Rodzaje wiadomości phishingowych, które mogą oszukać Twój e-mail

Prawie żadna forma cyberprzestępczości nie dorównuje phishingowi pod względem rozpowszechnienia i globalnego wpływu. Zajmuje czołowe miejsce w złośliwych kampaniach mających na celu uzyskanie danych uwierzytelniających użytkowników, oszukanie organizacji finansowych lub rozprzestrzenianie wirusów komputerowych za pośrednictwem zdradzieckich wiadomości e-mail.

Ostatnie odkrycia analityków bezpieczeństwa przedstawiają szerszy obraz. W pierwszym kwartale 2020 r. wykryto ponad 165 772 nowych stron phishingowych. FBI twierdzi, że nadużycia związane z biznesową pocztą e-mail (BEC) to nasilający się typ phishingu skupiający się na przedsiębiorstwach. Powoduje to, że firmy tracą rocznie około 5 miliardów dolarów na nieuczciwych przelewach bankowych.

Cyberprzestępcy rozwijają swój gatunek

Te zdumiewające statystyki pokazują zasięg i głębokość plagi. Nic dziwnego, że wiele firm zajmujących się bezpieczeństwem i dostawców poczty elektronicznej dostarcza rozwiązania zapobiegające trafianiu oszukańczych wiadomości do skrzynek odbiorczych użytkowników. Coraz skuteczniejsze mechanizmy obronne zachęcają operatorów kampanii phishingowych do opracowywania nowych metod obchodzenia tradycyjnych filtrów.

Omijanie filtrów poczty e-mail stało się dla oszustów równie ważne, jak dostosowywanie nieuczciwych wiadomości, których narracja pociąga za właściwe struny w sumieniach odbiorców. Następujące techniki poszerzyły ostatnio repertuar operatorów phishingowych, dzięki czemu ich e-maile nie wywołują czerwonych flag i docierają do miejsca docelowego pomimo powszechnie stosowanych środków zaradczych.

Polecane dla Ciebie: Jaka jest rola sztucznej inteligencji (AI) w cyberbezpieczeństwie?

Poświadczenia Office 365 zebrane za pośrednictwem Google Cloud Services

Cyberprzestępcy coraz częściej hostują wabiące pliki i strony phishingowe w popularnych usługach w chmurze. Ta taktyka dodaje oszustwu dodatkową warstwę wiarygodności i zaciemniania, co sprawia, że ​​wykrycie go przez użytkowników dbających o bezpieczeństwo i systemy ochrony jest niezwykle trudne.

Kampania niedawno odkryta przez badaczy z firmy Check Point zajmującej się bezpieczeństwem cybernetycznym pokazuje, jak wymijający może być ten rodzaj oszustwa. Jego przynętą jest dokument PDF przesłany na Dysk Google. Podobno ten udostępniony plik zawiera ważne informacje biznesowe. Aby go jednak wyświetlić, ofiara powinna kliknąć przycisk „Dostęp do dokumentu”, który prowadzi do strony logowania z prośbą o podanie danych uwierzytelniających Office 365 lub identyfikatora organizacji. Bez względu na to, która opcja zostanie wybrana, pojawi się wyskakujące okienko z prośbą o dane logowania użytkownika do programu Outlook.

Gdy tylko adres e-mail i hasło zostaną wprowadzone, ofiara może wreszcie wyświetlić plik PDF. Jest to uzasadniony raport marketingowy sporządzony przez znaną firmę konsultingową w 2020 roku. Ponadto strony, które pojawiają się w różnych fazach tego ataku, są hostowane w Google Cloud Storage, więc prawie nie ma żadnych wskazówek sugerujących, że dzieje się coś wyraźnie złego .

Tymczasem poważną pułapką przyćmioną przez rzekomą zasadność tego fortelu jest to, że oszuści uzyskują po drodze ważne dane uwierzytelniające Office 365 ofiary. Gdy informacje te dostaną się w niepowołane ręce, mogą stać się platformą startową dla skutecznych oszustw BEC, szpiegostwa przemysłowego i rozprzestrzeniania złośliwego oprogramowania.

Wprowadzające w błąd e-maile udające, że pochodzą z zaufanych banków

Ostatnio oszuści rozsyłali fałszywe wiadomości podszywające się pod popularne instytucje finansowe, takie jak Citigroup czy Bank of America. Wiadomość e-mail instruuje użytkownika, aby odświeżył swój adres e-mail, klikając hiperłącze prowadzące do repliki strony internetowej banku. Aby oszustwo wyglądało na prawdziwe, przestępcy używają dodatkowej strony z prośbą o pytanie bezpieczeństwa odbiorcy.

Jedną z niekorzystnych niespójności jest to, że wiadomość e-mail nie jest wykrywana przez większość filtrów, mimo że jest wysyłana z adresu @yahoo.com. Powodem jest to, że złoczyńcy atakują tylko kilku pracowników w firmie. Ponieważ popularne rozwiązania antyphishingowe są dostosowane do dużej liczby podobnych lub identycznych wiadomości, mogą one przeoczyć kilka podejrzanych wiadomości e-mail.

Innym problemem jest to, że wiadomość pochodzi z osobistego konta e-mail. Fakt ten utrudnia wykrywanie, ponieważ konwencjonalne narzędzia weryfikacyjne, takie jak uwierzytelnianie wiadomości oparte na domenie, raportowanie i zgodność (DMARC), a także Sender Policy Framework (SPF) identyfikują tylko e-maile, które podszywają się pod domenę źródłową.

Co więcej, strona wyłudzająca dane uwierzytelniające, która naśladuje oficjalną witrynę banku, przechodzi wszystkie kontrole śpiewająco. To dlatego, że został niedawno zarejestrowany i dlatego nie został jeszcze umieszczony na czarnej liście. Wykorzystuje również ważny certyfikat SSL. Link phishingowy przekierowuje użytkowników za pomocą legalnej usługi wyszukiwania Yahoo. Wszystkie te dziwactwa, w połączeniu z dużą presją narzuconą w tekście, podkręcają wskaźnik sukcesu tej kampanii.

Rozpakuj załącznik i zostań zainfekowany

Niektórzy cyberprzestępcy ukrywają szkodliwy załącznik w nieuczciwym archiwum, aby udaremnić wykrycie. Zwykle plik ZIP jest dostarczany z jednym parametrem „Koniec katalogu centralnego” (EOCD). Wskazuje na ostatni element struktury archiwum. Cyberprzestępcy używają obiektu ZIP z dodatkową wartością EOCD w środku. Oznacza to, że plik zawiera zaciemnione drzewo archiwum.

Podczas przetwarzania przez narzędzia do dekompresji, które stanowią bezpieczne bramy poczty e-mail (SEG), załącznik ZIP wydaje się nieszkodliwy, ponieważ jego element „czerwonego śledzia” jest zwykle jedynym, który jest analizowany. W następstwie tego oszustwa wyodrębniony plik potajemnie uruchamia trojana bankowego na maszynie odbiorcy.

Utracony sens po tłumaczeniu

Innym powszechnym podstępem jest oszukanie filtrów wiadomości e-mail przez osadzanie tekstu w języku obcym. Niektóre zabezpieczenia są skonfigurowane tak, aby skanować wiadomości przychodzące w poszukiwaniu podejrzanych materiałów tylko w języku angielskim lub ojczystym języku użytkownika.

Mając to na uwadze, oszuści mogą tworzyć e-maile phishingowe w języku rosyjskim i zawierać wskazówkę „Użyj tłumacza Google”. W rezultacie wiadomość trafia do skrzynki odbiorczej, a ofiara może zawiesić się po przeczytaniu przetłumaczonego tekstu.

Może ci się spodobać: 17 fajnych wskazówek dotyczących pisania polityki bezpieczeństwa cybernetycznego, która nie jest do niczego.

Modyfikowanie kodu HTML wiadomości e-mail

Jeszcze jeden sposób, w jaki wiadomość phishingowa może prześlizgnąć się przez systemy ochrony, polega na odwróceniu ciągów tekstowych w jej kodzie HTML, a następnie przekazaniu informacji dalej, tak aby odbiorca wyglądał zupełnie normalnie. Ponieważ treść fałszywie przedstawionego kodu źródłowego nie pokrywa się z żadnym znanym szablonem phishingowym, SEG najprawdopodobniej zignorują wiadomość.

Wysoce podstępna podróbka tej techniki obraca się wokół kaskadowych arkuszy stylów (CSS), instrumentu używanego do uzupełniania dokumentów internetowych o elementy stylu, takie jak rozmiar i kolor czcionki, kolor tła i odstępy. Nieczysta gra sprowadza się do niewłaściwej obsługi CSS w celu połączenia skryptów łacińskich i arabskich w surowym kodzie HTML. Skrypty te płyną w przeciwnych kierunkach, ułatwiając oszustom osiągnięcie wspomnianego powyżej efektu odwracania tekstu. W rezultacie wiadomość oszukuje mechanizmy obronne, pozostając jednocześnie czytelną dla człowieka.

Nadużywanie zhakowanych kont SharePoint

Niektóre gangi phishingowe wykorzystują przejęte konta SharePoint, aby uruchamiać swoje oszustwa. Zła logika opiera się na fakcie, że SEG ufają domenom powiązanym z renomowaną platformą współpracy firmy Microsoft. Łącze w treści wiadomości e-mail prowadzi do witryny programu SharePoint. Dlatego systemy bezpieczeństwa traktują to jako nieszkodliwe i ignorują wiadomość.

Haczyk polega na tym, że przestępcy zmieniają przeznaczenie strony docelowej, aby wyświetlić podejrzany dokument OneNote. To z kolei powoduje przekierowanie do strony phishingowej podszywającej się pod formularz logowania OneDrive dla Firm. Dane uwierzytelniające, które wprowadza niczego niepodejrzewający użytkownik, są natychmiast wysyłane na serwer oszustów.

Zwiększ swoją świadomość phishingu, aby zachować bezpieczeństwo

Filtry poczty e-mail są niewątpliwie warte swojej ceny. Wypłukują większość szkicowych wiadomości kierowanych do Twojej skrzynki odbiorczej. Jednak lekcja, którą powinieneś wyciągnąć z opisanych powyżej rzeczywistych ataków, jest taka, że ​​bezwarunkowe poleganie na tych systemach jest ryzykownym biznesem.

„Powinieneś odrobić pracę domową i postępować zgodnie z kilkoma dodatkowymi wskazówkami, aby poprawić swoją osobistą higienę ochrony przed phishingiem”. – w niedawnym wywiadzie, jak wspomniał Andrew Gitt, starszy specjalista ds. technologii, współzałożyciel i szef badań w VPNBrains.

W swoim wywiadzie Andrew podaje również następujące zalecenia:

• Powstrzymaj się od klikania linków przychodzących w wiadomościach e-mail.
• Nie otwieraj załączników otrzymanych od nieznajomych.
• Przed wpisaniem nazwy użytkownika i hasła na stronie logowania upewnij się, że jest to HTTPS, a nie HTTP.
• Jeśli wiadomość e-mail wygląda wiarygodnie i zdecydujesz się zaryzykować kliknięcie osadzonego łącza, najpierw sprawdź adres URL pod kątem literówek i innych upominków.
• Uważnie czytaj przychodzące wiadomości e-mail i sprawdzaj ich treść pod kątem błędów ortograficznych, gramatycznych i interpunkcyjnych. Jeśli zauważysz takie błędy, wiadomość jest najprawdopodobniej oszustwem.
• Ignoruj ​​i wyrzucaj do kosza e-maile, które zmuszają Cię do zrobienia czegoś. Na przykład phisherzy często narzucają jakiś termin, aby ludzie się pomylili. Nie daj się nabrać na takie sztuczki.
• Uważaj na e-maile, których treść odbiega od normy z punktu widzenia Twoich codziennych obowiązków służbowych.
• Jeśli otrzymasz wiadomość od kierownika wyższego szczebla z prośbą o przelew bankowy, sprawdź ją, kontaktując się z tą osobą telefonicznie lub osobiście. Istnieje prawdopodobieństwo, że masz do czynienia z oszustem, który przejął konto e-mail kolegi.
• Uważaj, jakie informacje udostępniasz w sieciach społecznościowych. Złośliwi aktorzy są biegli w przeprowadzaniu wywiadu open source (OSINT), więc mogą obrócić twoje publicznie dostępne dane osobowe przeciwko tobie.
• Jeśli jesteś kierownikiem, pamiętaj o skonfigurowaniu programu szkoleniowego dla swoich pracowników w zakresie świadomości phishingu.
• Włącz zaporę ogniową i zainstaluj skuteczne oprogramowanie zabezpieczające online z wbudowaną funkcją ochrony przed phishingiem.

Może Cię również zainteresować: Jak chronić swój komputer przed cyberatakami, śledzeniem i złośliwym oprogramowaniem?

Ostatnie słowa

Ilekroć białe kapelusze wymyślają nowy mechanizm zapobiegania, cyberprzestępcy robią wszystko, co w ich mocy, aby ich przechytrzyć. Pojawiającym się i bardzo obiecującym trendem bezpieczeństwa w tym zakresie jest wykorzystanie sztucznej inteligencji i uczenia maszynowego do identyfikowania prób phishingu. Miejmy nadzieję, że takie podejście sprawi, że obrona będzie o krok przed wektorami ataku, bez względu na to, jak bardzo są wyrafinowane.

Na razie najlepszą rzeczą, jaką możesz zrobić, to zachować czujność i jak najlepiej wykorzystać tradycyjne narzędzia antyphishingowe, które w większości przypadków działają cuda.