Prema izveštaju Verizon DBIR, fišing i kompromitovani nalozi koje on proizvodi vodeći su uzroci bezbednosnih proboja. Razlog je jednostavan – napadači više ne moraju da probijaju mreže ili instaliraju malver, već im je dovoljno da se prijave na nalog žrtve, koristeći ukradene podatke. Ogroman broj različitih aplikacija koje organizacije koriste povećava i broj meta, čineći svaki nalog potencijalnom ulaznom tačkom.
Situaciju dodatno pogoršava činjenica da su fišing alati koji zaobilaze višefaktorsku autentifikaciju (MFA) postali uobičajena praksa. Tehnike koje uspešno zaobilaze SMS kodove, jednokratne lozinke i push notifikacije stavljaju veliki pritisak na detekcione sisteme, dok klasične preventivne mere često ostaju nemoćne.
Tradicinalni sistemi zaštite od fishinga su neučinkoviti
Tradicionalni sistemi zaštite bazirani na e-pošti i mreži, poput Secure Email Gateway (SEG) ili Secure Web Gateway (SWG), sve češće postaju neučinkoviti. Napadači se prilagođavaju i izbegavaju ove kontrole menjajući IP adrese, URL-ove i domene, implementirajući CAPTCHA i Cloudflare Turnstile zaštite kako bi sprečili automatizovanu analizu, kao i promenom vizuelnih i strukturalnih elemenata na fišing stranicama, što dodatno otežava detekciju.
Još opasniji trend je zaobilaženje email sistema u potpunosti. U jednom nedavnom napadu, napadači su se predstavljali kao kompanija Onfido, a korisnicima su slali zlonamerni sadržaj putem plaćenih Google oglasa – bez korišćenja emaila kao kanala distribucije.
Ograničenja rešenja baziranih na e-pošti postaju očigledna. Iako takvi sistemi proveravaju reputaciju pošiljaoca i koriste standarde kao što su DMARC i DKIM, to nije dovoljno za prepoznavanje zlonamernih stranica. Dublja analiza email sadržaja može pomoći u prepoznavanju potencijalno rizičnih linkova, ali ne i samih fišing sajtova. Ovakvi sistemi su korisni u slučajevima BEC napada (Business Email Compromise), gde je cilj socijalni inženjering, ali ne mogu pomoći ako napad dolazi preko potpuno drugačijih kanala, kao što su oglasne mreže ili aplikacije za razmenu poruka.
Upravo zato se pažnja stručnjaka sve više usmerava na mesto gde se napad zaista dešava – u samom internet pregledaču. Umesto da se posmatraju sa strane, nove strategije predlažu da se zaštita implementira iznutra, posmatrajući ponašanje stranica u realnom vremenu, dok korisnik s njima interaguje.
Ovo podseća na pomak koji se dogodio početkom 2010-ih kada su napadi na krajnje tačke postali dominantni, a bezbednosna industrija odgovorila razvojem EDR (Endpoint Detection and Response) sistema koji su omogućili praćenje malicioznih aktivnosti direktno na uređaju. Sada se sličan pomak dešava ka pregledaču kao novoj krajnjoj tački detekcije.
Većina fišing napada danas započinje otvaranjem linka koji vodi na zlonamernu stranicu – najčešće lažnu login formu – a sve se dešava u pregledaču korisnika. Problem je što su te stranice dinamične web aplikacije koje koriste JavaScript za učitavanje sadržaja, što ih čini nevidljivim za statične HTML provere i blok liste. Čak i ako je URL poznat kao sumnjiv, napadači rotiraju domene i koriste jednokratne magične linkove kako bi otežali istragu i detekciju.
U samom pregledaču, međutim, moguće je analizirati celu renderovanu stranicu, pratiti svaki klik i unos, posmatrati promene u DOM-u, kao i pristupiti lokalnim podacima korisnika – kolačićima, lokalnoj memoriji i istoriji pretrage. Ovakva dubinska vidljivost omogućava detekciju na osnovu taktika, tehnika i procedura (TTPs), a ne samo poznatih indikatora kompromitacije (IoCs) koji su već godinama sve manje pouzdani.
Napadači danas vrlo efikasno izbegavaju analize u sandbox okruženjima upravo zahvaljujući zaštitama koje zahtevaju interakciju korisnika, poput CAPTCHA ili Turnstile izazova. I kada bezbednosni tim uspe da otvori sumnjivu stranicu, napadači koriste obfuskaciju sadržaja kako bi onemogućili aktiviranje detekcionih potpisa.
Još jedan izazov sa rešenjima van pregledača je nedostatak mogućnosti da se reaguje u realnom vremenu. Proksi može da prepozna malicioznu aktivnost tek nakon što se dogodi, i to često sa zakašnjenjem zbog TLS enkripcije i potrebe za dodatnim analizama. Sve to oduzima vreme, dok korisnik ostaje izložen.
Za razliku od toga, rešenja koja funkcionišu unutar pregledača omogućavaju trenutnu detekciju i reakciju. Kompanija Push Security razvila je bezbednosno rešenje koje radi upravo to – analizirajući web stranicu u trenutku kada je korisnik koristi. Ako korisnik pokušava da unese lozinku na lažnu stranicu, sistem detektuje da je lozinka već korišćena na legitimnom sajtu, identifikuje da je stranica klonirana iz poznate baze login stranica, i da koristi poznate fišing alate. U tom trenutku korisniku se blokira dalja interakcija sa fišing stranicom.
„Ne možete prevariti korisnika ako ne može da unese svoje podatke na vaš fišing sajt“, poručuju iz Push Security, naglašavajući da je borba protiv fišinga najefikasnija upravo tamo gde se napad odvija – u internet pregledaču.
