změněné; například „www.micorsoft.com“ nebo „www.mircosoft.com“.
- Nesprávné oslovení/napsání vašeho jména.
- Text odkazu a URL adresa se navzájem liší; případně jméno odesílatele, podpis a adresa URL se liší.
Pokud si myslíte, že jste dostali e-mail, který chtěl neoprávněně získat údaje či jste v e-mailu následovali odkaz, který vás přivedl na podezřelé webové stránky, existuje několik způsobů, jak takovou událost nahlásit.
- com. Pokud dostanete podezřelou e-mailovou zprávu, která požaduje osobní informace, zaškrtněte políčko vedle zprávy v doručené poště aplikace Outlook. Vyberte šipku vedle položky Nevyžádaná pošta a potom klikněte na položku Útok phishing.
- Microsoft Office Outlook 2016 a 2019 a Microsoft Office 365. V podezřelé zprávě vyberte Nahlásit Zprávu na kartě Ochrana na páse s nástroji a potom vyberte položku Útok phishing.
Pokud jste na podezřelém webu:
- Microsoft Edge. Pokud jste na podezřelém webu, vyberte ikonu Více (…)> Nápověda a Zpětná vazba> Nahlásit nebezpečný web. Pokud chcete nahlásit stránku, postupujte podle pokynů na zobrazené webové stránce.
- Internet Explorer. Pokud jste na podezřelém webu, vyberte ikonu ozubeného kolečka, klikněte na Zabezpečení a potom vyberte Oznámit nebezpečný web. Pokud chcete nahlásit nebezpečnou webovou stránku, postupujte podle pokynů na zobrazené webové stránce.
Pokud si myslíte, že máte podezřelý soubor:
Toto je jen jedna z oblastí, ve které naše bezpečností týmy pracují na ochraně zákazníků, v nadcházejících týdnech poskytneme více informací. Další informace a osvědčené postupy na zajištění bezpečnosti a produktivity prostřednictvím práce na dálku, podpory komunity a vzdělávání po dobu tohoto náročného období najdete na stránce Microsoft COVID-19.
Originální znění textu najdete zde.
