Хакеры используют методы переписывания URL-адресов для внедрения фишинговых ссылок
Хакеры нашли способ обходить системы защиты электронной почты, используя функционал переписывания URL-адресов — инструмент, изначально созданный для защиты от вредоносных ссылок. Этот метод вызвал обеспокоенность экспертов, так как защита стала уязвимостью.
Переписывание URL-адресов — это функция, используемая для проверки ссылок в письмах. Когда пользователь кликает по ссылке, она перенаправляется на сервер службы безопасности для анализа. Если ссылка безопасна, пользователь попадает на целевой сайт, в противном случае — доступ блокируется.
Типы переписывания URL-адресов
Устаревшие системы: Эти решения основаны на данных о ранее известных угрозах и переписывают URL для последующего анализа. Недостаток — процесс проверки может начаться после того, как атака уже совершена.
Современные системы: Они используют машинное обучение для анализа поведения ссылок в реальном времени, что позволяет заранее выявлять угрозы.
Многие компании комбинируют оба подхода для усиления защиты.
С середины 2024 года хакеры активно используют переписывание URL-адресов для фишинговых атак. Они пользуются доверием сотрудников к безопасным на вид ссылкам, делая даже опытных пользователей уязвимыми.
Применяется два основных метода:
- Компрометация учетных записей: Злоумышленники получают доступ к реальным почтовым аккаунтам и отправляют письма с вредоносными ссылками. Система переписывает их, маскируя как безопасные.
- Использование белых списков: Некоторые службы автоматически заносят домены своих URL-адресов в белый список. Хакеры могут воспользоваться этим и перенаправить пользователя на фишинговый сайт.
Исследователи Perception Point наблюдают рост числа фишинговых атак, использующих системы защиты URL-адресов.
В одной из атак использовались системы Proofpoint и INKY. Злоумышленники отправили письмо с фишинговой ссылкой, которая дважды переписывалась. Пользователей перенаправляли на фишинговую страницу входа в Microsoft 365.
В другой атаке скомпрометированные учетные записи, защищенные INKY и Proofpoint, позволили хакерам атаковать несколько компаний одновременно.
В случае с Mimecast злоумышленники использовали домен Mimecast, чтобы замаскировать фишинговую ссылку, которая перенаправляла пользователей на сайт для кражи данных.
Особенности динамического анализа URL-адресов
- Проактивное обнаружение угроз в реальном времени.
- Защита от обхода таких методов, как капча и гео-ограничения.
- Анализ после доставки: ссылки повторно проверяются даже после отправки письма.
- Постоянный мониторинг активности по ссылкам.
Использование хакерами этих методов подчеркивает важность не только технической защиты, но и регулярного обучения сотрудников. Компании должны проводить тренинги по кибербезопасности, чтобы сотрудники могли распознавать угрозы, даже если ссылки выглядят безопасно. Это поможет минимизировать человеческий фактор.
Фишинговые атаки на крупные бренды: Google, Facebook и Amazon в зоне риска
По данным исследований Kaspersky, в 2024 году количество фишинговых атак на крупные бренды значительно возросло. Среди 25 мировых компаний, изученных экспертами, лидерами по числу атак стали Google, Facebook и Amazon.
- Google подвергся более чем 4 миллионам фишинговых атак, что на 243% больше по сравнению с прошлым годом.
- Facebook зафиксировал 3,7 миллиона попыток взлома, а Amazon — около 3 миллионов.
- Microsoft и DHL замыкают пятерку лидеров с 2,8 и 2,6 миллиона попыток соответственно.
Общее число фишинговых атак выросло на 40%, достигнув 26 миллионов в первой половине 2024 года. Также значительно увеличилось количество атак на бренды, такие как Mastercard (+210%) и Netflix, где попытки атак удвоились.
Актуальность фишинга для компаний как никогда высока. Например, доступ к учетной записи Google может привести к компрометации сразу нескольких сервисов, а успешная атака на Mastercard угрожает кражей финансовых данных через поддельные онлайн-магазины.
Обучение сотрудников как защита от фишинга
Один из ключевых методов противостояния фишингу — регулярное обучение сотрудников. Современные киберпреступники используют все более изощренные техники социальной инженерии, поэтому важно, чтобы персонал мог их распознавать. Компании, активно инвестирующие в киберобразование, как Microsoft, смогли сократить количество успешных атак благодаря повышению грамотности сотрудников.
Facebook признан экстремистской организацией и запрещен на территории РФ.
Microsoft Sway использовался в крупномасштабной фишинговой кампании с использованием QR-кодов
Злоумышленники использовали Microsoft Sway, облачный сервис для создания онлайн-презентаций, чтобы разместить фишинговые страницы и обманом заставить пользователей Microsoft 365 передать свои учетные данные.
Исследователи из Netskope Threat Labs выявили этот тип атак в июле 2024 года. Число атак, использующих Microsoft Sway, увеличилось в 2000 раз, что резко контрастировало с низкой активностью в первой половине года. Атаки были направлены на пользователей в Азии и Северной Америке, при этом главными целями стали компании технологического, производственного и финансового секторов.
Электронные письма, отправляемые жертвам, перенаправляли их на фишинговые страницы в домене sway.cloud.microsoft. Там пользователи получали инструкции сканировать QR-коды, которые затем отправляли их на вредоносные сайты. Особенностью этих атак является то, что мобильные устройства, которые чаще всего используются для сканирования QR-кодов, менее защищены по сравнению с компьютерами. Это позволяет злоумышленникам обходить меры безопасности.
"QR-коды часто ускользают от сканеров электронной почты, так как URL-адрес скрыт в изображении. Пользователи сканируют их с мобильных устройств, которые подвержены более слабой защите", — объясняют исследователи.
Кроме того, хакеры применяли различные тактики, такие как прозрачный фишинг, кража учетных данных и кодов многофакторной аутентификации, чтобы получить доступ к аккаунтам жертв. Также использовался Cloudflare Turnist для скрытия фишинговых страниц от сканеров безопасности и избежания блокировки.
Microsoft Sway уже использовалась в прошлых кампаниях, таких как PerSwaysion, направленная на кражу данных Office 365, в которой пострадали более 150 высокопоставленных сотрудников компаний.
Важность обучения сотрудников в кибербезопасности
Данный инцидент подчеркивает, насколько важно обучение сотрудников основам кибербезопасности. Часто атаки, такие как фишинг, нацелены на человеческий фактор, используя недостатки в поведении или невнимательность пользователей. В условиях растущей киберугрозы именно сотрудники становятся первой линией защиты. Компании должны обучать их выявлению подозрительных писем, фишинговых схем и безопасному использованию технологий, особенно мобильных устройств.
Систематическое обучение помогает минимизировать риск успешных атак, таких как фишинговые кампании с использованием QR-кодов, и защищает важные данные организации.
Подписывайтесь на наш Телеграм