Как фейковые компании помогают в поимке злоумышленников.
Microsoft применяет новую стратегию для борьбы с фишингом, создавая правдоподобные ханипоты в виде поддельных арендаторов Azure, чтобы привлекать киберпреступников и собирать данные об их деятельности. Используя собранные сведения, корпорация может строить карты вредоносной инфраструктуры, глубже понимать фишинговые операции и значительно замедлять их активность.
Технологию и её влияние на снижение активности фишеров на конференции BSides Exeter представил Росс Бевингтон, ведущий инженер по безопасности Microsoft. Бевингтон описал метод как «гибридную ловушку с высоким уровнем взаимодействия», созданную для сбора разведывательной информации о кибератаках. С помощью приманки были выявлены как малоопытные злоумышленники, так и группировки, поддерживаемые государствами.
Суть метода заключается в том, что Microsoft создаёт фальшивые тенант-среды, содержащие доменные имена, тысячи аккаунтов и имитацию активности пользователей, что делает их похожими на реальные корпоративные системы. В отличие от традиционных методов, когда ловушка просто ждёт, пока злоумышленники её обнаружат, Microsoft активно вводит в действие такие учётные данные на фишинговых сайтах, выявленных с помощью Defender.
Так как данные не защищены двухфакторной аутентификацией (2FA) и выглядят правдоподобно, злоумышленники быстро получают к ним доступ. Однако на самом деле хакеры просто тратят своё время, исследуя фальшивую среду, не подозревая, что попали в ловушку.
Microsoft ежедневно отслеживает около 25 000 фишинговых сайтов, причём на 20% из них вводятся поддельные учётные данные. Когда киберпреступники входят в ловушки, начинается детальное логирование действий, что позволяет Microsoft изучать методы хакеров, а также собирать информацию об IP-адресах, браузерах, местоположении и особенностях поведения.
Один из ключевых элементов метода — замедление откликов системы, чтобы хакеры тратили как можно больше времени на анализ фальшивой среды. В среднем злоумышленники тратят около 30 дней, прежде чем осознают, что работали в ложной среде. За это время Microsoft получает ценные данные, которые могут быть использованы для улучшения защиты и создания более точных профилей угроз.
Бевингтон отметил, что лишь около 10% IP-адресов, собранных таким образом, можно соотнести с уже известными базами данных угроз. Однако накопленная информация уже позволяет связывать атаки с конкретными группировками, в том числе с финансово мотивированными преступниками и правительственными хакерами.
Ладно, не доказали. Но мы работаем над этим