СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:29
#ИБ

Фишинг на новых доменах: похищают учётные записи Gmail и M365

В отчёте зафиксирована волна кражи учетных записей, в первую очередь нацеленных на пользователей Gmail и Microsoft 365/Outlook. Злоумышленники используют недавно зарегистрированные домены, подставляя на них фишинговые страницы, маскирующиеся под легитимные интерфейсы входа, чтобы выманить у жертв логины, пароли и данные, связанные с двухфакторной аутентификацией (2FA).

Суть атаки

Атака опирается на простую, но эффективную комбинацию технических приёмов и социальной инженерии. Злоумышленники регистрируют домены, которые внешне вызывают доверие у пользователей, и размещают на них поддельные страницы входа. Часто такие домены настолько новы, что средства защиты и репутационные сервисы ещё не пометили их как вредоносные, что увеличивает шанс успешного прохождения проверки безопасности.

«Эффективное использование тактики социальной инженерии в сочетании со злоупотреблением доменами, выглядящими законными, позиционирует эту кампанию как значительный риск для организационной и индивидуальной безопасности.»

Как именно работают злоумышленники

  • Регистрация множества новых доменов, внешне похожих на легитимные сервисы и бренды.
  • Размещение фейковых страниц входа, имитирующих интерфейсы Gmail и Microsoft 365/Outlook.
  • Рассылка фишинговых писем или перенаправления, которые побуждают пользователя перейти по ссылке и ввести учётные данные.
  • Захват не только логинов и паролей, но и информации, связанной с процессами 2FA, что позволяет обходить дополнительные уровни защиты.
  • Использование недавно зарегистрированных доменов для снижения вероятности быстрого обнаружения средствами безопасности.

Почему это опасно

Комбинация убедительных интерфейсов и запросов данных для 2FA делает подобные фишинговые кампании особо коварными. Даже если пользователь правильно вводит одноразовый код или подтверждает доступ, злоумышленник может перехватить эти данные и получить доступ к учетной записи в реальном времени. Для организаций это означает риск утечки корпоративной почты, доступа к внутренним документам и дальнейшего распространения вредоносной активности внутри сети.

Рекомендации по защите

Эксперты по кибербезопасности советуют сочетать технические меры с повышением осведомлённости пользователей. Основные рекомендации:

  • Проверяйте URL: перед вводом учетных данных внимательно сверяйте домен в адресной строке браузера.
  • Не переходите по ссылкам из нежелательных писем: лучше вручную открыть сервис через закладку или введя адрес в адресной строке.
  • Используйте phishing‑resistant MFA: по возможности переходите на аппаратные токены или стандарты вроде FIDO2 вместо одноразовых кодов в SMS/Email.
  • Внедряйте фильтрацию URL и блокировку недавно зарегистрированных доменов: многие решения безопасности позволяют временно ограничивать доступ к недавно созданным доменам.
  • Обучение сотрудников: регулярные тренинги по распознаванию фишинга и тестовые фишинговые рассылки помогут повысить устойчивость организации.
  • Политики доступа: настройка Conditional Access, ограничение доступа по географии и устройствам, мониторинг аномалий доступа.
  • Использование password manager: автозаполнение паролей снижает вероятность подмены полей ввода на фишинговых страницах.
  • Мониторинг утечек: отслеживание компрометаций учётных записей и немедленная смена паролей при подозрении на взлом.

Что должны помнить пользователи

Главное правило — не вводить учетные данные по ссылкам из сомнительных писем и всегда проверять подлинность страницы входа. Если сервис неожиданно просит дополнительные данные для входа (например, повторно запросил 2FA), стоит связаться с администратором или службой поддержки организации прежде, чем вводить конфиденциальную информацию.

Вывод

Данная кампания подчёркивает, что фишинг продолжает эволюционировать: злоумышленники активно используют недавно зарегистрированные домены и социальную инженерию, чтобы обходить автоматические механизмы обнаружения и убедить пользователей раскрыть учётные данные. Комплексный подход — сочетание технических средств, политик безопасности и обучения пользователей — остаётся ключом к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: