Перейти к содержанию

Отложенный фишинг и как с ним бороться

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Фишинг — один из основных инструментов атаки на корпоративные сети. Неудивительно, что фильтры против него и детекторы вредоносных адресов стоят везде: у провайдеров электронной почты, на почтовых шлюзах, даже в браузерах. Поэтому злоумышленники постоянно придумывают и совершенствуют методы обхода. Один из них — отложенный фишинг.

Что такое отложенный фишинг?

Отложенный фишинг — это попытка заманить жертву на вредоносный или поддельный сайт при помощи техники Post-Delivery Weaponized URL. Как следует из названия, ее суть сводится к замене контента сайта на вредоносный уже после доставки письма жертве. То есть она получает e-mail со ссылкой, которая ведет либо в никуда, либо на легитимный ресурс, который может быть уже скомпрометирован, но еще не содержит вредоносного контента. Так письмо с легкостью проходит все фильтры: алгоритмы находят содержащийся в тексте URL, сканируют сайт, не видят в нем опасности и пропускают послание в почтовый ящик жертвы.

Через некоторое время после доставки (гарантированно после того, как письмо было доставлено, но по возможности до того, как его прочитает жертва) злоумышленники поднимают заранее подготовленную фишинговую страницу или активируют вредоносное содержимое на прежде безвредном сайте. Там может оказаться любая уловка — от воспроизведенного интерфейса банковского сайта до эксплойта для браузера, который попробует загрузить жертве вредоносное ПО. Но согласно исследованию, проведенному нашим экспертом Олегом Сикорским, в 80% случаев там встречается именно фишинговый сайт.

Как обманывают антифишинговые алгоритмы?

Чтобы обмануть алгоритм, злоумышленники используют один из трех методов.

  • Простая ссылка. Она ведет на контролируемый злоумышленниками сайт — созданный заново либо взломанный и захваченный. Киберпреступники предпочитают именно захваченные сайты, потому что они, как правило, пользуются положительной репутацией, что является явным плюсом с точки зрения защитных алгоритмов. На момент доставки за ссылкой находится либо бессмысленная заглушка, либо (чаще) страница ошибки с кодом 404.
  • Короткая ссылка. В Интернете достаточно сервисов, которые позволяют сделать из длинного URL — короткий. Задуманы они для того, чтобы упростить жизнь пользователям: те могут поделиться короткой, легко запоминающейся ссылкой, которая при переходе разворачивается в полноценную. То есть срабатывает простой редирект. Некоторые сервисы позволяют менять содержимое, спрятанное внутри короткой ссылки. Такими и пользуются злоумышленники: во время доставки письма URL ведет на легитимный сайт, а через некоторое время начинает перенаправлять на вредоносный.
  • Рандомизированная короткая ссылка. Еще более редкий случай. Некоторые из сервисов для укорачивания ссылок позволяют задавать вероятностное перенаправление. То есть при переходе по ссылке вы с вероятностью 50% попадете на google.com, а 50% — на фишинговый сайт. Мы предполагаем, что злоумышленники при помощи таких ссылок реализуют описанный выше сценарий с обычной короткой ссылкой, но при активации перенаправления на вредоносную страницу подмешивают вероятность попасть на легитимный сайт. По всей видимости, чтобы сбить с толку программы для автоматического сбора информации (crawler).

Когда ссылка становится вредоносной?

Чаще всего злоумышленники исходят из предпосылки, что их жертва спит по ночам. Поэтому письма с отложенным фишингом рассылают после полуночи, а вредоносными они становятся через несколько часов, ближе к рассвету. Если посмотреть на статистику срабатываний антифишинговых программ, то можно увидеть пик в районе 7–10 часов утра. Это проснувшиеся пользователи начали переходить по присланным ночью ссылкам, которые по факту уже стали вредоносными.

Впрочем, не следует забывать и о целевом фишинге. Если злоумышленники атакуют конкретную жертву, то они могут изучить ее распорядок дня, выяснить, когда она читает почту, и активировать вредоносную ссылку, подстроившись под ее расписание.

Как поймать отложенный фишинг?

Поскольку в идеале нам нужно не допустить, чтобы фишинговая ссылка дошла до пользователя, самым правильным было бы повторно проверять письма, которые уже лежат в почтовых ящиках. И в некоторых случаях это реально. Например, если в вашей организации используется почтовый сервер Microsoft Exchange.

Обновленное в сентябре этого года приложение Kaspersky Security for Microsoft Exchange Server поддерживает интеграцию с почтовым сервером через нативный API, что позволяет перепроверять то, что уже лежит в почтовых ящиках. Если грамотно настроить время сканирования, то это позволит выявить попытки отложенного фишинга, не создавая дополнительной нагрузки на сервер в почтовый час пик.

Кроме того, наше решение позволяет наблюдать и за внутренней почтой (не проходящей через почтовый шлюз безопасности, а потому недоступной его фильтрам и сканирующим движкам), а также реализовывать более сложные правила контентной фильтрации. В особо опасных случаях Business E-mail Compromise (компрометация бизнес-переписки, BEC), связанных с получением хакерами доступа к учетной записи корпоративной почты, особенно важно иметь возможность перепроверять содержимое ящиков и контролировать внутреннюю переписку.

Kaspersky Security for Microsoft Exchange Server входит в состав решений Kaspersky Security для почтовых серверов и Kaspersky Total Security для бизнеса.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Фишинг через Google Ads: атаки на SEOшников и маркетологов
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Как рассылают фишинг с адреса no-reply@accounts.google.com | Блог Касперского
      Автор KL FC Bot
      Представьте — вам приходит письмо, оповещающее о том, что Google получила от правоохранительных органов судебную повестку с требованием предоставить содержимое вашего аккаунта. Письмо выглядит вполне «по-гугловски», да и адрес отправителя совершенно респектабельный — no—reply@accounts.google.com. Внутри сразу просыпается (как минимум) легкое ощущение паники, не правда ли?
      И вот какая удача — в письме содержится ссылка на страницу поддержки Google, перейдя по которой можно узнать все подробности о происходящем. Доменный адрес ссылки при этом также похож на официальный и, судя по всему, принадлежит настоящей Google…
      Постоянные читатели нашего блога уже наверняка догадались, что речь идет о новой схеме фишинга. В ней мошенники эксплуатируют сразу несколько сервисов настоящей Google, чтобы сбить своих жертв с толку и придать письмам максимальную правдоподобность. Рассказываем обо всем по порядку.
      Как фишинговое письмо маскируется под официальное уведомление Google
      Письмо, с которого начинается данная атака, вы можете видеть на скриншоте ниже — оно действительно вполне убедительно притворяется оповещением от системы безопасности Google. В письме пользователя информируют о том, что компании пришла судебная повестка на получение правоохранительными органами доступа к содержимому его Google-аккаунта.
      Мошенническое письмо от no-reply@accounts.google.com, маскирующееся под официальный запрос на выдачу правоохранительным органам данных Google-аккаунта пользователя. Источник
       
      View the full article
    • KL FC Bot
      Защита от спама: как его распознать и как с ним бороться | Блог Касперского
      Автор KL FC Bot
      «Здравствуйте, это ваш дальний родственник из Нигерии. Дело в том, что я болен смертельной болезнью, другой родни у меня нет, поэтому хочу еще при жизни перечислить вам свое наследство в размере $100 млн», — сообщения с подобным посылом приходили на почту, наверное, каждому пользователю Интернета. Эти письма прозвали «нигерийскими», потому что мошенники представлялись богатыми и состоятельными людьми из Нигерии. Сейчас на смену «богатым нигерийским четвероюродным дядям по маминой линии» приходят фейковые представители банков, онлайн-магазинов, служб доставок и даже президенты.
      Сегодня расскажем про самые популярные виды спама и ответим на вопрос, что делать, если на почту пришел спам.
      Письма от инвесторов, меценатов и прочих богачей
      Это, пожалуй, самый древний и вместе с тем популярный сценарий спама. Даже в 2025 году в почту стучатся всевозможные благодетели, жаждущие отдать свои кровные именно вам. Подобные письма выглядят как под копирку: якобы невероятно богатый человек рассказывает про источник своего богатства, описывает свою проблему и предлагает ее решение. Обо всем по порядку:
      Источником богатства может быть что угодно: наследство, невероятно прибыльный бизнес в далекой стране или даже внезапно обнаруженный криптокошелек с миллионами денег. Проблема тоже вариативна: от смертельной болезни до желания пожертвовать все свои деньги на благотворительность — и сделать это нужно обязательно с вашей помощью. Решение всегда одно — нужно как можно скорее перевести деньги на ваш счет. Конечно, если в ответ на такое письмо вы отправите свои глубочайшие соболезнования и номер банковской карты, то никто не перечислит вам ни миллионы, ни даже тысячи денег. Наоборот, мошенники будут всеми правдами и неправдами вынуждать вас перевести им свои средства. Как вариант, оплатить несуществующую комиссию на перевод их миллионов денег.
      Не стоит верить письму, даже если оно отправлено якобы президентом США. Сейчас спамеры на волне популярности Дональда Трампа запустили новую-старую мошенническую схему: рассылают потенциальным жертвам письма, в которых представляются Дональдом Трампом, почему-то решившим отправить по $15 млн нескольким десяткам счастливчиков по всему миру. Получить миллионы можно, лишь отправив ответное письмо, где фейковый мистер Дональд Трамп попросит перейти по ссылочке и ввести свои банковские данные либо оплатить комиссию за перевод средств на ваш счет.
       
      View the full article
    • KL FC Bot
      Технология для проверки QR-кодов на фишинг | Блог Касперского
      Автор KL FC Bot
      В попытке обойти механизмы защитных решений злоумышленники все чаще прячут вредоносные и фишинговые ссылки внутрь QR-кодов. Поэтому в решение [KSMG placeholder] Kaspersky Secure Mail Gateway [/placeholder] мы добавили технологию, способную «читать» QR-коды (в том числе и спрятанные внутрь PDF-файлов), доставать из них ссылки и проверять их до того, как они окажутся в почтовом ящике сотрудника компании. Рассказываем, как это работает.
      Пример фишингового QR-кода внутри PDF-файла
       
      View the full article
×
×
  • Создать...