Нов вид фишинг атаки използва легитимни услуги, за да заобиколи защитите
В последните месеци киберпрестъпниците използват нови, хитроумни методи, за да подведат потребителите и да откраднат личните им данни. Според експерти по киберсигурност от екипа на Cloudflare, нападателите злоупотребяват с популярни услуги за защита на връзки, като тези на Proofpoint и Intermedia, за да прикрият злонамерени уебсайтове. Тази нова фишинг кампания е особено опасна, защото използва доверени инструменти, за да изглежда законна.
Как работи атаката?
Много компании използват услуги като Proofpoint, за да защитят служителите си от опасни връзки в имейлите. Тези услуги „опаковат“ връзките, като ги пренасочват през специален сървър, който ги проверява за заплахи. Ако връзката е безопасна, потребителят се насочва към желания уебсайт. Но ако връзката е злонамерена, системата я блокира. Проблемът е, че нападателите са намерили начин да заобиколят тази защита.
Хакерите първо получават достъп до имейл акаунт в организация, която използва такава услуга. След това изпращат имейли с опасни връзки от този акаунт. Тъй като имейлът идва от „доверен“ източник, връзката автоматично се „опакова“ от услугата за защита, което я прави да изглежда безопасна. В действителност обаче тя води до фалшиви страници, които крадат потребителски имена и пароли за Microsoft 365.
Двойно прикритие за по-голяма убедителност
Нападателите отиват още по-далеч, като използват комбинация от техники за прикриване. Първо, те съкращават злонамерените връзки с услуги като Bitly, което ги прави по-трудни за разпознаване. След това изпращат тези връзки през защитен акаунт, който добавя втори слой „опаковка“ от Proofpoint. Резултатът е верига от пренасочвания, която води потребителя до фалшива страница, без да предизвика съмнения.
Как изглеждат тези фишинг имейли?
Има няколко често срещани сценария, които нападателите използват, за да подмамят жертвите си:
Други хитрини на хакерите
Освен злоупотребата с услуги за защита на връзки, нападателите използват и други техники, за да заобиколят традиционните защити. Например, те често вграждат злонамерен код в SVG файлове – формат за изображения, който поддържа скриптове и интерактивни елементи. Тези файлове изглеждат безобидни, но могат да съдържат код, който пренасочва потребителя към фалшиви страници.
Друга популярна тактика е използването на фалшиви Zoom връзки. Потребителят получава имейл, който изглежда като покана за видеоконференция. При кликване върху връзката той вижда съобщение, че „свързването е изтекло“, и е подканен да въведе данните си за вход, за да се присъедини отново. Вместо това обаче данните му се изпращат директно на хакерите, често чрез приложения като Telegram.
Как да се предпазим?
За да се защитите от подобни атаки, е важно да бъдете внимателни:
Заключение
Новите фишинг атаки показват колко изобретателни могат да бъдат киберпрестъпниците. Те използват доверени инструменти и услуги, за да подведат дори най-внимателните потребители. Затова е важно да бъдем нащрек и да проверяваме всяка връзка и имейл, преди да предприемем действие. С малко предпазливост и здрав разум можем да намалим риска от кражба на лични данни и да защитим онлайн присъствието си.
