Новости Ускоренная загрузка веб-страниц упрощает фишинг и кражу данных

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Злоумышленники явно используют Google AMP не по назначению.


g87y3i6e0zyvdtrc15qn9yk7dydsdctp.jpg


Эксперты в области кибербезопасности предупреждают о возросшей активности фишинговых атак, использующих Google Accelerated Mobile Pages ( AMP ) для обхода защиты корпоративной почты и попадания в почтовые ящики сотрудников.

Google AMP — это открытая платформа для ускорения загрузки веб-контента на мобильных устройствах. Страницы AMP располагаются прямо на серверах Google, где контент сильно облегчается и упрощается, а некоторые тяжёлые медиаэлементы загружаются заранее.

Использование ссылок на AMP в фишинговых письмах позволяет обойти защитные механизмы электронной почты, не вызывая подозрений из-за репутации Google. Затем эти ссылки перенаправляют жертву на фишинговый вредоносный сайт.


uhcnf1q97tj4tu5oulrsp5319xurhu0v.png


Вредоносный URL скрытно вплетается в легитимный URL Google

Для просмотра ссылки Войди или Зарегистрируйся компании Cofense, объём атак с AMP резко вырос в середине июля, что говорит о распространении этого метода среди злоумышленников. Согласно информации исследователей, злоумышленники используют следующие тактики, чтобы повысить как свою скрытность, так и вероятность успешного исхода атаки:

  • Применение HTML-писем со встроенными картинками вместо текста. Это позволяет хакерам обойти сканеры текста, анализирующие письма на наличие типичных фишинговых фраз.
  • Многоступенчатые перенаправления через домены с высокой репутацией, такие как Microsoft и Google. Это затрудняет анализ ссылок и маскирует конечный фишинговый ресурс.
  • Использование CAPTCHA на фишинговых страницах. Это не позволяет автоматизированным сканерам добраться до вредоносного контента.
  • Имитация доверенных служб и сервисов, чтобы вызвать ложное чувство безопасности у жертвы.
  • Использование укороченных и закодированных ссылок, чтобы обойти проверки на наличие вредоносных URL.
  • Быстрая смена фишинговых доменов и страниц, которая делает чёрные списки неэффективными.
  • Рассылка фишинговых писем с разных почтовых ящиков и IP-адресов, имитирующая легитимную активность.
  • Добавление ложной персонализации, чтобы заставить жертву поверить в подлинность письма.

ehp0i7volp4412vrmb6dt1eq5o8zdrn3.png


Пример фишингового письма с использованием перечисленных уловок

В целом, участники фишинговых операций сегодня используют множество методов уклонения от обнаружения, которые всё больше затрудняют обнаружение угроз и их блокировку. Экспертам по кибербезопасности приходится постоянно совершенствовать методы защиты, чтобы успевать за изощрёнными тактиками мошенников.
 
Источник новости
www.securitylab.ru

Похожие темы