Типы фишинговых сообщений, которые могут обмануть вашу электронную почту

Едва ли найдется какая-либо форма киберпреступности, которая могла бы сравниться с фишингом с точки зрения ее распространенности и глобального воздействия. Он занимает центральное место во вредоносных кампаниях, направленных на получение данных аутентификации пользователей, выманивание денег у организаций или распространение компьютерных вирусов через коварные электронные письма.

Недавние выводы аналитиков по безопасности показывают общую картину. В первом квартале 2020 года было обнаружено более 165 772 новых фишинговых сайта. ФБР заявляет, что компрометация деловой электронной почты (BEC) — это растущий тип фишинга, ориентированный на предприятия. Это приводит к тому, что компании ежегодно теряют около 5 миллиардов долларов в результате мошеннических электронных переводов.

Киберпреступники наращивают свой жанр

Эти ошеломляющие статистические данные демонстрируют широту и глубину бедствия. Неудивительно, что многочисленные фирмы по обеспечению безопасности и поставщики услуг электронной почты предлагают решения, которые предотвращают попадание мошеннических сообщений в почтовые ящики пользователей. Все более эффективная защита побуждает операторов фишинговых кампаний разрабатывать новые методы обхода традиционных фильтров.

Обход фильтров электронной почты стал таким же важным для мошенников, как и адаптация мошеннических сообщений, повествование которых цепляет за ниточки в сознании получателей. Следующие методы недавно расширили репертуар операторов фишинга, чтобы их электронные письма не вызывали тревогу и не доходили до места назначения, несмотря на основные меры противодействия.

Рекомендуется для вас: какова роль искусственного интеллекта (ИИ) в кибербезопасности?

Учетные данные Office 365, полученные через Google Cloud Services

Кибер-мошенники все чаще размещают файлы-приманки и фишинговые страницы в популярных облачных сервисах. Эта тактика добавляет мошенничеству дополнительный уровень надежности и запутывания, что делает его чрезвычайно сложным для пользователей и систем защиты, ориентированных на безопасность.

Кампания, недавно обнаруженная исследователями из компании Check Point, занимающейся кибербезопасностью, демонстрирует, насколько уклончивым может быть этот тип мошенничества. Его приманкой является PDF-документ, загруженный на Google Диск. Утверждается, что этот общий файл содержит важную деловую информацию. Однако для его просмотра жертва должна нажать кнопку «Доступ к документу», которая приведет к странице входа с запросом данных аутентификации Office 365 или идентификатора организации. Независимо от того, какой параметр выбран, появляется всплывающее окно с запросом данных пользователя для входа в Outlook.

Как только адрес электронной почты и пароль введены, жертва, наконец, может просмотреть файл PDF. Это законный маркетинговый отчет, выпущенный известной консалтинговой компанией в 2020 году. Кроме того, страницы, которые появляются на разных этапах этой атаки, размещены в облачном хранилище Google, поэтому вряд ли есть какие-либо подсказки, указывающие на то, что происходит что-то явно злое. .

Между тем, серьезная ловушка, затмеваемая мнимой легитимностью этой уловки, заключается в том, что мошенники по пути получают действительные учетные данные жертвы Office 365. Попав в чужие руки, эта информация может стать стартовой площадкой для эффективных мошеннических схем BEC, промышленного шпионажа и распространения вредоносных программ.

Вводящие в заблуждение электронные письма, якобы отправленные от надежных банков

Недавно мошенники рассылали поддельные сообщения, которые выдавали себя за популярные финансовые учреждения, такие как Citigroup или Bank of America. В электронном письме пользователю предлагается обновить информацию об адресе электронной почты, щелкнув гиперссылку, ведущую на копию веб-сайта банка. Чтобы розыгрыш выглядел правдоподобно, преступники используют дополнительную страницу, запрашивающую контрольный вопрос получателя.

Одним из неблагоприятных несоответствий является то, что электронное письмо ускользает из поля зрения большинства фильтров, хотя оно отправляется с адреса @yahoo.com. Причина в том, что злоумышленники атакуют лишь нескольких сотрудников компании. Поскольку обычные антифишинговые решения настроены на большое количество похожих или идентичных сообщений, они могут пропустить несколько подозрительных писем.

Другая проблема заключается в том, что сообщение исходит из личной учетной записи электронной почты. Этот факт затрудняет обнаружение, поскольку традиционные инструменты проверки, такие как проверка подлинности сообщений на основе домена, отчетность и соответствие (DMARC), а также структура политики отправителей (SPF), идентифицируют только электронные письма, которые подделывают исходный домен.

В довершение ко всему, фишинговая страница учетных данных, имитирующая официальный сайт банка, проходит все проверки с честью. Это потому, что он был зарегистрирован недавно и, следовательно, еще не попал в черный список. Он также использует действующий сертификат SSL. Фишинговая ссылка перенаправляет пользователей, использующих законный поисковый сервис Yahoo. Все эти причуды в сочетании с некоторым давлением в тексте повышают вероятность успеха этой кампании.

Разархивируйте вложение и заразитесь

Некоторые злоумышленники скрывают вредоносное вложение в мошенническом архиве, чтобы помешать его обнаружению. Обычно ZIP-файл поставляется с одним параметром «Конец центрального каталога» (EOCD). Он указывает на последний элемент структуры архива. Кибер-мошенники используют ZIP-объект с дополнительным значением EOCD внутри. Это означает, что файл содержит запутанное дерево архива.

При обработке средствами декомпрессии, входящими в состав защищенных почтовых шлюзов (SEG), ZIP-вложение выглядит безобидным, поскольку его отвлекающий компонент обычно является единственным, который подвергается тщательной проверке. После этой уловки извлеченный файл незаметно запускает банковскую троянскую программу на машине получателя.

Утрачено при переводе

Еще одна распространенная уловка — обманывать фильтры электронной почты, встраивая текст на иностранном языке. Некоторые средства защиты настроены на проверку входящих сообщений на наличие сомнительных материалов только на английском или родном языке пользователя.

Имея это в виду, мошенники могут создавать фишинговые электронные письма на русском языке и включать подсказку «Используйте переводчик Google». В результате сообщение попадает во входящие, и жертва может попасть на крючок после прочтения переведенного текста.

Вам может понравиться: 17 крутых советов по написанию политики кибербезопасности, которая не будет отстойной.

Изменение HTML-кода электронного письма

Еще один способ проскользнуть фишинговым сообщением через системы защиты — перевернуть текстовые строки в его HTML-коде, а затем отобразить информацию так, чтобы она выглядела совершенно нормально для получателя. Поскольку содержимое искаженного исходного кода не пересекается ни с одним из известных фишинговых шаблонов, SEG, скорее всего, проигнорируют сообщение.

Весьма коварная подделка этой техники вращается вокруг каскадных таблиц стилей (CSS), инструмента, используемого для дополнения веб-документов компонентами стиля, такими как размер и цвет шрифта, цвет фона и интервалы. Нечестная игра сводится к неправильному обращению с CSS для объединения латинских и арабских шрифтов в необработанном HTML-коде. Эти скрипты работают в противоположных направлениях, что облегчает мошенникам достижение эффекта реверсирования текста, упомянутого выше. В результате сообщение обманывает средства защиты, оставаясь при этом удобочитаемым для человека.

Злоупотребление взломанными учетными записями SharePoint

Некоторые фишинговые группы используют скомпрометированные учетные записи SharePoint для запуска своих мошеннических действий. Злая логика основывается на том факте, что SEG доверяют доменам, связанным с уважаемой платформой для совместной работы от Microsoft. Ссылка в теле письма ведет на сайт SharePoint. Таким образом, системы безопасности воспринимают это как безобидное и игнорируют сообщение.

Загвоздка в том, что преступники переназначают целевую страницу для отображения сомнительного документа OneNote. Это, в свою очередь, перенаправляет на страницу фишинга учетных данных, замаскированную под форму входа в OneDrive для бизнеса. Детали аутентификации, которые вводит в него ничего не подозревающий пользователь, моментально отправляются на сервер мошенников.

Повысьте осведомленность о фишинге, чтобы оставаться в безопасности

Фильтры электронной почты, несомненно, стоят своих денег. Они удаляют большую часть отрывочных сообщений, брошенных в ваш почтовый ящик. Однако урок, который вы должны извлечь из реальных атак, описанных выше, заключается в том, что безоговорочно полагаться на эти системы — рискованное дело.

«Вы должны сделать свою домашнюю работу и следовать некоторым дополнительным советам, чтобы улучшить свою личную антифишинговую гигиену». – в недавнем интервью упомянул Эндрю Гитт, старший технический специалист, соучредитель и руководитель отдела исследований VPNBrains.

Эндрю также дает следующие рекомендации в своем интервью:

• Воздержитесь от перехода по ссылкам, которые приходят в электронных письмах.
• Не открывайте вложения, полученные от незнакомцев.
• Прежде чем вводить имя пользователя и пароль на странице входа, убедитесь, что это HTTPS, а не HTTP.
• Если электронное письмо выглядит законным, и вы решили рискнуть, нажав на встроенную ссылку, сначала проверьте URL-адрес на наличие опечаток и других подсказок.
• Внимательно читайте входящие электронные письма и проверяйте их текст на наличие орфографических, грамматических и пунктуационных ошибок. Если вы заметили такие ошибки, сообщение, скорее всего, является мошенничеством.
• Игнорируйте и удаляйте электронные письма, которые вынуждают вас что-то делать. Например, фишеры часто устанавливают какой-то крайний срок, чтобы заставить людей ошибиться. Не поддавайтесь на такие уловки.
• Остерегайтесь электронных писем, содержание которых не соответствует вашим повседневным рабочим обязанностям.
• Если вы получили сообщение от старшего менеджера с запросом на банковский перевод, перепроверьте его, связавшись с этим человеком по телефону или лично. Скорее всего, вы имеете дело с самозванцем, который завладел учетной записью электронной почты коллеги.
• Обратите внимание, какой информацией вы делитесь в социальных сетях. Злоумышленники умеют проводить разведку из открытых источников (OSINT), поэтому они могут использовать ваши общедоступные личные данные против вас.
• Если вы являетесь руководителем, обязательно настройте программу обучения осведомленности о фишинге для своих сотрудников.
• Включите брандмауэр и установите эффективное программное обеспечение для онлайн-безопасности с встроенной функцией защиты от фишинга.

Вам также может понравиться: Как защитить свой компьютер от кибератак, отслеживания и вредоносных программ?

Заключительные слова

Всякий раз, когда белые шляпы придумывают новый механизм предотвращения, киберпреступники делают все возможное, чтобы перехитрить их. Возникающая и очень многообещающая тенденция в области безопасности в этом отношении заключается в использовании искусственного интеллекта и машинного обучения для выявления попыток фишинга. Надеемся, что такой подход позволит средствам защиты быть на шаг впереди векторов атак, какими бы изощренными они ни были.

На данный момент лучшее, что вы можете сделать, — это сохранять бдительность и максимально использовать традиционные инструменты защиты от фишинга, которые в большинстве случаев творят чудеса.