Ranije ove godine, na BSides Exeter sigurnosnoj konferenciji, Microsoft-ov inženjer za sigurnosni softver, Ross Bevington — samoprozvani „šef obmane“ kompanije — opisao je uzbudljiv proces kojim Microsoft obmanjuje prevarante i sprečava phishing napade.
Kako izveštava BleepingComputer, Microsoft koristi realistične „honeypot“ korisnike sa pristupom Azure-u kako bi privukao sajber kriminalce. Kompanija zatim prikuplja podatke o njihovim obrascima napada u ovim virtuelnim zamkama kako bi dublje razumela kako funkcionišu sofisticirane phishing operacije i kako bolje ublažiti kriminalne kampanje.
Donošenje zamki prevarantima
U svom izlaganju, Ross Bevington je naveo Microsoftov-u sada povučenu veb stranicu code.microsoft.com kao primer jedne takve zamke koja je korišćena za prikupljanje podataka o svim vrstama napadača, od pojedinačnih aktera do grupa koje podržavaju države, a koje su ciljale Microsoft-ovu infrastrukturu.
Kako bi zamke bile što realističnije, Bevington i njegov tim su se potrudili da se unutar njih odvija svašta, čak su stvorili hiljade veštačkih korisničkih naloga koji su međusobno komunicirali i delili fajlove bez adekvatne zaštite.
Iako koncept zamke nije nov, Microsoft je pametno doveo ove zamke do hakera umesto da jednostavno čeka na njih, i to tako što su lažni korisnički nalozi aktivno posetili veb stranice koje su široko prepoznate kao preteće phishing pretnje. To je privuklo pažnju prevaranata na korisničke naloge, usmerivši ih ka zamkama.
Stopa uspešnosti zamki
Prema podacima iz Microsoft-a, kompanija svakodnevno prati 25.000 phishing veb sajtova, a 20 procenata njih je povezano sa pristupnim podacima za zamku kako bi prikupila važne uvide u ponašanje sajber kriminalaca.
Od napadača koji su bili mamljeni, oko 5 procenata upada u zamku, a Microsoft ih prati i beleži na svakom koraku. U proseku, napadačima je potrebno oko 30 dana da shvate da su dospeli u lažno okruženje i da nemaju pristup stvarnim korisničkim podacima.
Prema Bevingtonu, Microsoft je uspeo da uvuče ne samo manje igrače u svoju zamku, već i „velike ribe“ poput ruske hakerske grupe Midnight Blizzard (NOBELIUM). Zbog toga, kompanija može da razvije jače strategije protiv pokušaja phishing-a svih vrsta.
