Как фишинговые конструкторы открывают новые возможности для легиона профессионалов

Некоторые киберпреступники руководствуются политическими идеалами, другие — злым умыслом или озорством, но большинство из них заинтересованы только в наличных деньгах. Чтобы их преступная деятельность была прибыльной, им необходимо сбалансировать потенциальную выплату со временем, ресурсами и необходимыми рисками.

Поэтому неудивительно, что многие используют фишинг в качестве метода атаки по умолчанию. Вредоносные электронные письма могут быть относительно легко использованы для достижения многих целей, а преступники могут покупать готовые конструкторы для фишинга, в которых собрано все, что им нужно для прибыльной кампании.

Большинство атак направляются либо в крупные технологические компании, либо в ведущие финансовые компании. Facebook, Apple и Amazon были самыми популярными техническими брендами, которые подделывались фишинговыми URL-адресами. С финансовой точки зрения, Charles Schwab был, безусловно, самой популярной целью и наиболее часто используемым URL-адресом бренда в целом, на него приходилось 13,5% всех обращений. Chase Bank — американская дочерняя компания JP Morgan Chase & Co — RBC Royal Bank и Wells Fargo также широко использовались в фишинговых URL-адресах.

Переход на мобильную связь

Одна из наиболее заметных тенденций, выявленных в расследовании, — это растущее внимание к мобильным устройствам как части фишинговых атак. SMS-сообщения, WhatsApp и другие службы обмена мобильными сообщениями все чаще используются для запуска атак.

Злоумышленники применяют эти методы в ответ на более надежные решения для защиты электронной почты. Среднее мобильное устройство с меньшей вероятностью будет хорошо защищено от фишинга по сравнению с настольным ПК. Даже если на мобильном устройстве установлено приложение для корпоративной электронной почты, такие каналы, как SMS и WhatsApp, будут обходить любую защиту от фишинга, которая может быть на нем.

Злоумышленники также могут смешивать электронную почту и мобильные сообщения в одной атаке, например, отправляя фишинговое электронное письмо, содержащее QR-код, который должен быть отсканирован смартфоном, тем самым передавая атаку на мобильную конечную точку. Мы наблюдаем всплеск атак с использованием QR-кодов, поскольку во время пандемии относительно недооцененная технология стала более популярной. Эти атаки снова эффективны для обхода традиционных инструментов безопасности электронной почты, поскольку сам QR-код не является вредоносным активом, и его адрес ссылки не может быть прочитан технологиями обнаружения, оптимизированными для текстовых URL-адресов и сигнатур вирусов.

Мобильные фишинговые атаки также сложнее идентифицировать из-за меньшего размера экрана мобильных устройств и упрощенной компоновки, что усугубляет отсутствие решений безопасности на мобильных устройствах.

Как фишинговые конструкторы означают, что любой может заниматься фишингом как профессионал

Мало того, что фишинговые подходы постоянно развиваются, чтобы противостоять решениям для защиты электронной почты, но даже нетехнические преступники также могут легко воспользоваться новыми методами благодаря фишинговым конструкторам. Копируя готовые комплекты программного обеспечения, используемые законным бизнесом, эти комплекты предоставляют набор инструментов, которые позволяют потенциальным преступникам быстро создавать и запускать свои собственные фишинговые кампании.

Такие конструкторы, широко доступные в даркнете, обычно включают в себя шаблоны электронной почты, графику и сценарии, а также простой интерфейс для управления атакой. Преступники также могут легко приобрести базы данных потенциальных целевых адресов электронной почты, вероятно, полученные в результате предыдущих утечек данных.

Анализ показал, что эти комплекты часто очень сложны, настроены для запуска кампаний, которые собирают данные кредитных карт, номера социального страхования и другую личную информацию, а также стандартную цель учетных данных для входа. Преступное сообщество также разработало свои методы противодействия многофакторной аутентификации, при этом некоторые комплекты обеспечивают возможность захвата одноразовых кодов аутентификации.

Одним из самых известных комплектов был Chase XBATLI, который был доступен в течение некоторого времени, но все чаще используется для таргетинга на клиентов Chase и Amazon. Набор позволяет злоумышленникам создать свою собственную фишинговую страницу, имитирующую банк, после чего они связываются с клиентами и предлагают им обновить свои данные.

Жертв просят ввести свои учетные данные, а затем подтвердить свою личную и финансовую информацию. Это гарантирует, что злоумышленники могут не только получить доступ к учетной записи жертвы, но и предоставить им другую информацию, которая может быть использована для мошенничества или продана. В качестве последнего штриха комплект XBALTI перенаправляет цель на настоящую целевую страницу Chase в конце, усиливая видимость легитимности.

XBALTI и другие фишинговые комплекты, которые проанализировали в последние месяцы, также использовали тактику уклонения, например, с использованием динамических доменных служб, таких как Duck DNS, для частого изменения места назначения URL-адреса. Это позволяет им постоянно использовать URL-адрес, даже если веб-сервер отключен или занесен в черный список.

Как предприятиям защититься от фишинговых атак?

Большинство атак по-прежнему основываются на одной и той же тактике, потому что они продолжают работать.

Прежде всего, всегда предполагайте, что если что-то кажется подозрительным, вероятно, это фишинг. Фишинговые электронные письма в значительной степени ушли от искаженных, содержащих ошибки сообщений прошлого, но все еще будут вещи, которые их выдают. Несоответствия в языке и дизайне должны быть тревожным сигналом, и пользователи всегда должны проверять, совпадает ли отображаемое имя отправителя с адресом электронной почты. URL-адреса также следует проверять перед их открытием, а контактную информацию компании можно быстро подтвердить через официальные сайты и мобильные приложения или просто через поисковые системы.

Компании также должны поддерживать своих сотрудников и клиентов, предоставляя доступный канал для сообщений о фишинге. Клиенты должны иметь возможность легко сообщать бренду о подозрениях, а сотрудники должны иметь прямую связь со своей группой ИТ-безопасности, в идеале с помощью специализированного решения для защиты от фишинга и исправления ошибок.

Поскольку преступники продолжают использовать фишинг как наиболее доступный и прибыльный путь к киберпреступности, как частным лицам, так и компаниям необходимо идти в ногу с последними тенденциями, а также не упускать из виду одни и те же старые уловки.