2019 год подходит к концу, и компании традиционно подводят его итоги, а также составляют прогнозы на будущее. Недавно Microsoft уже выпустила отчет о трендах в области киберпреступности и малвари, согласно которому, фишинг стал одним из немногих векторов атак, чья активность только растет в последние годы.
Microsoft сообщает, что количество попыток фишинга выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года, где 0,6% — это процент фишинговых писем, обнаруженных в общем объеме проанализированных сообщений. Теперь в официальном блоге компании появилась новая публикация, посвященная трем наиболее необычным фишинговым атакам, замеченным в уходящем году.
Первой атакой была многоуровневая вредоносная операция, в результате которой преступная группа отравляла результаты поиска Google. Происходило это следующим образом:
Отмечается, что злоумышленники не нацеливались на популярные запросы с большим трафиком, вместо этого они сосредоточили усилия на всякой тарабарщине, такой как «hOJoXatrCPy». Более того, атаки были привязаны к географическим регионам. Так, европейский пользователь, перешедший по фишинговой ссылке, попадал на сайт-редиректор c77684gq[.]beget[.]tech, тогда как переход на ту же страницу из-за пределов Европы не давал таких результатов.
Еще одна необычная атака была обнаружена Microsoft в августе 2019 года и компания сообщала об этом в Twitter.
Тогда как большинство фишинговых писем содержит ссылку на сайт, куда мошенники хотят заманить пользователей, в этой кампании злоумышленники использовали ссылки, которые умышленно вели на несуществующие страницы. В итоге, когда механизмы безопасности Microsoft проверяют такую ссылку, они «видят» ошибку 404 и считают ее безопасной. Однако если по URL-адресу переходит реальный пользователь, фишинговый сайт обнаруживает это и перенаправляет жертву на фактическую фишинговую страницу, вместо стандартной страницы ошибки 404.
Microsoft пишет, что этот трюк сочетался с алгоритмами генерации поддоменов и регулярным изменением основного домена, и фактически злоумышленники могли генерировать «практически неограниченное количество фишинговых URL».
Третий хитрый фишинговый трюк связан с использованием сервера man-in-the-middle (MitM). Исследователи объясняют, что вместо скрупулезного копирования настоящих сайтов, злоумышленники использовали MitM-компонент, который собирал информацию о конкретной компании, такую как логотипы, баннеры, тексты и изображения с фактического сайта. В результате фейковые страницы логина производили впечатление настоящих, не вызывая никаких подозрений у пользователя.
К счастью, эта техника атак не была идеальной, так как URL-адрес фишингового сайта по-прежнему можно было заметить в адресной строке, как и на любом другом фейковом сайте.
Читайте также
Последние новости