Így veri át az adathalászokat a Microsoft
A Microsoft elárulta, hogy több ezer olyan felhasználói fiókot tart fenn Azure-os környezetben, amelyek kifejezetten az adathalászok csőbe húzására szolgálnak.
Az úgynevezett honeypotok (mézesbödönök) alkalmazása a kibervédelemben korántsem új keletű találmány. Ezeket már régóta használják különféle formákban a biztonsági szakemberek annak érdekében, hogy a valódi (éles) IT-környezetek helyett ezekbe tereljék a támadásokat.
A Microsoft egyik biztonsági csoportja úgy határozott, hogy a honeypot alapú megközelítést jelentős mértékben megtámogatja Azure-os erőforrásokkal, hogy minden korábbinál intenzívebben tudja bevetni a csalók megtévesztésére szolgáló technikát.
Az Azure-os honeypotokról Ross Bevington, a Microsoft egyik vezető biztonsági szakértője számolt be a BSides Exeter konferencián. Elmondta, hogy teljesen valós kinézetű tenantokat hoztak létre Azure-ban annak érdekében, hogy minél több információt tudjanak gyűjteni az adathalászattal kapcsolatban. A legfontosabb célok a következők:
- napjaink kifinomult adathalász támadásainak mély szintű feltérképezése és megértése
- adathalász kampányok megakadályozása
- kiberbűnözők azonosítása
- az adathalász támadások lelassítása
Bevington elmondta, hogy a honeypotok alapjául olyan Azure-os profilok szolgálnak, amelyekhez egyedi domain nevek tartoznak esetenként több ezer kamu felhasználói fiókkal, valamint szintén mondvacsinált belső kommunikációval és fájlmegosztásokkal. Ugyanakkor ezek "kifelé" teljesen valós tenantoknak látszanak. Ezekre igyekeznek rávezetni az adathalászokat, és ha "kapás van", akkor részletes naplózás mellett követik végig a csalók ténykedését. A szakember szerint az esetek 5 százalékában jutnak el a támadók addig, hogy bejelentkeznek egy-egy honeypot fiókba. Ekkor a Microsoft olyan adatokat gyűjt róluk, mint például az IP-cím, a webböngésző típusa, földrajzi helyinformációk, VPN-adatok, alkalmazott adathalász eszközkészletek stb.
A csőbe húzott támadókat a Microsoft a kamu fiókok révén jelentősen le tudja lassítani, és komolyabb idővesztéséget képes okozni számukra. Bevington szerint akár 30 napot is elvesztegethetnek az adathalászok mire rájönnek, hogy hiábavaló próbálkozásaik voltak egy hamis környezetben.
A Microsoft az összegyűjtött információkat, tapasztalatokat felhasználja a valós környezetek elleni támadások kockázatainak csökkentésére és a védelmi megoldásainak hatékonyabbá tételére.
-
A HAProxy egy újonnan feltárt biztonsági hiba miatt válhat támadhatóvá.
-
A Zyxel USG FLEX H szériás hálózati eszközökhöz egy hibajavítás érkezett.
-
A Cisco egyes biztonsági megoldásaihoz fontos patch-eket adott ki.
-
A VMware vCenter Server fontos biztonsági javítást kapott.
-
Kritikus veszélyességű, nulladik napi biztonsági hibát javított a Fortinet.
-
Több mint egy tucat patch érkezett az IBM Storage Protect Serverhez.
-
Az IBM a QRadar SIEM platformja kapcsán egy biztonsági közleményt adott ki.
-
A cPanelen négy biztonsági rés vált befoltozhatóvá.
-
A Splunk Enterprise tizenegy biztonsági hibajavítással gyarapodott.
-
Az IBM WebSphere Application Serverhez egy biztonsági hibajavítás vált letölthetővé.
Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba.
A Booking.com a szálláshelyeket kereső utazók egyik legfontosabb platformja, de mára egyéb szolgáltatások is elérhetővé váltak az oldalon keresztül.
