Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Как преступники маскируют URL | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Специалисты, отвечающие за информационную безопасность компаний, нередко сталкиваются с самоуверенными сотрудниками, утверждающими, что они не кликают по опасным ссылкам, а потому им ничего не грозит. Иногда этим пытаются аргументировать отключение корпоративного защитного решения, которое якобы как-то мешает работе. Но злоумышленники часто маскируют очевидно вредоносные и фишинговые ссылки, стараясь запутать как автоматические почтовые фильтры, так и человека. В идеале им нужно сделать так, чтобы жертва, даже посмотрев на URL, увидела один адрес, а перешла по другому. Вот наиболее распространенные способы, которыми пользуются киберпреступники для этих целей.

Осторожно, злая собака

Самый элементарный способ отправить получателя ссылки по постороннему адресу — использовать в URL коммерческое at, привычную по почтовым адресам «собаку». В принципе, это вполне себе легитимный символ, который может применяться для передачи логина и пароля вместе с адресом, но если стоящие до символа @ данные не подходят для аутентификации, то браузер просто отбрасывает их, переходя по адресу, расположенному после символа @. Этим и пользуются злоумышленники — они придумывают убедительное название страницы, приклеивают к нему название легитимного сайта, а после «собаки» размещают реальный адрес. Вот как выглядит адрес нашего блога, замаскированный таким способом.

В начале много посторонней информации и домен Google, но перейдет браузер по адресу http://kaspersky.com/blog/.

 

Посмотреть статью полностью

  • Печаль 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • iamgroot
      [РЕШЕНО] Майнер маскируется под dwm.exe
      Автор iamgroot
      Вечер добрый, вчера через программу System Informer обнаружил то, что у меня два процесса dwm.exe, один из них грузит процессор на +-30%, потребляет 2 гб ОЗУ и запущен от имени системы, вместо DWM-1. При открытии диспетчера задач нагрузка снижается постепенно, процесс можно завершить, но после перезагрузки он вновь появляется. На данном форуме уже видел темы с идентичными моим симптомами.
      Проблему заметил после того, как установил обновление KB5058499 через центр обновлений, до этого подобного не наблюдал.
      Проверка системы KVRT не дала результатов, ниже прилагаю скриншот с процессом и файл логов автологгера.

      CollectionLog-2025.05.30-17.44.zip
    • Prophet86
      Вирус, маскирующийся под edge updater, восстанавливается после перезагрузки
      Автор Prophet86
      Добрый день. Подцепил вирус, KVRT и Cureit его видят, определяют как bltminer, удаляют, но после перезапуска он восстанавливается. Сидит в папке AppData\Local\Microsoft\Edge\System\
      Через диспетчер задач видно, что после запуска системы создается служебный сценарий в браузере Edge, который устанавливает файл Updater.exe, а также некую программу UmasMatima, но сразу же маскирует их расположение...
      Помогите, пожалуйста, в решении проблемы
      CollectionLog-2025.06.21-19.25.zip
    • KL FC Bot
      Фишинговое письмо с HR-гайдлайнами | Блог Касперского
      Автор KL FC Bot
      Попытки поставить целевой фишинг на поток мы наблюдаем уже достаточно давно. Как правило, они ограничиваются чуть лучшей стилизацией писем под конкретную компанию, имитацией корпоративного отправителя при помощи методики Ghost Spoofing и персонализацией послания (которая в лучшем случае заключается в обращении к жертве по имени). Однако в марте этого года мы начали регистрировать крайне любопытную рассылку, в которой персонализирован был не только текст в теле писем, но и вложенный документ. Да и сама схема была не совсем типичной — в ней жертву пытались заставить ввести корпоративные учетные данные от почты под предлогом изменений HR-политики.
      Письмо от злоумышленников: просьба ознакомиться с новыми HR-гайдлайнами
      Итак, жертва получает письмо, в котором якобы представители HR, обращаясь по имени, просят ознакомиться с изменениями HR-политики, касающимися протоколов удаленной работы, доступных рабочих льгот и стандартов безопасности. Разумеется, любому сотруднику важны изменения такого рода, курсор так и тянет к приложенному документу (в названии которого, к слову, тоже есть имя получателя). Тем более в письме такая красивая плашка, в которой сказано, что отправитель подтвержденный, сообщение пришло из листа безопасных адресатов. Но как показывает практика, именно в таких случаях к письму стоит присмотреться повнимательнее.
       
       
      View the full article
    • KL FC Bot
      Главные ошибки работы с CVSS | Блог Касперского
      Автор KL FC Bot
      При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).
      Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.
      Разночтения CVSS
      Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.
       
      View the full article
    • KL FC Bot
      Вам опять причитается много денег | Блог Касперского
      Автор KL FC Bot
      Мошенники постоянно что-нибудь «раздают»: то бесплатные подписки в Telegram, то криптовалюту, то NFT-кроссовки. В новой схеме все по-простому: «раздают» сразу деньги — точнее, делятся способом, как их якобы законно можно получить.
      Жулики с помощью ИИ создали двухминутный ролик, где «журналИИсты» и одна знаменитость рассказывают байки: «Каждый человек может получить компенсацию, для этого нужно всего лишь…». Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.
      Как действуют мошенники
      В рамках этой кампании были разработаны фишинговые сайты, на которых как раз и размещалось видео. Вы не сможете найти его на YouTube или других видеохостингах (извините, но ради вашей безопасности мы тоже им не поделимся), потому что там подобный ИИ-контент довольно-таки быстро удаляют. С подконтрольными злоумышленникам сайтами все сложнее, особенно когда ссылки на них рассылают в почте и мессенджерах.
      Теперь о самом интересном: о видео. Выглядит оно как свежий выпуск бразильских новостей, но с одним нюансом. Новости — фейковые, они «сняты» без согласия журналистов. Мошенники в качестве фактуры использовали настоящий выпуск новостей, на который наложили закадровую озвучку, сделанную с помощью ИИ, а также синхронизировали движения губ с новым текстом. Итак, ИИ-клоны реальных журналистов рассуждают о «нарушениях», допущенных одним из популярнейших банков страны.
      «Банковские балансы клиентов уменьшаются без всякой причины или даже полностью обнуляются». «Несправедливо блокируются счета». «Процентные ставки по кредитам завышаются». Часть фейковой статьи, созданной ИИ для этой схемы
       
      View the full article
×
×
  • Создать...