Firma Barracuda nawiązała niedawno współpracę z naukowcami z Uniwersytetu Columbia, aby przeanalizować geografię wiadomości phishingowych i sposób, w jaki są one kierowane. Badając geolokalizację i infrastrukturę sieciową w ponad 2 mld wiadomości e-mail, w tym 218 tys. wiadomości phishingowych wysłanych w styczniu 2020 r., stwierdzono, że istnieje większe prawdopodobieństwo, że wiadomości phishingowe pochodzą z określonych krajów w części Europy Wschodniej, Ameryki Środkowej, Bliskiego Wschodu i Afryki, a także że są one kierowane przez większą liczbę lokalizacji niż wiadomości, które są bezpieczne.
Trzy kluczowe wnioski z analiz ekspertów Barracuda:
1. E-maile phishingowe częściej mają trasy wiodące przez wiele krajów.
Ponad 80 proc. bezpiecznych wiadomości e-mail jest kierowanych przez dwa lub mniej krajów, w porównaniu do nieco ponad 60 proc. wiadomości phishingowych. Oznacza to, że dobrą cechą dla klasyfikatora wykrywającego phishing mogłoby być sprawdzenie liczby krajów, przez które przechodzi wiadomość e-mail.
2. Kraje, w których prawdopodobieństwo wystąpienia phishingu jest wyższe, znajdują się w części Europy Wschodniej, Ameryki Środkowej, na Bliskim Wschodzie oraz w Afryce.
Nadawcy, którzy generują większą liczbę wiadomości phishingowych (ponad 1000 wiadomości w zbiorze danych) o wyższym prawdopodobieństwie phishingu, pochodzą z krajów lub terytoriów obejmujących (w kolejności malejącej):
- Litwa,
- Łotwa,
- Serbia,
- Ukraina,
- Rosja,
- Bahamy,
- Puerto Rico,
- Kolumbia,
- Iran,
- Palestyna,
- Kazachstan.
3. Sieci z największą liczbą ataków phishingowych należą, co zaskakujące, do dużych, legalnych dostawców usług chmurowych. Można to wytłumaczyć tym, że mają one również najwyższy całkowity wolumen wysyłanych wiadomości e-mail. W przypadku takich sieci prawdopodobieństwo, że dany e-mail jest phishingiem jest bardzo niskie. Jest prawdopodobne, że większość ataków pochodzących z tych sieci pochodzi ze skradzionych kont pocztowych lub serwerów, do których osoby atakujące były w stanie uzyskać dane uwierzytelniające.
Badacze Barracuda stwierdzili również, że niektóre z sieci o największym natężeniu ataków phishingowych, które charakteryzują się również wysokim prawdopodobieństwem wystąpienia phishingu, należą do mniejszych dostawców usług chmurowych (Rackspace, Salesforce). Sieci te mają o rzędy wielkości mniejszy całkowity ruch e-mailowy niż kilka czołowych sieci, ale nadal wysyłają znaczną ilość wiadomości phishingowych. W związku z tym prawdopodobieństwo, że pochodząca od nich wiadomość e-mail będzie złośliwa jest znacznie wyższe.
Eksperci Barracuda dają trzy kluczowe wskazówki dotyczące ochrony przed atakami phishingowymi: stosowanie rozwiązań, które wykorzystują sztuczną inteligencję, wprowadzanie rozwiązań chroniących przed przejmowaniem konta oraz zwiększanie świadomości dot. cyberbezpieczeństwa poprzez szkolenia.
