Nhờ sự chuyển đổi nhanh chóng sang làm việc từ xa do đại dịch toàn cầu hiện nay – cùng với xu hướng lợi dụng sự sợ hãi, không chắc chắn và nghi ngờ của tội phạm mạng – các nhà nghiên cứu bảo mật đã nhận thấy sự gia tăng trong các vấn đề an ninh mạng. Tội phạm mạng đã nhanh chóng khai thác các thiết bị truy cập mới được triển khai, nhân viên làm việc từ xa mới làm quen, các máy tính và mạng gia đình dễ bị tấn công và các nhóm CNTT làm việc quá sức. Nhiều người thậm chí đã tạm thời gác lại các cuộc tấn công tập trung vào mạng truyền thống để nhắm vào các lỗ hổng bảo mật và lỗ hổng bảo mật mới cho phép chúng khai thác và truy cập vào dữ liệu và tài nguyên có giá trị. Ví dụ, chỉ riêng trong tháng 4, FBI đã nhận được 3.000-4.000 đơn khiếu nại liên quan đến an ninh mạng hàng ngày từ các doanh nghiệp và người dùng Hoa Kỳ, một mức tăng lớn so với mức trung bình 1.000 mỗi ngày.
Tất nhiên, các nhà nghiên cứu về mối đe dọa biết rằng các sự kiện xã hội quan trọng thường là chất xúc tác cho các mối đe dọa mới xuất hiện. Cho dù đó là đại dịch, World Cup hay một số sự kiện quan trọng khác, luôn có những kẻ xấu tìm cách lợi dụng người khác trong thời kỳ khủng hoảng. Trong vài tháng qua, FortiGuard Labs đã tích cực theo dõi các chiến dịch tấn công và đo từ xa mối đe dọa toàn cầu liên quan đến đại dịch, bao gồm những kẻ đánh cắp thông tin, trojan, ransomware và hiệu quả của các chiêu dụ được thiết kế tinh vi. Điều này đã tiết lộ các xu hướng gần đây như sau:
- Đợt tấn công email tăng đột biến nhất là vào ngày 2 tháng 4, với 330 chiến dịch email COVID-19 riêng biệt.
- Tháng 4 cũng chứng kiến số lượng chiến dịch email độc hại cao nhất, với tổng cộng hơn 4.250 sự kiện liên quan đến COVID-19.
- Hầu hết các email đều có đính kèm tệp .DOCX và .PDF độc hại (.DOCX là tệp cao nhất), trong đó ransomware là tệp đính kèm phổ biến nhất.
- Ngạc nhiên là, số lượng các cuộc tấn công này đã giảm dần kể từ tháng 4, với 3.590 chiến dịch email vào tháng 5 và 2.841 vào tháng 6
Ba trong số các hoạt động của kẻ xấu chính mà chúng tôi đã thấy trong vài tháng qua là lợi dụng cảm xúc để thực hiện hành vi gian lận mạng, sự gia tăng của lừa đảo trực tuyến và rủi ro gia tăng do làm việc từ xa.
Khai thác các cảm xúc để đạt được mục tiêu tài chính
Từ quan điểm kỹ thuật xã hội, tội phạm mạng đang tối đa hóa những nỗi lo sợ của đại dịch này – và cụ thể là tình trạng thiếu thiết bị và vật tư y tế. Các nhà nghiên cứu về mối đe dọa của chúng tôi đã thấy các chiến dịch tập trung vào các bệnh viện, nhà sản xuất thiết bị y tế và các công ty bảo hiểm y tế. Trung tâm Kiểm soát Dịch bệnh (CDC) và Tổ chức Y tế Thế giới (WHO) đều báo cáo vào tháng 4 rằng những kẻ xấu đang giả mạo các cuộc gọi điện thoại và thực hiện các chiến dịch email được thiết kế để trông như thể chúng đến từ họ.
Các chiến dịch qua điện thoại hoặc kêu gọi quyên góp hoặc giả vờ bán vật tư y tế thiết yếu. Và các email lừa đảo bao gồm các hóa đơn cho nguồn cung cấp chưa bao giờ được đặt hàng, hoặc được tuyên bố là cung cấp thông tin hoặc cập nhật y tế quan trọng. Tất nhiên, thay vào đó, những email này bao gồm các tài liệu bị nhiễm hoặc liên kết đến các trang web đã bị xâm phạm.
Tấn công chủ định cũng đang gia tăng
Ngoài các cuộc tấn công chung, phổ rộng, chúng tôi cũng đã chứng kiến sự gia tăng trong các chiến dịch được nhắm mục tiêu cao, với các cuộc tấn công đặc biệt nhắm vào sự thiếu hụt nguồn cung cấp y tế. Một chiến dịch lừa đảo độc hại mà chúng tôi đã quan sát gần đây đã nhắm mục tiêu vào một nhà cung cấp thiết bị y tế. Trong cuộc tấn công này, thay vì cung cấp nguồn cung cấp để bán, kẻ tấn công đó hỏi về các vật liệu khác nhau cần thiết để giải quyết đại dịch COVID-19 do nhu cầu cao. Để tạo cảm giác cấp bách hơn, email bao gồm một tuyên bố thuyết phục rằng người gửi đã cố gắng liên lạc với người nhận qua điện thoại.
Trong trường hợp này, email có nhiều lỗi chính tả, chẳng hạn như trong dòng chủ đề, “Yêu cầu về thiiêt bị Y tế – [tên công ty REDACTED.inc].” Nó cũng chứa một tệp đính kèm nhằm mục đích chứa các chi tiết của cuộc điều tra, điều này cũng bị sai chính tả. Lỗi chính tả và ngữ pháp kém thường là những dấu hiệu dễ nhận biết của trò gian lận. Mục tiêu trong trường hợp này rõ ràng là làm gián đoạn chuỗi cung ứng hàng hóa y tế cần thiết để cứu sống mạng người.
Làm việc từ xa dẫn đến các xu hướng tấn công mới
Tội phạm mạng nhận thức rõ rằng thời gian chuyển đổi nhanh chóng có thể gây ra sự gián đoạn nghiêm trọng cho các tổ chức. Trong quá trình gấp rút đảm bảo tính liên tục của hoạt động kinh doanh, những thứ như giao thức bảo mật có thể bị bỏ qua hoặc bị gạt sang một bên vì mục đích hiệu quả. Và như mọi khi, tội phạm mạng luôn tìm mọi cơ hội để tận dụng những lỗ hổng bảo mật vô ý.
Trong trường hợp này, một khi thế giới đột nhiên bị cách ly, một số lượng lớn chưa từng có người dùng và thiết bị không được bảo vệ đột nhiên trực tuyến cùng một lúc. Trong bất kỳ ngôi nhà nào, có khả năng có hai hoặc nhiều người kết nối từ xa để làm việc thông qua kết nối internet tại nhà của họ. Cũng có thể có một hoặc nhiều trẻ em tham gia vào trường học trực tuyến, chưa nói đến việc tham gia vào các cộng đồng trò chơi trực tuyến hoặc các hoạt động xã hội khác.
Một yếu tố phức tạp khác là không phải mọi tổ chức đều có thể mua đủ máy tính xách tay cho mọi nhân viên hiện cần làm việc từ xa. Do đó, nhiều nhân viên làm việc từ xa đã buộc phải sử dụng thiết bị cá nhân của họ để kết nối với mạng công ty – những thiết bị hầu như không bao giờ an toàn như các thiết bị do công ty cấp.
Điều làm cho điều này trở nên nguy hiểm là các thiết bị này thậm chí không cần phải bị tấn công trực tiếp để bị xâm phạm. Chúng cũng được gắn với các mạng gia đình không an toàn, cho phép kẻ tấn công khai thác các xu hướng tấn công khác, bao gồm khai thác các thiết bị IoT dễ bị tấn công hoặc bảng điều khiển trò chơi được kết nối với mạng gia đình. Sau đó, mục tiêu là tìm cách quay trở lại mạng công ty và các tài nguyên kỹ thuật số có giá trị của nó, nơi dữ liệu có thể bị đánh cắp và phần mềm độc hại có thể lây lan cho những người làm việc từ xa khác. Điều này đặc biệt gây hại vì những người làm việc từ xa không có điều kiện đến bàn trợ giúp để khôi phục hệ thống máy tính của họ. Nếu sự cố thiết bị không thể được giải quyết bằng cách khắc phục sự cố qua điện thoại, nó cần được gửi qua thư, để nhân viên ngoại tuyến trong nhiều ngày.
Quay lại các kiến thức cơ bản
Là một chuyên gia bảo mật, bạn hiểu tầm quan trọng của việc đào tạo và an ninh mạng. Tuy nhiên, điều cần thiết là trong bối cảnh mối đe dọa ngày càng gia tăng hiện nay, chúng ta không thể lơ là. Dưới đây là bốn lĩnh vực chính cần củng cố trong tổ chức của bạn:
- Thực thi tiêu chuẩn an ninh mạng: Tôi khuyến nghị rằng tất cả các định nghĩa IPS và AV phải được cập nhật liên tục. Đồng thời duy trì thói quen vá lỗi chủ động bất cứ khi nào có bản cập nhật của nhà cung cấp. Nếu việc vá thiết bị là không khả thi, chúng tôi khuyên bạn nên tiến hành đánh giá rủi ro để xác định các biện pháp bảo vệ giảm thiểu bổ sung.
- Cập nhật công nghệ bảo mật quan trọng: Chiến lược bảo mật hiệu quả nhất là xử lý rủi ro ra khỏi hệ thống. Đảm bảo rằng các cổng email an toàn và tường lửa ứng dụng web được trang bị công nghệ giải mã và khôi phục nội dung (CDR) và hộp cát để xác định và chặn các loại tệp cụ thể, bao gồm cả các cuộc tấn công lừa đảo và giải trừ các mối đe dọa trước khi chúng đến tay người dùng. Và đảm bảo rằng các thiết bị điểm cuối có phần mềm phát hiện và phản hồi điểm cuối (EDR) mới nhất để ngăn chặn các mối đe dọa đang hoạt động thực thi.
- Đẩy nhanh quá trình đào tạo người dùng cuối: Tiến hành các buổi đào tạo nhân viên liên tục để thông báo cho họ về các cuộc tấn công lừa đảo trực tuyến / lừa đảo trực tuyến mới nhất và nhắc họ không bao giờ mở tệp đính kèm từ người nào đó mà họ không biết. Người dùng cuối cũng cần được đào tạo để phát hiện các cuộc tấn công kỹ thuật xã hội và được đánh giá bằng cách sử dụng các email thử nghiệm ngẫu nhiên được gửi lén lút từ nhóm bảo mật qua email.
Thật ngạc nhiên khi các nguyên tắc bảo mật cơ bản, được triển khai nhất quán, có thể giúp đánh bại phương thức tấn công xảo quyệt nhất. Và điều đáng kinh ngạc không kém là rất ít tổ chức thực sự làm được những điều này với sự nhất quán. Tuy nhiên, bằng cách cam kết tập trung vào ba hoạt động nêu trên, tổ chức của bạn sẽ được chuẩn bị tốt hơn nhiều để phòng thủ trước những kẻ tấn công đang tìm cách khai thác trong mùa đại dịch.