Перейти к содержанию

Фишинг на картинке | Блог Касперского


Рекомендуемые сообщения

Современные антифишинговые и антиспам-решения для выявления нежелательных писем все чаще используют разнообразные варианты технологий машинного обучения. Для анализа текста применяются нейросети, которые не так просто обмануть. Поэтому злоумышленники начали очень активно применять простой, но действенный трюк — помещать весь текст на картинку. Причем картинку они встраивают в тело письма (в кодировке Base64), а не размещают на стороннем сайте, как это происходит обычно (в таком случае почтовый клиент просто не отобразил бы изображение в письме, пришедшем с адреса вне компании).

Целью большей части таких писем, как обычно, является выманивание учетных данных от Microsoft Office 365. В очередной раз мы бы хотели обратить ваше внимание на признаки мошенничества, которые позволят вам оставаться в безопасности.

Фишинговое письмо

По большому счету, письмо просто представляет собой картинку на белом фоне (это помогает ей сливаться с интерфейсом почтового клиента). Вот типичный пример фишингового письма такого рода:

Имитация письма о подтверждении учетной записи.

Начнем с того, что легальных причин, по которым современное письмо может оказаться картинкой, нет. Тем более письмо, сгенерированное автоматически (а извещение о необходимости верификации учетной записи — 100% автоматически созданное послание). Пользователю достаточно просто определить, что перед ним не текст, а картинка — курсор мыши не изменяется при подведении к гиперссылке или кнопке. Ведь здесь URL зашит под картинку, и, по сути, вся картинка является единой кнопкой/ссылкой.

Если у вас остаются сомнения, можете попробовать выделить часть текста или изменить размер окна почтового клиента. На картинке вам, разумеется, не удастся выделить слово, а при изменении масштабирования окна длина строк «письма» останется постоянной.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Наши эксперты зафиксировали атаку нового троянца, которого они окрестили CryWiper. Внешне активность этого зловреда имеет все признаки заражения шифровальщиком-вымогателем: он изменяет файлы, добавляет к ним дополнительное расширение .CRY и сохраняет файл README.txt с требованием выкупа, в котором содержится адрес биткойн-кошелька, почта для связи с авторами и идентификатор заражения. Однако по факту он относится к классу вайперов — поврежденные им данные не подлежат восстановлению. Так что если вы видите записку от вымогателей, а важные файлы в системе не читаются и имеют новое расширение .CRY, то платить выкуп как минимум бессмысленно.
      В прошлом мы встречали поделки злоумышленников, которые становились вайперами случайно — вследствие ошибки программистов, криво реализовавших процесс шифрования файлов. Однако это не тот случай: наши эксперты уверены, что в этот раз основная цель злоумышленников не в получении финансовой выгоды, а именно в уничтожении данных. Данные не шифруются, вместо этого троянец перезаписывает их информацией, получаемой при помощи генератора псевдослучайных чисел.
      За какими данными охотится CryWiper
      По большому счету, троянец портит любые данные, отсутствие которых не сказывается на работе операционной системы. Он игнорирует файлы с расширениями .exe, .dll. .lnk, .sys, .msi, а также принципиально не трогает ряд папок в директории C:\Windows. Фокусируется зловред на базах данных, архивах, и пользовательских документах.
      На данный момент наши эксперты видели исключительно точечные атаки на цели в Российской Федерации. Однако, как обычно, никто не может гарантировать, что тот же код не может быть применен и против иных целей.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Я давно и часто говорю: антивирус мертв.
      На первый взгляд странная фраза, в особенности от человека, который стоял практически у истоков этого самого антивируса в бородатых 90-х. Но если внимательно пожевать тему, да с авторитетными источниками, то утверждение приобретает логичность: во-первых, антивирусы превратились в защитные решения «против всего», а во-вторых, вирусов, как разновидности вредоносных программ, не осталось. Но есть нюанс: почти не осталось.
      И где же сейчас обитают это заповедные твари краснокнижного зловредства?
      А вот прям здесь, под боком. В одной из самых консервативных областей автоматизации — операционных технологиях (ОТ, не путать с IT — информационными технологиями). Не буду впадать в занудство чрезмерно глубокого раскрытия существа темы — уточню проще: ОТ — это системы управления на фабриках-заводах, электростанциях, транспорте, в добыче-обработке и подобных «тяжелых» секторах-отраслях. Да, вы правильно поняли — компьютерные вирусы довольно часто встречаются в критической инфраструктуре! Около 3% инцидентов вызваны именно этим видом зловредства.
      Почему так получается?
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      С 20 ноября по 18 декабря в Катаре проходит финал 22-го чемпионата мира по футболу ФИФА. Разумеется, кибермошенники не могли обойти стороной столь популярное мероприятие. Чемпионат мира в России 2018 года посмотрело 3,6 миллиарда человек, или более половины населения Земли старше четырех лет, и вряд ли популярность катарского чемпионата мира окажется сильно ниже. Мы проанализировали основные киберугрозы, с которыми сталкиваются любители спорта на крупных спортивных мероприятиях последних лет, и предлагаем задуматься о защите от подобных проблем и во время нынешнего мундиаля.
      Мошеннические сайты и приложения
      Накануне всех крупных спортивных мероприятий прошлых лет наши эксперты наблюдали активную регистрацию доменов, использовавших названия соответствующих чемпионатов и олимпиад. Большинство таких сайтов применялись для различных видов мошенничества: пользователям предлагали, например, фальшивые билеты или бесплатные трансляции.
      Фишинговая страница, предлагающая возможность выиграть два билета на мундиаль
      Не стал исключением и нынешний мундиаль. К его началу эксперты обнаружили множество мошеннических страниц в соцсетях и более 170 доменов, выдающих себя за официальные онлайн-ресурсы чемпионата мира по футболу.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Когда кто-то начинает говорить о роботах, люди обычно представляют себе антропоморфные металлические фигуры из фантастических фильмов или же промышленные автоматы, работающие на конвейерах индустриальных гигантов. Мало кто задумывается, что на самом деле роботы уже давно среди нас. Они моют наши машины, развозят заказы, сортируют товары на складах, разносят таблетки по пациентам, звонят в колокола церквей и вообще берут на себя все больше рутинных задач. По сути, это киберфизические устройства интернета вещей (IoT).
      В связи с этим хочется задать законный вопрос: если уже сейчас на множество организаций работают роботы, то занимается ли кто-нибудь всерьез их безопасностью? Наши коллеги провели исследование о последствиях повального внедрения автоматизации и все более широкого использования роботов и, помимо всего прочего, узнали более чем у 4,5 тысячи представителей различных организаций, что они думают по этому поводу? Оказалось, что 44% опрошенных считают уровень защиты роботов достаточно высоким, в то время как у 40% складывается обратное впечатление. Беглый поиск по Интернету показывает, что правы скорее последние. Эксперты по безопасности уже давно пытаются привлечь внимание к проблемам защиты роботов: за последние годы они исследовали множество автоматов и нашли их уязвимыми. Вот лишь некоторые из машин, привлекших их внимание.
      Автомойка
      Еще в 2017 году на конференции Black Hat исследователи Билли Райос (Billy Rios) и Джонатан Баттс (Jonathan Butts) показали, как можно взломать автоматическую мойку для машин и чем это может грозить человеку. Они изучили автомойку PDQ LaserWash, подключенную к Интернету, и нашли способ перехватить управление ей. В процессе исследования они продемонстрировали, что можно придавить машину дверью мойки, что может нести угрозу не только самому автомобилю, но и его водителю. На момент публикации доклада уязвимость так и не была закрыта.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Рассказывая о различных уловках киберпреступников, мы регулярно рекомендуем внимательно всматриваться в адреса сайтов, на которые вы переходите по ссылке из письма. Вот еще один из «красных флажков» — ссылка на страницу, переведенную при помощи сервиса Google Translate. В теории это может означать, что отправитель письма приглашает вас посетить сайт на другом языке и таким образом проявляет заботу. Но на практике чаще всего такой прием используют для того, чтобы обойти защитные механизмы, позволяющие выявить фишинг. В случае, когда письмо является частью деловой переписки, а на сайте вас просят ввести учетные данные от почты, — это однозначно повод закрыть окно браузера и удалить письмо.
      Зачем злоумышленники вставляют ссылку на Google Translate
      Давайте рассмотрим конкретный пример фишинга при помощи ссылки через Google Translate. Вот один из последних примеров, пойманных нашими ловушками:

      Отправители письма пытаются создать впечатление, что они прислали некий платежный документ, доступный исключительно получателю письма, который необходимо изучить для «презентации встречи по контракту и последующих выплат». Ссылка с кнопки «Open» ведет на сайт, переведенный сервисом Google Translate. Правда, заметить это вы сможете, только перейдя по ней, потому что в письме она выглядит вот так:
       
      View the full article
×
×
  • Создать...