Фишинг гомоглифами: поддельные домены атакуют Marriott и Microsoft

Недавно исследователи безопасности зафиксировали новую волну фишинга, в которой злоумышленники применяют типографский трюк — homoglyph — для создания доменов, почти неотличимых от легитимных сайтов крупных брендов. Жертвами кампаний стали клиенты Marriott International и Microsoft: поддельные ресурсы и рассылки направлены на кражу учетных данных и другой конфиденциальной информации.

Как работает атака

Суть метода простая, но эффективная: злоумышленники заменяют букву «m» последовательностью символов «r» и «n» (то есть «rn»), что визуально очень похоже на «m» при обычном просмотре. В результате создаются домены вроде rnicrosoft.com, которые на первый взгляд выглядят как настоящие. Такие подмены часто используются вместе с хорошо оформленными письмами и поддельными страницами логина, что значительно повышает вероятность успешного обмана.

Цели атак и обнаружение

Случай с Marriott International: охранная фирма Netcraft сообщила об обнаружении нескольких вредоносных доменов, специально подготовленных под сеть отелей. Поддельные сайты имитируют страницы для бронирования и входа в учетные записи лояльности, цель — выманить у клиентов логины, пароли и данные гостей.

Параллельно зафиксирована кампания против пользователей Microsoft. Генеральный директор Anagram, Harley Sugarman, отметил, что фишинговые письма рассылаются с домена rnicrosoft.com. Такие письма содержат ложные предупреждения о безопасности или фальшивые счета‑фактуры, призванные заставить получателя перейти по ссылке на фишинговый сайт.

«Электронные письма с фишингом рассылаются с такого домена, как rnicrosoft.com», — Harley Sugarman, CEO Anagram.

Почему это опасно

• Близкое визуальное сходство с легитимными доменами затрудняет быструю идентификацию подделки.
• Целевые письма и хорошо оформленные страницы повышают доверие пользователей.
• Утечка учетных данных к аккаунтам лояльности, корпоративным почтам и финансовой информации может привести к дальнейшим мошенничествам и компрометации.

Рекомендации по защите для пользователей и компаний

• Внимательно проверяйте домен отправителя и ссылки: при сомнении наведите курсор и посмотрите полный URL перед переходом.
• Обращайте внимание на мелкие отличия в написании — замены символов типа «m» → «rn» трудно заметить без проверки.
• Используйте двухфакторную аутентификацию (MFA) для критичных сервисов.
• Настройте и контролируйте SPF, DKIM и DMARC для предотвращения подделки писем от имени домена организации.
• Внедрите фильтрацию DNS и блокировку известных фишинговых и look‑alike доменов на уровне сети.
• Обучайте сотрудников и клиентов распознаванию фишинга: симуляции атак и регулярные тренинги повышают устойчивость к социальным атакам.
• Проверяйте сертификаты TLS сайта и обращайте внимание на предупреждения браузера о подлинности соединения.
• При получении подозрительного письма свяжитесь с компанией через официальный сайт или телефон, указанный на официальных ресурсах, а не по ссылкам в письме.
• Сообщайте о выявленных фишинговых доменах Netcraft, владельцу бренда или в соответствующие CERT‑службы.

Вывод

Атаки с использованием homoglyph демонстрируют, что даже простые типографские трюки остаются эффективным инструментом в арсенале фишеров. Компании и пользователи должны сохранять бдительность: критична комбинация технических мер защиты (фильтры, аутентификация, политики почты) и грамотной подготовки людей — только так можно существенно снизить риск успешной компрометации через такие подмены доменов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.