СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 января
#ИБ

Волна фишинга под видом DocuSign: кража учётных данных и защита

Растущая активность фишинга, маскирующегося под уведомления от DocuSign, демонстрирует эволюцию социальной инженерии и рост технической изощрённости злоумышленников. В 2024 году число таких инцидентов выросло на 22% — зарегистрировано более 193 000 случаев, причинивших значительные финансовые потери. Отдельно выделяются кампании, использующие динамическое создание фальшивых страниц входа и персонализированные ссылки, что делает фишинг особенно трудно различимым для обычных пользователей.

Механика атак: что происходит за письмом

Атаки обычно начинаются с электронного письма, внешне похожего на лёгитимное уведомление о проверке документа от DocuSign. Злоумышленники применяют несколько ключевых приёмов:

  • подделка отправителя — spoofing адреса электронной почты, иногда имитирующего собственный домен получателя для повышения доверия;
  • несовпадение заголовков — «Reply-To» отличается от «From», что перенаправляет ответы на сторонние адреса;
  • специальные кнопки вроде «Просмотреть документ», ссылающиеся на внешние ресурсы, предназначенные для credential-harvesting;
  • динамические страницы входа, созданные с помощью фреймворка LogoKit, который в реальном времени подгружает фирменные элементы и делает фальшивые формы максимально убедительными;
  • размещение вредоносных ссылок на платформах вроде IPFS или AWS S3, причём в URL часто включён адрес электронной почты жертвы — приём для персонализации и повышения кликабельности.

«Просмотреть документ» — одно из типичных действий, за которым скрывается переход на credential-harvesting страницу.

Признаки компрометации и индикаторы фишинга

Для быстрого распознавания фишинга важно обращать внимание на следующие индикаторы:

  • неудачные проверки SPF (письмо приходит с поддельного домена, а SPF показывает несоответствие);
  • аномалии DKIM или отсутствие подписи там, где она ожидается;
  • расхождение между полями «From» и «Reply-To»;
  • URL-адреса, размещённые на IPFS, AWS S3 или других хостингах сторонних объектов;
  • наличие адреса электронной почты жертвы в самом URL — признак персонализации и автоматической генерации ссылок;
  • динамически сгенерированные страницы входа, визуально совпадающие с оригиналом благодаря LogoKit;
  • повторяющиеся шаблоны URL и содержимого, сопоставимые с уже зафиксированными кампаниями.

Аналитические механизмы выявляют эти признаки путём сопоставления идентичности отправителя, анализа спам-признаков в содержимом и сравнения URL с известными паттернами предыдущих атак.

Технологии защиты и практические рекомендации

Эффективная защита требует сочетания технологических мер и человеческой бдительности. В числе технических решений — многоуровневые системы фильтрации почты. Пример — система защиты деловой электронной почты Group-IB (BEP), которая:

  • раскрывает расхождения между заголовками «Reply-To» и «From»;
  • распознаёт аномальные ответы SPF и DKIM;
  • использует машинное обучение для выявления подозрительного содержимого;
  • анализирует URL на предмет соответствия шаблонам предыдущих фишинговых кампаний и блокирует вредоносные ссылки до доставки письма пользователю.

Кроме специализированных решений, организациям и пользователям полезно внедрить следующие практики:

  • Внедрить и строго поддерживать SPF, DKIM и DMARC — это снижает вероятность успешной подделки отправителя;
  • Включить MFA (многофакторную аутентификацию) для доступа к критичным сервисам, чтобы украденные пароли не давали мгновенного доступа;
  • Обучать пользователей распознаванию фишинга: проверять отправителя, не кликать по ссылкам из неожиданных писем и по возможности уточнять через другие каналы;
  • Проверять ссылки при наведении и избегать ввода учётных данных на страницах, доступ к которым пришёл по почте;
  • Использовать шлюзы безопасности с анализом URL и ретрансляцией ссылок через проверочные сервисы (link rewriting, sandboxing);
  • Ограничивать публичный доступ к объектам в cloud-хранилищах, мониторить использование S3 и публикуемых IPFS-ресурсов;
  • Интегрировать threat intelligence для оперативного выявления повторяющихся шаблонов от LogoKit и других инструментов злоумышленников;
  • Докладывать инциденты в команду безопасности организации и, при необходимости, в соответствующие сервисы (включая DocuSign), чтобы ускорить блокировку кампаний.

Вывод

Текущая волна имперсонации DocuSign подчёркивает, что фишинг развивается в сторону персонализации и динамического подстройки внешнего вида мошеннических страниц. Это требует не только технических фильтров, но и постоянного повышения осведомлённости пользователей. Комбинация корректно настроенных протоколов аутентификации почты, современных решений для защиты электронной переписки (таких как BEP от Group-IB), многофакторной аутентификации и регулярного обучения сотрудников остаётся лучшей практикой противодействия таким угрозам.

Ни одно письмо с непроверенной ссылкой не стоит риска — проверяйте источники и используйте надёжные инструменты защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: