Kybernetická bezpečnost

ESET Threat Report T2 2022: Několikanásobný nárůst phishingových podvodů a kryptoměnových hrozeb

9 min. čtení

Globální studie ESET Threat Report je vydávána každé čtyři měsíce a přináší vždy nejnovější analýzy a predikce celosvětového vývoje kybernetických rizik. Poslední vydání mapuje období od května do srpna 2022.

Uplynulé měsíce byly pro mnohé z nás na severní polokouli obdobím letních dovolených. Zdá se, že i někteří kybernetičtí útočníci využili tento čas jako příležitost k možnému odpočinku, opětovné analýze svých aktuálních postupů a činností nebo změně zaměření.

Emotet ani RDP útoky i přes pokles jen tak nezmizí

Podle telemetrických údajů společnosti ESET byl srpen prázdninovým měsícem pro útočníky botnetu Emotet. Skupina, která za ním stojí, se přizpůsobila rozhodnutí společnosti Microsoft zakázat v dokumentech VBA makra pocházející z internetu a zaměřila se na kampaně založené na škodlivých dokumentech Microsoft Office a souborech LNK.

emotet T2 2022

V druhé části roku 2022 jsme byli svědky pokračování prudkého poklesu útoků prostřednictvím protokolu vzdálené plochy (RDP), které pravděpodobně i nadále ztrácely na síle v důsledku rusko-ukrajinské války, spolu s návratem do kanceláří po skončení pandemie Covidu a celkovým zlepšením zabezpečení podnikových prostředí. I přes klesající počty byly ruské IP adresy nadále zodpovědné za největší část RDP útoků.

rdp utoky T2 2022

V prvních čtyřech měsících roku 2022 bylo Rusko také zemí, která byla nejčastěji terčem ransomwaru, přičemž některé z útoků byly politicky nebo ideologicky motivovány. Jak se však dočtete v ESET Threat Report T2 2022, tato vlna hacktivismu v dalších čtyřech měsících roku opadla a útočníci ransomwarem obrátili svou pozornost na Spojené státy americké, Čínu a Izrael.

Útočníci zneužívají jmen přepravních společností

Experti z ESETu zaznamenali globálně šestinásobný nárůst detekcí phishingových hrozeb, při nichž se útočníci vydávali za doručovací společnosti. Ve většině případů obětem posílají falešné žádosti o ověření doručovací adresy od společností DHL a USPS. V Česku útočníci zneužívají také jména tuzemských přepravních společností, a to České pošty a Zásilkovny.

V případě České pošty se jedná o klasický phishingový scénář, kdy útočníci získávají údaje obětí pomocí podvodné webové stránky, kde lidé chtěli podat nebo vyzvednout zásilku. V případě Zásilkovny útočníci hledají své oběti nejčastěji na online bazarech, kde se snaží uměle navyšovat prodejní cenu zboží (např. neúměrně vysokou cenou za přepravu), a poté prodejce vyzvou k zadání údajů k jeho platební kartě, aby mohl obdržet peníze za zboží.

CP phishing

zasilkovna phishing

 

Na seznamu nejčastěji zneužitých značek a společností při phishingových útocích v ČR se objevila také jména jako Microsoft, Google, RaiffeisenBank, Fio banka, Amazon, PayPal, Netflix, Spotify, AirBnb, ale i MPSV a MFČR.

Phishing se v Česku ve sledovaném období nejčastěji šířil pomocí e-mailu (v 66,4 % případů), následovaly podvody zneužívající doručovací společnosti (7,9 %), finanční instituce (8 %), dokumenty (5,5 %), úložiště souborů (3,9 %), sociální sítě (2,7 %) a nechyběly ani kryptoměny (2,6 %).

Phishing se nevyhýbá ani světu kryptoměn

Prudce klesající kurzy kryptoměn ovlivnily také online hrozby. Zločinci se místo těžby kryptoměn zaměřili na jejich krádeže, jak je vidět na globálním nárůstu phishingových útoků s tématikou kryptoměn na dvojnásobek a rostoucím počtu cryptostealerů. Phishingové útoky se skrývaly za tváře známých osobností např. Elona Muska a útočnici šířili své kampaně pomocí ukradených účtů na Twitteru, Discordu nebo Facebooku. Často se jednalo o falešné giveaways, jejichž cílem bylo z oběti vylákat menší množství kryptoměny s vidinou získání násobného počtu dané kryptoměny.

krypto phishing krypto phishing elon musk

Masivně rostou i pokusy o podvodné vylákání kryptoměn na diskuzních platformách typu Discord nebo Telegram, kde se útočníci vydávají za správce témat, oficiální zástupce kryptoburz nebo support team. Typicky se jedná o falešný support, který vám nabízí pomoc s řešením vašeho problému, kterým může být nepřipsaní kryptoměny do peněženky nebo nedoručená platba, přitom z vás ale útočník vyláká další krypto nebo peníze.

Při dalším typu podvodu útočníci zveřejní přístupové údaje ke kryptopeněžence, která již obsahuje nějaké coiny. Pokud se tam pokusíte poslat měnu uvedeného blockchainu (nejčastěji ETH), abyste mohli obsah peněženky prodat nebo převést, je váš vklad okamžitě odcizen. Phishingové útoky, při kterých se podvodníci snaží získat přístupové údaje ke kryptopeněženkám nebo k jednotlivým účtům u známých kryptosměnáren, nejčastěji cílí na Binance, Coinbase, Coinomi a MetaMask.

Uplynulé čtyři měsíce z hlediska výzkumu

ESET výzkumníci odhalili dříve neznámý backdoor do systému macOS, který nese jméno CloudMensis a později ho připsali skupině ScarCruft. Dále objevili aktualizovanou verzi loaderu ArguePatch od APT skupiny Sandworm a blíže se podívali na škodlivý kód v aplikacích napadených skupinou Lazarus. Tato skupina byla také zodpovědná za spearphishingovou Operaci In(ter)ception zaměřenou na zařízení se systémem macOS. Skupina oslovovala potenciální oběti prostřednictvím sítě LinkedIn s falešnou nabídkou práce pro Coinbase. Údajný popis pracovní pozice se však nacházel ve škodlivém souboru. Výzkumníci z ESETu také objevili zranitelnosti typu buffer overflow ve firmwaru UEFI zařízení Lenovo a kampaň využívající falešnou aktualizaci Salesforce jako phishingovou návnadu.

Plné znění zprávy ESET Threat Report T2 2022 ke stažení:

eset threat report stazeni