Современный фишинг: как хакеры обходят корпоративные защиты
Источник: evalian.co.uk
Фишинг по-прежнему остается одной из самых эффективных тактик киберпреступников, которые непрерывно усовершенствуют методы обхода средств защиты. Недавняя фишинговая кампания, выявленная Оперативным центром безопасности Evalian, ярко демонстрирует, как злоумышленники используют продвинутые техники для успешного обхода стандартных корпоративных мер безопасности.
Особенности фишинговой кампании
Целью атаки стала поддельная страница входа в Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), созданная для сбора учетных данных пользователей. Фишинг сопровождался тщательно продуманным дружелюбным тоном, позволяющим скрыть злые намерения и завоевать доверие жертв.
Ключевые характеристики кампании включали:
- Использование дизайна email-сообщения, позволяющего обходить обычные спам-фильтры. Уровень достоверности письма достигал 1 благодаря отправке через надежные сервисы Mailgun и SendGrid.
- Применение проверенных инфраструктур для рассылки фишинговых ссылок, что снижает вероятность срабатывания базовых протоколов безопасности.
- Создание искусственных задержек на сервере с помощью ошибки тайм-аута шлюза 504, что помогает избегать обнаружения автоматическими сканерами и изолированными системами анализа.
- Отправка фишинговой страницы по протоколу HTTPS с использованием действительного TLS-сертификата от Let’s Encrypt, который не требует строгой проверки владения доменом, создавая иллюзию законности.
Тщательно организованная инфраструктура атаки
Инфраструктура кампании была грамотно продумана и развернута с использованием виртуальных частных серверов (VPS) низкого уровня доверия и нескольких доменов, что затрудняло выявление и блокировку атаки в кратчайшие сроки. Исследование выявило общие признаки фишинговых доменов, что указывает на скоординированный и повторяемый подход злоумышленников.
Подчеркнем, что исходное фишинговое письмо было ориентировано на одну организацию, но имело потенциал для масштабирования, что создает повышенный риск для множества потенциальных жертв.
Продвинутые методы обмана и автоматизации
Хакеры применили сложные тактики, включая:
- Имитацию официальных организаций в брендинге и содержании сообщений.
- Использование механизмов автоматизации для рассылки и управления кампаниями.
- Внедрение методов уклонения от обнаружения, таких как рабочие формы reCAPTCHA, усложняя анализ и блокировку.
Это свидетельствует о значительном эволюционном шаге в методах фишинга — атаки перестали быть примитивными и все чаще содержат тонко настроенные элементы, затрудняющие их идентификацию.
Рекомендации по противодействию
Оперативный анализ кампании подчеркивает, что базовых проверок электронной почты с использованием стандартных протоколов SPF, DKIM и DMARC уже недостаточно для полной защиты. Эффективная борьба с такими угрозами требует комплексного подхода, включающего:
- Всесторонний анализ взаимодействия пользователей с сообщениями.
- Проверку URL-адресов на предмет подозрительных признаков.
- Мониторинг и анализ структуры инфраструктуры, используемой в атаках.
Как отметил один из экспертов Evalian, «Злоумышленники все активнее используют доверенную инфраструктуру, повышая уровень сложности атаки и требуя от организаций более продвинутых мер безопасности».
Выводы
Фишинг продолжает развиваться, и современные кампании становятся всё более изощренными и трудно обнаружимыми. Для организаций это означает необходимость постоянного совершенствования систем защиты и обучения сотрудников, чтобы своевременно выявлять и предотвращать подобные угрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
