Не дайте себя обмануть этими передовыми методами фишинга

Дядя Влад

Многие мошеннические электронные письма до боли очевидны для опытных пользователей Интернета. Орфографические ошибки, абсурдные сценарии и сомнительные вложения обычно явные признаки зла.

В действительности, однако, не все попытки фишинга настолько вопиющие, и если предположить, что они таковы, это может привести к ложному чувству безопасности. Некоторые из них созданы настолько тщательно, что способны обмануть даже самых опытных пользователей.

Фишинговые сообщения электронной почты особенно убедительны, когда они злоупотребляют некоторыми из передовых методов, которые мы обсуждаем в этой статье.

Когда мы думаем об уязвимостях веб-сайтов, на ум приходят образы крупномасштабных взломов и катастрофических утечек данных . Но наиболее распространенные уязвимости гораздо более прозаичны.

Обычно они не приводят к полному захвату веб-сайта, а вместо этого дают злоумышленникам небольшую выгоду, такую ​​как доступ к некоторой конфиденциальной информации или возможность вставить немного вредоносного кода на страницу.

Определенные типы уязвимостей позволяют использовать домен сайта для создания URL-адреса, который, кажется, исходит от страницы сайта, но на самом деле находится под контролем хакера.

Эти «законные» URL-адреса чрезвычайно полезны для мошенников по электронной почте, потому что они с большей вероятностью обойдут фильтры или ускользнут от внимания жертв.

Открытые перенаправления

На веб-сайтах часто возникает необходимость перенаправить пользователей на другой сайт (или на другую страницу того же сайта) без использования обычной ссылки. URL-адрес перенаправления может иметь следующую форму:

 http://vulnerable.com/go.php?url=<some url>

Это может помочь компаниям отслеживать важные данные, но становится проблемой безопасности, когда любой может использовать перенаправление для создания ссылки на любую страницу в Интернете.

Например, мошенник может использовать ваше доверие к уязвимому.com, чтобы создать ссылку, которая фактически отправит вас на evil.com :

 http://vulnerable.com/go.php?url=http://evil.com

В поиске Google есть вариант этой проблемы. Каждая ссылка, которую вы видите на странице результатов поиска, на самом деле является переадресацией от Google, которая выглядит примерно так:

 https://www.google.com/url?<some parameters>&ved=<some token>&url=<site's url>&usg=<some token>

Это помогает им отслеживать клики для аналитических целей, но также означает, что любая страница, проиндексированная Google, фактически генерирует ссылку перенаправления из собственного домена Google, которая может использоваться для фишинга.

Фактически, это уже несколько раз эксплуатировалось в дикой природе, но Google, по-видимому, не считает это достаточной уязвимостью для удаления функции перенаправления.

Межсайтовый скриптинг

Межсайтовый скриптинг (обычно сокращенный до XSS) происходит, когда сайт не очищает должным образом ввод от пользователей, позволяя хакерам вставлять вредоносный код JavaScript.

JavaScript позволяет изменять или даже полностью переписывать содержимое страницы.

XSS принимает несколько распространенных форм:

  • Отраженный XSS : вредоносный код является частью запроса к странице. Это может быть URL-адрес, например http://vulnerable.com/message.php?<script src = evil.js> </script>
  • Сохраненный XSS : код JavaScript хранится непосредственно на собственном сервере сайта. В этом случае фишинговая ссылка может быть полностью законным URL-адресом, в самом адресе которого нет ничего подозрительного.

Связанный: Как хакеры используют межсайтовый скриптинг

Не обманывайтесь

Чтобы не попасть в ловушку одной из этих сомнительных ссылок, внимательно прочитайте целевой URL всех ссылок, которые встречаются в ваших электронных письмах, уделяя особое внимание всему, что может выглядеть как перенаправление или код JavaScript.

Честно говоря, это не всегда легко. Большинство из нас привыкло видеть URL-адреса сайтов, которые мы посещаем, с кучей «мусора», прикрепленным после домена, и многие сайты используют перенаправление в своих законных адресах.

Кодирование URL-адресов – это способ представления символов с помощью знака процента и пары шестнадцатеричных символов, используемых для символов в URL-адресах, которые могут запутать ваш браузер. Например, / (косая черта) кодируется как % 2F .

Рассмотрим следующий адрес:

 http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

После декодирования кодировки URL-адреса она принимает следующий вид:

 http://vulnerable.com/go.php?url=http://evil.com

Да, это открытый редирект!

Злоумышленник может воспользоваться этим двумя способами:

  • Некоторые плохо спроектированные фильтры безопасности электронной почты могут некорректно декодировать URL-адреса перед их сканированием, позволяя пройти явно вредоносным ссылкам.
  • Вы, как пользователь, можете быть введены в заблуждение странной формой URL-адреса.

Воздействие зависит от того, как ваш браузер обрабатывает ссылки с символами в кодировке URL. В настоящее время Firefox полностью декодирует их все в строке состояния, что устраняет проблему.

Chrome же лишь частично их декодирует, показывая в строке состояния следующее:

 vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Этот метод может быть особенно эффективным в сочетании с одним из вышеперечисленных методов для создания вредоносной ссылки из доверенного домена.

Как избежать обмана : опять же, внимательно проверьте URL-адреса любых ссылок, которые встречаются в электронных письмах, уделяя особое внимание потенциальным символам, закодированным в URL-адресах. Следите за любыми ссылками, в которых много знаков процента. В случае сомнений вы можете использовать декодер URL-адресов, чтобы увидеть истинную форму URL-адреса.

Расширенные методы обхода фильтров

Некоторые методы специально направлены на обмана фильтров электронной почты и антивирусного программного обеспечения, а не самих жертв.

Изменение логотипов брендов для обхода фильтров

Мошенники часто выдают себя за доверенные компании, размещая их логотипы в фишинговых письмах. Чтобы бороться с этим, некоторые фильтры безопасности будут сканировать изображения любых входящих писем и сравнивать их с базой данных известных логотипов компаний.

Это работает достаточно хорошо, если изображение отправляется без изменений, но часто достаточно внести несколько тонких изменений в логотип, чтобы обойти фильтр.

Обфусцированный код во вложениях

Хорошая система защиты электронной почты будет сканировать каждое вложение на наличие вирусов или известных вредоносных программ, но часто не очень сложно обойти эти проверки. Обфускация кода – один из способов сделать это: злоумышленник превращает вредоносный код в сложный запутанный беспорядок. Вывод такой же, но код сложно расшифровать.

Вот несколько советов, которые помогут не попасть в ловушку этих приемов:

  • Не доверяйте автоматически изображениям, которые вы видите в электронных письмах.
  • Подумайте о том, чтобы полностью заблокировать изображения в своем почтовом клиенте.
  • Не загружайте вложения, если вы полностью не доверяете отправителю.
  • Помните, что даже прохождение проверки на вирусы не гарантирует, что файл будет чистым.

Связано: Самые безопасные и зашифрованные провайдеры электронной почты

Фишинг никуда не денется

По правде говоря, не всегда легко обнаружить попытки фишинга. Спам-фильтры и программное обеспечение для мониторинга продолжают совершенствоваться, но многие вредоносные электронные письма по-прежнему остаются незамеченными. Даже опытных продвинутых пользователей можно обмануть, особенно если атака включает особо сложные методы.

Но небольшая осознанность имеет большое значение. Ознакомившись с методами мошенников и соблюдая передовые методы безопасности, вы можете снизить свои шансы стать жертвой.