Рекомендуем почитать:
Xakep #247. Мобильная антислежка
- Содержание выпуска
- Подписка на «Хакер»
2019 год подходит к концу, и компании традиционно подводят его итоги, а также составляют прогнозы на будущее. Недавно Microsoft уже выпустила отчет о трендах в области киберпреступности и малвари, согласно которому, фишинг стал одним из немногих векторов атак, чья активность только растет в последние годы.
Microsoft сообщает, что количество попыток фишинга выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года, где 0,6% — это процент фишинговых писем, обнаруженных в общем объеме проанализированных сообщений. Теперь в официальном блоге компании появилась новая публикация, посвященная трем наиболее необычным фишинговым атакам, замеченным в уходящем году.
Первой атакой была многоуровневая вредоносная операция, в результате которой преступная группа отравляла результаты поиска Google. Происходило это следующим образом:
- мошенники направляли трафик, перехваченный с легитимных сайтов на сайты, которые они контролировали;
- домены выходили в топ поисковой выдачи Google по очень конкретным запросам;
- фишеры отправляли жертвам письма со ссылками на результаты поиска Google по этим конкретным запросам;
- если жертва нажимала на ссылку, и затем на лучший результат поиска, она попадала на сайт, контролируемый злоумышленником. Этот сайт перенаправлял пользователя на фишинговую страницу.
Отмечается, что злоумышленники не нацеливались на популярные запросы с большим трафиком, вместо этого они сосредоточили усилия на всякой тарабарщине, такой как «hOJoXatrCPy». Более того, атаки были привязаны к географическим регионам. Так, европейский пользователь, перешедший по фишинговой ссылке, попадал на сайт-редиректор c77684gq[.]beget[.]tech, тогда как переход на ту же страницу из-за пределов Европы не давал таких результатов.
Еще одна необычная атака была обнаружена Microsoft в августе 2019 года и компания сообщала об этом в Twitter.
Тогда как большинство фишинговых писем содержит ссылку на сайт, куда мошенники хотят заманить пользователей, в этой кампании злоумышленники использовали ссылки, которые умышленно вели на несуществующие страницы. В итоге, когда механизмы безопасности Microsoft проверяют такую ссылку, они «видят» ошибку 404 и считают ее безопасной. Однако если по URL-адресу переходит реальный пользователь, фишинговый сайт обнаруживает это и перенаправляет жертву на фактическую фишинговую страницу, вместо стандартной страницы ошибки 404.
Microsoft пишет, что этот трюк сочетался с алгоритмами генерации поддоменов и регулярным изменением основного домена, и фактически злоумышленники могли генерировать «практически неограниченное количество фишинговых URL».
Третий хитрый фишинговый трюк связан с использованием сервера man-in-the-middle (MitM). Исследователи объясняют, что вместо скрупулезного копирования настоящих сайтов, злоумышленники использовали MitM-компонент, который собирал информацию о конкретной компании, такую как логотипы, баннеры, тексты и изображения с фактического сайта. В результате фейковые страницы логина производили впечатление настоящих, не вызывая никаких подозрений у пользователя.
К счастью, эта техника атак не была идеальной, так как URL-адрес фишингового сайта по-прежнему можно было заметить в адресной строке, как и на любом другом фейковом сайте.
