Za měsíc březen Česká republika, stejně jako ty předcházející, neeviduje žádný incident, který by byl prokazatelně spojený s válkou na Ukrajině. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) však přesto neustále monitoruje situaci, aby včas vydal příslušné varování.  Do březnových incidentů se naopak opět promítly phishingové kampaně a ransomware, kdy každá z těchto kategorií tvořila pětinu incidentů. Objevila se také nová technika Browser-in-the-Broswer.

NÚKIB vydal další přehled Kybernetických incidentů pohledem NÚKIB. Ani za měsíc březen v ČR stále neeviduje žádný incident, který by byl prokazatelně spojený s válkou na Ukrajině. Situaci ale stále monitoruje a vyhodnocuje případné kybernetické hrozby.

Objevila se nová technika Browser-in-the-Broswer

Do březnových incidentů se naopak opět promítly phishingové kampaně a ransomware. Případy phishingu, které NÚKIB evidoval, nebyly nijak výjimečné. Nicméně na kybernetické scéně se objevila nová technika Browser-in-the-Broswer, která dělá phishing obtížně rozeznatelným. Jeden z březnových ransomwarových útoků se odlišoval od ostatních. Útočník tentokrát nezašifroval stanice a servery pomocí škodlivého kódu, ale legitimním nástrojem Bitlocker.

Březnové incidenty byly rozloženy do tří kategorií:

• Šest incidentů vyústilo v nedostupnost služeb. Za polovinou z nich stála technická chyba, ne cílený útok. Ve dvou případech pak ovlivnil fungování organizací ransomware, který na čas vyřadil napadené systémy z provozu. Za poslední nedostupností systémů napadené organizace stojí DDoS útok;
• Druhou a třetí nejčastější kategorií byly průniky a podvody. Do podvodů se promítly incidenty, ve kterých neznámí útočníci kompromitovali e-mailové schránky a z nich dál rozesílali phishing a spam dalším institucím;
• Poslední březnovou kategorií se stala informační bezpečnost. Spadl do ní i poslední ze tří březnových ransomwarových útoků, při kterém se útočníkům podařilo exfiltrovat data oběti. Útočník použil tzv. doubleextortion, kdy oběti vyhrožoval nejen ztrátou dat, ale také jejich zveřejněním.

Technika měsíce: Browser-in-the-Browser

Technika Browser-in-the-Browser (BITB) je metoda phishingu, kterou se útočníci snaží odcizit přihlašovací údaje obětí. Mnoho online služeb využívá k přihlášení Single Sign-on třetí strany, nejčastěji Google, Apple, Microsoft nebo Facebook, tedy ty účty, ke kterým se útočník snaží získat přístup. V běžném případě se uživateli po kliknutí na přihlášení otevře nové okno prohlížeče s polem pro přihlašovací údaje k jeho účtu. V případě Browser-in-theBrowser ale po kliknutí dojde k otevření falešného přihlašovacího okna, které imituje podobu a chování prohlížeče. Jde pouze o interaktivní objekt vytvořený pomocí HTML, CSS a Javascriptu. Tímto způsobem útočník může zneužít i kód z dvoufaktorového ověření, pokud ho má uživatel zapnuté.

Pečlivě připravený phishing vytvořený pomocí této techniky může být vizuálně zcela nerozpoznatelný od skutečného přihlašovacího boxu, a to včetně URL v adresním řádku “okna” a indikace HTTPS spojení, což ještě více přidává na věrohodnosti. Nelze spoléhat ani na zobrazení cílové URL po najetí kurzorem na tlačítko s odkazem, tuto informaci lze taktéž pomocí Javascriptu podvrhnout.

Celý dokument si můžete přečíst zde.

Zdroj: nukib.cz; JM