Cloudbeveiliger Zscaler heeft de bevindingen gepresenteerd van zijn 2023 ThreatLabz Phishing Report. Voor dit onderzoek werd wereldwijde phishing-data geanalyseerd uit ‘s werelds grootste beveiligingscloud om actuele trends en opkomende tactieken te identificeren. Daarnaast keken de onderzoekers naar de sectoren en regio’s die het vaakst doelwit waren van phishing-aanvallen.
Uit het rapport blijkt onder meer dat de meeste moderne phishing-aanvallen nog altijd afhankelijk zijn van gestolen credentials. Daarnaast beschrijft het rapport de opkomende dreiging van Adversary-in-the-Middle (AitM)-aanvallen, het toegenomen gebruik van InterPlanetary File System (IPFS), alsmede de toenemende afhankelijkheid van phishing kits en AI-tools zoals ChatGPT.
“Phishing blijft een van de gevaarlijkste tactieken die cybercriminelen gebruiken om organisaties te hacken. Jaar na jaar zien we een toename van het aantal phishing-aanvallen en worden deze steeds geavanceerder. Daarnaast maken aanvallers in toenemende mate gebruik van phishing kits en AI-tools om effectieve e-mail, SMiShing en Vishing campagnes te lanceren”, zegt Deepen Desai, Global CISO and Head of Security bij Zscaler. “AitM-aanvallen, ondersteund door de groei in Phishing-as-a-Service, hebben het voor aanvallers mogelijk gemaakt traditionele beveiligingsmodellen met multi-factor authenticatie te omzeilen. Om hun IT-omgeving te beschermen, moeten organisaties een zero trust-architectuur adopteren die het aanvalsoppervlak minimaliseert, compromittatie voorkomt en de impact van een succesvolle aanval verkleint.”
De opkomst van nieuwe dreigingen
De opkomst van nieuwe AI-technologieën en large language modellen zoals ChatGPT, hebben het eenvoudiger gemaakt voor cybercriminelen om kwaadaardige code te creëren, Business Email Compromise (BEC)-aanvallen te genereren en malware te ontwikkelen. Kwaadaardige actoren hosten hun phishing papers daarnaast steeds vaker op InterPlanetary File Systems (IPFS), een peer-to-peer file systeem dat gebruikers bestanden laat opslaan op en delen vanaf een gedecentraliseerd netwerk van computers. Vanwege dit peer-to-peer netwerk is het veel lastiger om een phishing-pagina die gehost wordt op IPFS te verwijderen.
Naast het toenemend gebruik van AI-technologie om aanvallen op te zetten, ontdekte ThreatLabz recent een grote phishing-campagne op basis van Adversary-in-the-middle (AitM)-aanvallen. AitM-aanvallen gebruiken technieken die conventionele multi-factor authenticatie kunnen omzeilen.
Verder vond ThreatLabz een toename van het aantal Vishing-aanvallen, of op voicemail gebaseerde phishing-campagnes. Dergelijke aanvallen hebben zich ontwikkeld vanuit SMS- of SMiShing-aanvallen. Aanvallers gebruiken hierbij echte spraakfragmenten van het executive team door een voicemailbericht achter te laten. Vervolgens worden ontvangers onder druk gezet om actie te ondernemen, zoals het overmaken van geld of het delen van logins. Met name Amerikaanse bedrijven zijn slachtoffer van Vishing-aanvallen.
Ook het aantal werving-scams op LinkedIn of andere wervingssites neemt toe. Helaas hebben veel organisaties in Silicon Valley de keuze gemaakt om in te krimpen. Als gevolg hebben cybercriminelen sites, portals en formulieren met neppe vacatures opgezet om werkzoekenden aan te trekken. Slachtoffers ondergingen vaak een heel interviewproces, waarbij aan sommige slachtoffers zelfs gevraagd werd om voorraden in te kopen waarvoor ze later vergoed zouden worden.
Grote merken worden gebruikt om slachtoffers te lokken
Cybercriminelen hebben vaak meer succes wanneer ze populaire consumenten- en technologiemerken imiteren. Microsoft is het meest geïmiteerde merk van het jaar. Bijna 31% van de aanvallers viste naar toegang tot verschillende Microsoft applicaties. Cryptocurrency exchange Binance was goed voor 17% van de geïmiteerde merkaanvallen, waarbij phishers zich voordeden als neppe merkvertegenwoordigers van banken of P2P- organisaties. Verder staan merken zoals Netflix, Facebook en Adobe steevast in de top 20 meest geïmiteerde merken door cybercriminelen.
Noord-Amerika blijft een groot doelwit
De Verenigde Staten behaalt wederom de toppositie als grootste doelwit voor phishing-aanvallen. Meer dan 65% van alle phishing-pogingen vond plaats in de VS, een toename ten opzichte van een aandeel van 60% in 2021.
Grote toenames in het aantal phishing-aanvallen werden ook gesignaleerd in Canada (718%), het Verenigd Koninkrijk (269%), Rusland (199%) en Japan (92%). In landen als Hongarije en Singapore nam het aantal phishing-aanvallen juist af met 90% en 48%. ThreatLabz geloof dat de afname in Singapore te maken heeft met de investeringen die de overheid gedaan heeft in cybersecurity, waaronder initiatieven van Cyber Security Agency (CSA).
Phishing-aanvallen op het onderwijs en de gezondheidszorg nemen toe
De onderwijssector kende in 2022 de grootste toename van het aantal phishingpogingen (576%) en sprong daarmee van de achtste naar de eerste plaats. ThreatLabz geloof dat het aanmeldingsproces voor het aflossen van de studieschuld een grote rol speelt in deze toename. De financiële sector, de verzekeringssector, de overheid en de gezondheidszorg maken de top vijf compleet. In deze sectoren is een totale toename te zien van iets minder dan 31 miljoen pogingen in 2021, tot meer dan 114 miljoen in 2022.
Retail en groothandels, een sector die vorig jaar nog bovenaan de lijst van de vaakst getroffen sectoren stond, zag een afname van 67%. De serviceindustrie zag ook een afname van 38% ten opzichte van 2021.
Het bestrijden van phishing-aanvallen
Aangezien de gemiddelde organisatie dagelijks phishing-e-mails ontvangt, kunnen financiële verliezen als gevolg van malware- en ransomware-aanvallen de IT-kosten op jaarbasis snel opdrijven. Het is een hele klus om alle bedreigingen die in dit rapport worden beschreven aan te pakken, en hoewel het risico van phishing-bedreigingen niet volledig kan worden geëlimineerd, kunnen IT- en beveiligingsteams wel leren van waargenomen incidenten. Zscaler beveelt de volgende best practices aan om het phishingrisico beter te beheersen:
- Breng de risico’s in kaart om beleid en strategie beter te informeren
- Gebruik geautomatiseerde tools en dreigingsinformatie om het aantal phishing- incidenten te verminderen
- Implementeer een zero trust-architectuur om de impact van succesvolle aanvallen te minimaliseren
- Laat medewerkers trainingen volgen om bewustwording te creëren en rapportage van verdachte activiteit te stimuleren
- Simuleer phishing-aanvallen om gaten in het programma te identificeren
De Zscaler Zero Trust Exchange beschermt systemen tegen phishing
De gemiddelde organisatie ontvangt dagelijks meerdere phishing-e-mails en het beschermen van gebruikers tegen phishing is een van de meest complexe beveiligingsuitdagingen. Het Zscaler Zero Trust Exchange-platform is gebouwd op een holistische zero trust-architectuur om het aanvalsoppervlak te minimaliseren, hacks te voorkomen, laterale beweging te elimineren en dataverlies te stoppen. Zscaler helpt phishing op de volgende manieren te stoppen:
- Voorkomt compromittering: Volledige SSL-inspectie, browserisolatie en op beleid-gebaseerde toegangscontroles voorkomen toegang tot verdachte websites.
- Elimineert laterale bewegingen: Door gebruikers direct met applicaties te verbinden, en niet met het netwerk, wordt de impact van potentiële incidenten verkleind.
- Gecompromitteerde gebruikers en insider threats afsluiten: Als een aanvaller toegang krijgt tot het systeem, kan Zscaler private app-exploitatiepogingen voorkomen met in-line inspectie en de meest geavanceerde aanvallen detecteren met geïntegreerde deceptie.
- Stopt dataverlies: Inspecteert data-in-motion en data-at-rest om potentiële datadiefstal van een actieve aanvaller te voorkomen.
Methodologie
ThreatLabz evolueerde data van de Zscaler-beveiligingscloud, die dagelijks meer dan 280 miljard transacties monitort. ThreatLabz analyserende phishing-data in de periode tussen januari 2022 en december 2022 om trends, sectoren die risico lopen en opkomende tactieken van cybercriminelen te identificeren.
Download hier het volledige 2023 ThreatLabz Phishing Report.
