Microsoft описала самые необычные фишинговые техники 2019 года

Microsoft описала самые необычные фишинговые техники уходящего года

13.12.19
2019 год подходит к концу, и компании традиционно подводят его итоги, а также составляют прогнозы на будущее. Недавно Microsoft уже выпустила отчет о трендах в области киберпреступности и малвари, согласно которому, фишинг стал одним из немногих векторов атак, чья активность только растет в последние годы.

Microsoft сообщает, что количество попыток фишинга выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года, где 0,6% — это процент фишинговых писем, обнаруженных в общем объеме проанализированных сообщений. Теперь в официальном блоге компании появилась новая публикация, посвященная трем наиболее необычным фишинговым атакам, замеченным в уходящем году.

Первой атакой была многоуровневая вредоносная операция, в результате которой преступная группа отравляла результаты поиска Google. Происходило это следующим образом:
  • мошенники направляли трафик, перехваченный с легитимных сайтов на сайты, которые они контролировали;
  • домены выходили в топ поисковой выдачи Google по очень конкретным запросам;
  • фишеры отправляли жертвам письма со ссылками на результаты поиска Google по этим конкретным запросам;
  • если жертва нажимала на ссылку, и затем на лучший результат поиска, она попадала на сайт, контролируемый злоумышленником. Этот сайт перенаправлял пользователя на фишинговую страницу.
fig1-phishing-poisoned-search-results.webp
Отмечается, что злоумышленники не нацеливались на популярные запросы с большим трафиком, вместо этого они сосредоточили усилия на всякой тарабарщине, такой как «hOJoXatrCPy». Более того, атаки были привязаны к географическим регионам. Так, европейский пользователь, перешедший по фишинговой ссылке, попадал на сайт-редиректор c77684gq[.]beget[.]tech, тогда как переход на ту же страницу из-за пределов Европы не давал таких результатов.

Еще одна необычная атака была обнаружена Microsoft в августе 2019 года и компания сообщала об этом в Twitter.
Тогда как большинство фишинговых писем содержит ссылку на сайт, куда мошенники хотят заманить пользователей, в этой кампании злоумышленники использовали ссылки, которые умышленно вели на несуществующие страницы. В итоге, когда механизмы безопасности Microsoft проверяют такую ссылку, они «видят» ошибку 404 и считают ее безопасной. Однако если по URL-адресу переходит реальный пользователь, фишинговый сайт обнаруживает это и перенаправляет жертву на фактическую фишинговую страницу, вместо стандартной страницы ошибки 404.
fig4-phishing-404-not-found-error-page.webp
Microsoft пишет, что этот трюк сочетался с алгоритмами генерации поддоменов и регулярным изменением основного домена, и фактически злоумышленники могли генерировать «практически неограниченное количество фишинговых URL».

Третий хитрый фишинговый трюк связан с использованием сервера man-in-the-middle (MitM). Исследователи объясняют, что вместо скрупулезного копирования настоящих сайтов, злоумышленники использовали MitM-компонент, который собирал информацию о конкретной компании, такую как логотипы, баннеры, тексты и изображения с фактического сайта. В результате фейковые страницы логина производили впечатление настоящих, не вызывая никаких подозрений у пользователя.
fig7-phishing-microsoft-rendering-site.webp
К счастью, эта техника атак не была идеальной, так как URL-адрес фишингового сайта по-прежнему можно было заметить
в адресной строке, как и на любом другом фейковом сайте.

Хакер.ру
 
Последнее редактирование:
Назад
Сверху Снизу