Эксперты АКБ проанализировали три актуальных тренда в фишинговых угрозах, информация о которых появилась в СМИ в августе 2019 года.
Первая модель , которую мы рассмотрим, касается предприятий, она получила название горизонтальный фишинг . В ходе таких операций злоумышленники атакуют сотрудников компаний со скомпрометированных почтовых ящиков коллег, то есть вредоносная активность развивается внутри предприятия.
Исследователи компании Barracuda проанализировали атаки горизонтального фишинга, организованные против почти 100 организаций. Основная цель горизонтального фишинга — что не удивительно, кража учетных данных. Это отличает такой тип атак от атак вида business email compromise (BEC). В процессе анализа 180 операций горизонтального фишинга эксперты выяснили, что в 11% случаев злоумышленникам удалось взломать других сотрудников внутри организации.
Любопытна другая большая цифра, в 42% случаев удавшихся кибератак пострадавшие не сообщали руководству или команде безопасности (почему?). В большинстве проанализированных вредоносных писем злоумышленники утверждали, что нашли проблему с почтовым ящиком получателя. В других же содержалась ссылка на документ. Также в письмах были ссылки, ведущие жертву на фишинговые страницы с формами для ввода учетных данных, которые отсылались напрямую преступникам.
Вторая кампания была обнаружена исследователями из компании Cofense: это целенаправленная фишинговая кампания против сотрудников фирмы энергетической отрасли. В рамках атак злоумышленникам удалось обойти шлюз электронной почты Microsoft.
По данным экспертов, документы, связанные с фишинговыми лендинговыми страницами, распространялись через Google Документы. Сообщения были отправлены от имени генерального директора компании с целью обманом заставить сотрудников открыть «важное сообщение», передаваемое через Google Docs.
Отправленные через Google Диск письма позволили злоумышленникам обойти защиту от фишинга, предоставляемую облачным сервисом фильтрации электронной почты Microsoft Exchange Online Protection. В действительности документ был связан с документом Google Docs, который перенаправлял потенциальных жертв на фишинговые страницы злоумышленников. Там пользователям предлагалось ввести свои учетные данные для доступа к срочному сообщению генерального директора.
Третья кампания , которую мы рассмотрим, была зафиксирована исследователями из компании Avanan, занимающейся вопросами безопасности электронной почты. Злоумышленники с помощью уведомлений голосовой почты Microsoft Voicemail пытаются заставить жертву открыть вложения HTML, перенаправляющие на фишинговые web-страницы.
Операторы вредоносной кампании рассылали потенциальным жертвам электронные письма, замаскированные под оповещения голосовой почты Microsoft Office 365. Сообщения в письмах предлагали жертве открыть вложение для прослушивания голосового сообщения. Для большей правдоподобности в письме также отображался номер звонившего и длина аудиозаписи.
После того, как жертвы кликали на вложение, они перенаправлялись на фишинговые страницы с помощью метаэлемента HTML со значением атрибута http-equiv «Обновить», а контента — «1». В отличие от ранее обнаруженных кампаний, использующих мета-обновления атак через промежуточный URL-адрес, в рамках данных атак используется само вложение HTML для запуска перенаправления. Исследователи назвали такой метод «MetaMorph Obfuscation».
Далее жертва перенаправлялась на поддельную страницу «Система управления голосовой почтой», которая открывает окно авторизации «Проверка подлинности пользователя голосовой почты». Таким образом жертвы вводили адрес электронной почты и пароль их учетной записи Microsoft, которые отправлялись на сервер преступников.
Читайте также на АКБ:
Enjoy the Silence: первая в 2019 фишинг-волна накрыла российские банки
APT, фишинг и смерть крипты: «Лаборатория Касперского» дает прогноз на 2019 год
