Rodzaje wiadomości phishingowych, które mogą oszukać Twój e-mail

Nie ma prawie żadnej formy cyberprzestępczości, która dorównuje phishingowi pod względem jego rozpowszechnienia i globalnego wpływu. Jest głównym i głównym celem złośliwych kampanii, których celem jest uzyskanie danych uwierzytelniających użytkowników, gromadzenie pieniędzy w organizacjach lub rozprzestrzenianie wirusów komputerowych za pomocą zdradzieckich wiadomości e-mail.

Ostatnie odkrycia analityków bezpieczeństwa pokazują szeroki obraz. W pierwszym kwartale 2020 r. wykryto ponad 165 772 nowych stron phishingowych. FBI twierdzi, że kompromitacja poczty biznesowej (BEC) to nasilający się rodzaj phishingu skupiającego się na przedsiębiorstwie. Powoduje to, że firmy tracą rocznie około 5 miliardów dolarów na nieuczciwych przelewach bankowych.

Cyberprzestępcy rozwijają swój gatunek

Te zadziwiające statystyki pokazują szerokość i głębokość plagi. Nic dziwnego, że wiele firm zajmujących się bezpieczeństwem i dostawców poczty e-mail dostarcza rozwiązania, które zapobiegają przedostawaniu się fałszywych wiadomości do skrzynek odbiorczych użytkowników. Coraz skuteczniejsze zabezpieczenia zachęcają operatorów kampanii phishingowych do opracowywania nowych metod obchodzenia tradycyjnych filtrów.

Omijanie filtrów poczty e-mail stało się tak samo ważne dla oszustów, jak tworzenie nieuczciwych wiadomości, których narracja pociąga za sobą właściwe struny w sumieniach odbiorców. Następujące techniki ostatnio wzbogaciły repertuar operatorów phishingowych, dzięki czemu ich wiadomości e-mail nie wywołują sygnałów ostrzegawczych i nie docierają do miejsca docelowego pomimo powszechnie stosowanych środków zaradczych.

Polecane dla Ciebie: Jaka jest rola sztucznej inteligencji (AI) w cyberbezpieczeństwie?

Dane uwierzytelniające Office 365 zebrane za pośrednictwem usług Google Cloud

Cyberprzestępcy coraz częściej udostępniają wabiki i strony phishingowe w popularnych usługach w chmurze. Ta taktyka dodaje dodatkową warstwę wiarygodności i zaciemniania oszustwa, co sprawia, że ​​wykrycie go przez użytkowników dbających o bezpieczeństwo i systemy ochrony jest ogromnym wyzwaniem.

Kampania odkryta niedawno przez badaczy z firmy Check Point zajmującej się cyberbezpieczeństwem pokazuje, jak wymijające mogą być tego typu oszustwa. Jego przynętą jest dokument PDF przesłany na Dysk Google. Ten udostępniony plik rzekomo zawiera ważne informacje biznesowe. Aby go wyświetlić, ofiara powinna jednak kliknąć przycisk „Dostęp do dokumentu”, co prowadzi do strony logowania z prośbą o podanie szczegółów uwierzytelnienia Office 365 lub identyfikatora organizacji. Bez względu na wybraną opcję, pojawi się wyskakujące okienko z prośbą o podanie danych logowania do Outlooka.

Po wprowadzeniu adresu e-mail i hasła ofiara może wreszcie wyświetlić plik PDF. Jest to legalny raport marketingowy wydany przez znaną firmę konsultingową w 2020 roku. Co więcej, strony pojawiające się w różnych fazach tego ataku są hostowane w Google Cloud Storage, więc nie ma prawie żadnych wskazówek sugerujących, że dzieje się coś wyraźnie złego .

Tymczasem poważną pułapką przyćmioną przez rzekomą zasadność tego podstępu jest to, że oszuści uzyskują po drodze ważne dane uwierzytelniające ofiary do usługi Office 365. W niepowołanych rękach informacje te mogą stać się źródłem skutecznych oszustw BEC, szpiegostwa przemysłowego i rozprzestrzeniania złośliwego oprogramowania.

Wprowadzające w błąd e-maile udające, że pochodzą od zaufanych banków

W ostatnim ruchu oszuści wysyłali fałszywe wiadomości, które podszywają się pod popularne instytucje finansowe, takie jak Citigroup czy Bank of America. Wiadomość e-mail instruuje użytkownika, aby odświeżyć dane swojego adresu e-mail, klikając hiperłącze, które prowadzi do repliki strony internetowej banku. Aby oszustwo wyglądało jak prawdziwe, przestępcy używają dodatkowej strony z pytaniem o pytanie zabezpieczające adresata.

Jedną z niekorzystnych niespójności jest to, że e-mail wymyka się spod radaru większości filtrów, mimo że jest wysyłany z adresu @yahoo.com. Powodem jest to, że przestępcy atakują tylko kilku pracowników w firmie. Ponieważ zwykłe rozwiązania antyphishingowe są dostosowane do dużej liczby podobnych lub identycznych wiadomości, mogą przeoczyć kilka podejrzanych wiadomości e-mail.

Inną kwestią jest to, że wiadomość pochodzi z osobistego konta e-mail. Fakt ten utrudnia wykrywanie, ponieważ konwencjonalne narzędzia weryfikacyjne, takie jak uwierzytelnianie wiadomości oparte na domenie, raportowanie i zgodność (DMARC), a także platforma Sender Policy Framework (SPF) identyfikują tylko wiadomości e-mail, które podszywają się pod domenę źródłową.

Na domiar złego strona phishingowa z danymi uwierzytelniającymi, która naśladuje oficjalną stronę banku, przeprowadza wszystkie kontrole śpiewająco. To dlatego, że został niedawno zarejestrowany i dlatego nie został jeszcze umieszczony na czarnej liście. Wykorzystuje również ważny certyfikat SSL. Odsyłacz phishingowy przekierowuje użytkowników korzystających z legalnej usługi wyszukiwania Yahoo. Wszystkie te dziwactwa, w połączeniu z dużą presją narzuconą w tekście, podkręcają wskaźnik sukcesu tej kampanii.

Rozpakuj załącznik i zarażaj się

Niektórzy cyberprzestępcy ukrywają szkodliwy załącznik w nieuczciwym archiwum, aby udaremnić wykrycie. Zwykle plik ZIP zawiera jeden parametr „Koniec centralnego katalogu” (EOCD). Wskazuje na ostatni element struktury archiwum. Cyberprzestępcy używają obiektu ZIP z dodatkową wartością EOCD w środku. Oznacza to, że plik zawiera zaciemnione drzewo archiwum.

Podczas przetwarzania przez narzędzia dekompresyjne, które stanowią bezpieczne bramy poczty e-mail (SEG), załącznik ZIP wydaje się łagodny, ponieważ jego składnik „czerwonego śledzia” jest zwykle jedynym, który jest analizowany. W następstwie tego oszustwa wyodrębniony plik potajemnie uruchamia trojana bankowego na komputerze odbiorcy.

Utracony sens po tłumaczeniu

Innym powszechnym podstępem jest oszukiwanie filtrów poczty e-mail poprzez osadzenie tekstu w języku obcym. Niektóre zabezpieczenia są skonfigurowane do skanowania przychodzących wiadomości w poszukiwaniu podejrzanych materiałów tylko w języku angielskim lub w ojczystym języku użytkownika.

Mając to na uwadze, oszuści mogą tworzyć e-maile phishingowe w języku rosyjskim i zawierać wskazówkę „Użyj translatora Google”. W rezultacie wiadomość trafia do skrzynki odbiorczej, a ofiara może się zaczepić po przeczytaniu przetłumaczonego tekstu.

Może ci się spodobać: 17 fajnych wskazówek dotyczących pisania polityki bezpieczeństwa cybernetycznego, która nie jest do niczego.

Modyfikowanie kodu HTML wiadomości e-mail

Jeszcze jednym sposobem na prześlizgnięcie się wiadomości phishingowej przez systemy ochrony jest odwrócenie ciągów tekstowych w kodzie HTML, a następnie renderowanie informacji do przodu, tak aby wyglądały zupełnie normalnie dla odbiorcy. Ponieważ zawartość błędnie przedstawionego kodu źródłowego nie pokrywa się z żadnymi znanymi szablonami phishingu, grupy SEG najprawdopodobniej zignorują wiadomość.

Bardzo podstępna podróbka tej techniki obraca się wokół kaskadowych arkuszy stylów (CSS), narzędzia używanego do uzupełniania dokumentów internetowych o elementy stylu, takie jak rozmiar i kolor czcionki, kolor tła i odstępy. Brudna gra sprowadza się do niewłaściwej obsługi CSS w celu połączenia skryptów łacińskich i arabskich w surowym kodzie HTML. Skrypty te płyną w przeciwnych kierunkach, ułatwiając oszustom osiągnięcie wspomnianego powyżej efektu odwracania tekstu. W rezultacie wiadomość oszukuje obronę, pozostając czytelną dla człowieka.

Nadużywanie zhakowanych kont SharePoint

Niektóre gangi phishingowe wykorzystują skompromitowane konta SharePoint, aby wprawić w ruch swoje oszustwa. Zła logika opiera się na fakcie, że grupy SEG ufają domenom powiązanym z renomowaną platformą współpracy firmy Microsoft. Łącze w treści wiadomości e-mail prowadzi do witryny programu SharePoint. Tak więc systemy bezpieczeństwa traktują to jako łagodne i ignorują przekaz.

Haczyk polega na tym, że przestępcy zmieniają przeznaczenie strony docelowej, aby wyświetlić podejrzany dokument OneNote. To z kolei przekierowuje do strony phishingowej z danymi uwierzytelniającymi, zakamuflowanej jako formularz logowania OneDrive dla Firm. Dane uwierzytelniające wprowadzone przez niczego niepodejrzewającego użytkownika są natychmiast wysyłane na serwer oszustów.

Zwiększ swoją świadomość phishingu, aby zachować bezpieczeństwo

Filtry poczty e-mail są bez wątpienia warte swojej soli. Wypłukują większość niepewnych wiadomości wrzucanych do Twojej skrzynki odbiorczej. Jednak lekcja, którą powinieneś wyciągnąć z opisanych powyżej ataków w świecie rzeczywistym, jest taka, że ​​bezwarunkowe poleganie na tych systemach jest ryzykownym biznesem.

„Powinieneś odrobić pracę domową i postępować zgodnie z dodatkowymi wskazówkami, aby poprawić swoją osobistą higienę przed phishingiem”. – w niedawnym wywiadzie, o którym wspomniał Andrew Gitt, starszy specjalista ds. technologii, współzałożyciel i szef badań w VPNBrains.

Andrew w swoim wywiadzie przedstawia również następujące zalecenia:

• Nie klikaj linków przychodzących w e-mailach.
• Nie otwieraj załączników otrzymanych od nieznajomych.
• Przed wpisaniem nazwy użytkownika i hasła na stronie logowania upewnij się, że jest to HTTPS i HTTP.
• Jeśli wiadomość e-mail wygląda na legalną i zdecydujesz się zaryzykować kliknięcie wbudowanego linku, najpierw sprawdź adres URL pod kątem literówek i innych gadżetów.
• Uważnie czytaj przychodzące wiadomości e-mail i sprawdzaj ich tekst pod kątem błędów ortograficznych, gramatycznych i interpunkcyjnych. Jeśli zauważysz takie błędy, wiadomość jest najprawdopodobniej oszustwem.
• Ignoruj ​​i wyrzucaj e-maile, które zmuszają Cię do zrobienia czegoś. Na przykład phisherzy często narzucają jakiś termin, aby ludzie się pomylili. Nie daj się nabrać na takie sztuczki.
• Uważaj na e-maile, których treść odbiega od normy w zakresie Twoich codziennych obowiązków służbowych.
• Jeśli otrzymasz wiadomość od starszego menedżera z prośbą o przelew, sprawdź ją dwukrotnie, kontaktując się z daną osobą telefonicznie lub osobiście. Możliwe, że masz do czynienia z oszustem, który przejął konto e-mail kolegi.
• Pamiętaj, jakie informacje udostępniasz w sieciach społecznościowych. Złośliwi aktorzy są biegli w prowadzeniu wywiadu typu open source (OSINT), więc mogą skierować Twoje publicznie dostępne dane osobowe przeciwko Tobie.
• Jeśli jesteś kierownikiem, skonfiguruj program szkoleniowy dotyczący phishingu dla swoich pracowników.
• Włącz zaporę sieciową i zainstaluj skuteczne oprogramowanie zabezpieczające online z wbudowaną funkcją antyphishingową.

Możesz także chcieć: Jak chronić swój komputer przed cyberatakami, śledzeniem i złośliwym oprogramowaniem?

Ostatnie słowa

Za każdym razem, gdy białe kapelusze opracowują nowy mechanizm zapobiegania, cyberprzestępcy robią wszystko, aby ich przechytrzyć. Pojawiającym się i bardzo obiecującym trendem bezpieczeństwa w tym zakresie jest wykorzystywanie sztucznej inteligencji i uczenia maszynowego do identyfikowania prób phishingu. Miejmy nadzieję, że takie podejście sprawi, że mechanizmy obronne będą o krok wyprzedzać wektory ataków, bez względu na ich wyrafinowanie.

Na razie najlepszą rzeczą, jaką możesz zrobić, to zachować czujność i jak najlepiej wykorzystać tradycyjne narzędzia antyphishingowe, które w większości przypadków zdziałają cuda.