Фишинг эволюционирует: новые уловки
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Фишинговые письма становятся всё изощрённее: их создатели изобретают новые способы обмана получателей и обхода защитных систем. Наибольшую угрозу сегодня представляет набор инструментов Tycoon — именно с его помощью совершается большинство атак через электронную почту. Недавно киберпреступники обновили этот фишинг-кит, добавив в арсенал свежие трюки для маскировки вредоносных ссылок и программ в письмах.
Эксперты компании Barracuda проанализировали ряд таких новых приёмов. Среди них — кодирование ссылок, поддельные капчи, избыточные протоколы в адресе, использование символа «@» и разделение на доброкачественные и вредоносные поддомены.
При кодировании адреса злоумышленники добавляют невидимые пробелы или странные символы (например, Unicode), чтобы скрыть вредоносную часть ссылки от систем безопасности и замаскировать её под обычный сайт. Такой подход делает ссылку внешне безобидной и обходит автоматические фильтры.
Фейковые капчи — ещё одна уловка. Они имитируют проверку пользователя, якобы защищая сайт, но на деле только делают его похожим на настоящий и обходят элементарные проверки.
Техника «избыточного протокола» используется для создания частично кликабельных или некорректных ссылок (например, дважды написанный https или отсутствие двойного слэша //). Это позволяет скрыть истинный адрес перехода, делая активную часть адреса достоверной.
Особая уловка — использование символа «@» в адресе. Всё, что стоит до него, браузер воспринимает как «логин», после — настоящий сайт. Мошенники пишут перед «@» что-то узнаваемое, вроде office365, а после него ведут на свой фишинговый ресурс. Жертва думает, что переходит на сайт Microsoft, а попадает к злоумышленникам.
Ещё одна опасная функция - деление поддоменов на безопасные и вредоносные. Например, злоумышленники могут создать адрес office365Scaffidips.azgcvhzauig.es — жертва видит знакомый бренд, а на самом деле домен принадлежит мошенникам.
С каждым днём фишинг становится сложнее, а его обнаружение — труднее. Barracuda советует защищаться комплексно: использовать несколько уровней защиты, выявлять необычное поведение, обучать сотрудников распознавать угрозы и внедрять решения на основе искусственного интеллекта и машинного обучения.
Фишинговые атаки не стоят на месте. Tycoon — звезда нового поколения фишинг-набросов, продвигает инновации в искусстве наживы: теперь не только обводит вокруг пальца пользователей, но и весело морочит голову корпоративным инженерам безопасников. Индустрия «обмани ближнего» становится всё технологичнее — невидимые пробелы, капчи для красоты, двойные https, иллюзия спокойствия через узнаваемые названия вроде office365 прямо в адресе. Всё это чтобы нажать не туда и раскрыть свои данные тем, кто точно не прочёл никогда книжку «Как быть хорошим человеком».
Barracuda, действующий мэтр рынка комплексной безопасности, напоминает: без многоуровневой защиты, ИИ за спиной и регулярных курсов самообороны попадёте в руки фишеров быстро. А если не попадёте вы, попадут ваши коллеги и соседи по офису — Tycoon не дремлет и работает без выходных. Ирония в том, что чем искушённее система защиты, тем веселей становится жизнь фишинговым циркачам: можно выдумывать новые шутки и смотреть, как «ловкие» корпоративные фильтры разбираются в потоке невидимых символов.
Вся эта возня с «@», поддоменами и Unicode — не банальная шалость. Это работа на опережение, где пользователь превратился в азартного зрителя, а игра давно стала бескровной дуэлью между разработчиками защит и создателями Tycoon. Скучно уж точно не будет.