Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет

Microsoft назвала самые необычные виды мошенничества в интернете

Microsoft назвала три самых сложных вида фишинга, использовавшихся хакерами в течение 2019 г. Для получения логинов и паролей пользователей они начали использовать технически труднореализуемые методы и даже задействовать Google.

Популярный вид атак

Корпорация Microsoft рассказала о трех наиболее сложных и продуманных фишинговых атаках, выявленных в 2019 г. Она выпустила отчет о современных тенденциях в сфере киберпреступности и вредоносного ПО в 2019 г., в котором отметила, что фишинг стал одним из немногих видов атак, количество которых росло на протяжении всего года.

Специалисты Microsoft подсчитали, что количество выявленных фишинговых писем ввыросло с 0,2% в январе 2018 г. до 0,6% от общего объема проинспектированных сообщений в октябре 2019 г. Данные за ноябрь и первую половину декабря 2019 г. в отчете не приведены.

Microsoft подчеркнула, что в мире сократилось суммарное число вымогательского ПО (ransomware), криптомайнеров (софт, использующий ресурсы ПК жертвы для добычи криптовалюты), пошло на спад. Фишинг как способ нечестного заработка, тем временем, наоборот привлекает все большее внимание киберпреступников.

Атака с привлечением Google

Одним из трех видов атак, рассмотренных Microsoft в своей публикации, стала многоуровневая вредоносная кампания, в ходе которой хакеры «отравляли» результаты поисковой выдачи Google. Злоумышленники организовывали перенаправление перехваченного с безопасных ресурсов трафика на подконтрольные им сайты, что приводило к выходу этих доменов в топ выдачи по определенным запросам.

Схема атаки с поддельными выдачами в поисковике

Затем хакеры рассылали потенциальным жертвам электронные письма с содержащимися в них ссылками на результаты поиска Google по ключевым словам, и если те нажимали на ссылку, то попадали сперва на саму поисковую выдачу. Убедившись, что перед ними действительно Google, а не какой-нибудь его клон, пользователи без опаски кликали на первые ссылки в топе и попадали на фишинговую страницу, собирающую те или иные личные данные.

Исходный код редиректора и список поисковых запросов (снизу) для продвижения в Google

В отчете Microsoft сказано, что хакеры старались не использовать популярные поисковые запросы и отдавали предпочтение лишь бессмысленным наборам букв и символов, к примеру, «BpBbEgInBu». Это помогало им оставаться незамеченными. К тому же, география атак хоть и включала практически весь мир, но сами атаки были привязаны к регионам.

Ошибка 404

Фишинговые атаки с использованием поддельных страниц с ошибкой 404 (сайт недоступен) эксперты Microsoft обнаружили в августе 2019 г.

fish603.jpg
Схема атаки с использованием кастомных страниц 404

Злоумышленники рассылали потенциальным жертвам письма со ссылками, ведущими не напрямую на фишинговые сайты, а на поддельные страницы 404. Для создания самих страниц хакеры применяли различные алгоритмы генерации поддоменов, а постоянно меняли сами домены, что в итоге давало им возможность создавать не поддающееся счету количество фишинговых URL-адресов.

fish604.jpg
Поддельная страница авторизации в Microsoft. От настоящей с первого взгляда не отличить

Сами поддельные страницы 404 практически полностью копировали стандартную форму аутентификации в учетной записи Microsoft и создавались для сбора связок логин/пароль именно к сервисам Microsoft. Исследователи корпорации отметили их максимальное сходство – злоумышленники прорабатывали их до мельчайших деталей, вплоть до расположения каждого из элементов. На таких сайтах не хватало лишь ссылки «Параметры входа» и уведомлении о cookie-файлах в верхней их части.

MitM-атаки

Третья фишинговая кампания заключалась в осуществлении так называемых «MitM-атак», также известных как «атака посредника» (Man in the Middle). По сути, это своего рода эволюция второго типа атаки из отчета Microsoft.

fish605.jpg
Схема атаки при помощи MitM-компонентов

Хакеры, вместо создания фишинговых страниц-копий реального сайта вручную, использовали MitM-компонент, который сам собирает необходимые составные части клонируемой веб-страницы. К ним относятся текст, различные логотипы, изображения и даже рекламные баннеры при их наличии.

В итоге на руках у хакеров находится точная копия легитимного сайта, и все, что и оставалось – это разослать потенциальным жертвам электронные письма со ссылкой на него. Переходя по ней, пользователь легко мог обмануться и посчитать, что находится на легальной странице ввода логина или пароля к своему аккаунту.

Как не попасться на уловку

Стоит отметить, что пользователь может избежать утечки своих персональных данных, даже если он подвергнется всем трем видам атак одновременно и перейдет по всем ссылкам во всех письмах от хакеров.

Поддельный сайт можно распознать по нелепой ссылке в адресной строке

Для того, чтобы убедиться в подлинности веб-страницы с полями для ввода имени пароля, достаточно взглянуть на адресную строку в браузере – злоумышленники пока не научились подменять сами адреса сайтов, и в результате вместо того же office.com пользователь увидит в этой строке что-то вроде outlookoffice365user09ngxmd.web.app (реальный пример).

Эльяс Касми

Короткая ссылка