Перейти к содержанию

Отложенный фишинг и как с ним бороться

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot

KL FC Bot

Опубликовано
Опубликовано

Фишинг — один из основных инструментов атаки на корпоративные сети. Неудивительно, что фильтры против него и детекторы вредоносных адресов стоят везде: у провайдеров электронной почты, на почтовых шлюзах, даже в браузерах. Поэтому злоумышленники постоянно придумывают и совершенствуют методы обхода. Один из них — отложенный фишинг.

Что такое отложенный фишинг?

Отложенный фишинг — это попытка заманить жертву на вредоносный или поддельный сайт при помощи техники Post-Delivery Weaponized URL. Как следует из названия, ее суть сводится к замене контента сайта на вредоносный уже после доставки письма жертве. То есть она получает e-mail со ссылкой, которая ведет либо в никуда, либо на легитимный ресурс, который может быть уже скомпрометирован, но еще не содержит вредоносного контента. Так письмо с легкостью проходит все фильтры: алгоритмы находят содержащийся в тексте URL, сканируют сайт, не видят в нем опасности и пропускают послание в почтовый ящик жертвы.

Через некоторое время после доставки (гарантированно после того, как письмо было доставлено, но по возможности до того, как его прочитает жертва) злоумышленники поднимают заранее подготовленную фишинговую страницу или активируют вредоносное содержимое на прежде безвредном сайте. Там может оказаться любая уловка — от воспроизведенного интерфейса банковского сайта до эксплойта для браузера, который попробует загрузить жертве вредоносное ПО. Но согласно исследованию, проведенному нашим экспертом Олегом Сикорским, в 80% случаев там встречается именно фишинговый сайт.

Как обманывают антифишинговые алгоритмы?

Чтобы обмануть алгоритм, злоумышленники используют один из трех методов.

  • Простая ссылка. Она ведет на контролируемый злоумышленниками сайт — созданный заново либо взломанный и захваченный. Киберпреступники предпочитают именно захваченные сайты, потому что они, как правило, пользуются положительной репутацией, что является явным плюсом с точки зрения защитных алгоритмов. На момент доставки за ссылкой находится либо бессмысленная заглушка, либо (чаще) страница ошибки с кодом 404.
  • Короткая ссылка. В Интернете достаточно сервисов, которые позволяют сделать из длинного URL — короткий. Задуманы они для того, чтобы упростить жизнь пользователям: те могут поделиться короткой, легко запоминающейся ссылкой, которая при переходе разворачивается в полноценную. То есть срабатывает простой редирект. Некоторые сервисы позволяют менять содержимое, спрятанное внутри короткой ссылки. Такими и пользуются злоумышленники: во время доставки письма URL ведет на легитимный сайт, а через некоторое время начинает перенаправлять на вредоносный.
  • Рандомизированная короткая ссылка. Еще более редкий случай. Некоторые из сервисов для укорачивания ссылок позволяют задавать вероятностное перенаправление. То есть при переходе по ссылке вы с вероятностью 50% попадете на google.com, а 50% — на фишинговый сайт. Мы предполагаем, что злоумышленники при помощи таких ссылок реализуют описанный выше сценарий с обычной короткой ссылкой, но при активации перенаправления на вредоносную страницу подмешивают вероятность попасть на легитимный сайт. По всей видимости, чтобы сбить с толку программы для автоматического сбора информации (crawler).

Когда ссылка становится вредоносной?

Чаще всего злоумышленники исходят из предпосылки, что их жертва спит по ночам. Поэтому письма с отложенным фишингом рассылают после полуночи, а вредоносными они становятся через несколько часов, ближе к рассвету. Если посмотреть на статистику срабатываний антифишинговых программ, то можно увидеть пик в районе 7–10 часов утра. Это проснувшиеся пользователи начали переходить по присланным ночью ссылкам, которые по факту уже стали вредоносными.

Впрочем, не следует забывать и о целевом фишинге. Если злоумышленники атакуют конкретную жертву, то они могут изучить ее распорядок дня, выяснить, когда она читает почту, и активировать вредоносную ссылку, подстроившись под ее расписание.

Как поймать отложенный фишинг?

Поскольку в идеале нам нужно не допустить, чтобы фишинговая ссылка дошла до пользователя, самым правильным было бы повторно проверять письма, которые уже лежат в почтовых ящиках. И в некоторых случаях это реально. Например, если в вашей организации используется почтовый сервер Microsoft Exchange.

Обновленное в сентябре этого года приложение Kaspersky Security for Microsoft Exchange Server поддерживает интеграцию с почтовым сервером через нативный API, что позволяет перепроверять то, что уже лежит в почтовых ящиках. Если грамотно настроить время сканирования, то это позволит выявить попытки отложенного фишинга, не создавая дополнительной нагрузки на сервер в почтовый час пик.

Кроме того, наше решение позволяет наблюдать и за внутренней почтой (не проходящей через почтовый шлюз безопасности, а потому недоступной его фильтрам и сканирующим движкам), а также реализовывать более сложные правила контентной фильтрации. В особо опасных случаях Business E-mail Compromise (компрометация бизнес-переписки, BEC), связанных с получением хакерами доступа к учетной записи корпоративной почты, особенно важно иметь возможность перепроверять содержимое ящиков и контролировать внутреннюю переписку.

Kaspersky Security for Microsoft Exchange Server входит в состав решений Kaspersky Security для почтовых серверов и Kaspersky Total Security для бизнеса.

View the full article

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Фишинг для пользователей Ledger | Блог Касперского
      Автор KL FC Bot
      До недавнего времени злоумышленники в основном интересовались криптокошельками исключительно домашних пользователей. Однако, по всей видимости, бизнес все чаще стал использовать криптовалюту — теперь злоумышленники пытаются добраться и до кошельков организаций. За примерами далеко ходить не надо. Недавно исследованный коллегами зловред Efimer, рассылаемый организациям, умеет подменять адреса криптокошельков в буфере обмена. В России организации не имеют права рассчитываться криптовалютой, но, тем не менее, некоторые используют ее в качестве инвестиций. Поэтому функциональность, связанная с криптокошельками, появилась даже в зловредах, используемых в атаках исключительно на российские организации. Вредоносное ПО семейства Pure, например, не только подменяет адреса в буфере, но также охотится и за учетными данными программных криптокошельков. Поэтому мы не очень удивились, когда увидели и криптовалютный фишинг, направленный не только на домашних, но и на корпоративных пользователей. Чему мы удивились, так это легенде и, в целом, качеству этого фишинга.
      Фишинговая схема
      Сама по себе схема нацелена на пользователей аппаратных криптокошельков Ledger: Nano X и Nano S Plus. Злоумышленники рассылают фишинговое письмо, в котором многословно извиняются за допущенный промах — якобы из-за технического недочета сегменты приватного ключа от криптокошелька были переданы на сервер Ledger. И он в общем-то был очень хорошо защищен и зашифрован, но вот команда обнаружила очень сложную утечку, в ходе которой атакующие эксфильтрировали фрагменты ключей и при помощи крайне продвинутых методов расшифровали их и реконструировали часть ключей, что привело к краже криптоактивов. И чтобы через эту уязвимость не взломали еще и ваш криптокошелек, авторы письма рекомендуют немедленно обновить микропрошивку устройства.
      Фишинговое предупреждение о необходимости обновления микропрошивки
       
      View the full article
    • KL FC Bot
      Фишинг через Google Ads: атаки на SEOшников и маркетологов
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Как рассылают фишинг с адреса no-reply@accounts.google.com | Блог Касперского
      Автор KL FC Bot
      Представьте — вам приходит письмо, оповещающее о том, что Google получила от правоохранительных органов судебную повестку с требованием предоставить содержимое вашего аккаунта. Письмо выглядит вполне «по-гугловски», да и адрес отправителя совершенно респектабельный — no—reply@accounts.google.com. Внутри сразу просыпается (как минимум) легкое ощущение паники, не правда ли?
      И вот какая удача — в письме содержится ссылка на страницу поддержки Google, перейдя по которой можно узнать все подробности о происходящем. Доменный адрес ссылки при этом также похож на официальный и, судя по всему, принадлежит настоящей Google…
      Постоянные читатели нашего блога уже наверняка догадались, что речь идет о новой схеме фишинга. В ней мошенники эксплуатируют сразу несколько сервисов настоящей Google, чтобы сбить своих жертв с толку и придать письмам максимальную правдоподобность. Рассказываем обо всем по порядку.
      Как фишинговое письмо маскируется под официальное уведомление Google
      Письмо, с которого начинается данная атака, вы можете видеть на скриншоте ниже — оно действительно вполне убедительно притворяется оповещением от системы безопасности Google. В письме пользователя информируют о том, что компании пришла судебная повестка на получение правоохранительными органами доступа к содержимому его Google-аккаунта.
      Мошенническое письмо от no-reply@accounts.google.com, маскирующееся под официальный запрос на выдачу правоохранительным органам данных Google-аккаунта пользователя. Источник
       
      View the full article
    • KL FC Bot
      Технология для проверки QR-кодов на фишинг | Блог Касперского
      Автор KL FC Bot
      В попытке обойти механизмы защитных решений злоумышленники все чаще прячут вредоносные и фишинговые ссылки внутрь QR-кодов. Поэтому в решение [KSMG placeholder] Kaspersky Secure Mail Gateway [/placeholder] мы добавили технологию, способную «читать» QR-коды (в том числе и спрятанные внутрь PDF-файлов), доставать из них ссылки и проверять их до того, как они окажутся в почтовом ящике сотрудника компании. Рассказываем, как это работает.
      Пример фишингового QR-кода внутри PDF-файла
       
      View the full article
×
×
  • Создать...