В 2023 году «Лаборатория Касперского» обнаружила в России 80 тысяч фишинговых писем, отправленных с использованием IPFS

По данным «Лаборатории Касперского»*, в атаках через почту фишеры начали активно использовать технологию Web 3.0 ― IPFS. Злоумышленники размещают фишинговые HTML-файлы в IPFS**, чтобы сократить расходы на хостинг. Этот метод атакующие применяют и для массовых, и для целевых фишинговых атак. За первые три месяца 2023 года в компании обнаружили около 80 тысяч писем в России, отправленных подобным образом.

Как происходят атаки через IPFS. Злоумышленники размещают HTML-файлы с фишинговой формой в IPFS и используют шлюзы в качестве прокси-серверов, чтобы жертвы могли открыть файл вне зависимости от наличия на их устройствах IPFS-клиента. Ссылки на доступ к файлу через шлюз атакующие вставляют в фишинговые письма, которые рассылают потенциальным жертвам.

Использование распределённой файловой системы позволяет атакующим экономить на хостинге фишинговых страниц. Кроме того, из IPFS нельзя удалить файл, который размещен другим пользователем или несколькими пользователями. Если кто-то хочет, чтобы файл полностью исчез из системы, он может потребовать от его владельцев, чтобы они сами его удалили, но с мошенниками такой способ вряд ли сработает.

Особенности фишинговых писем и ссылок, отправленных через IPFS. Обычно фишинговые письма, содержащие IPFS-ссылку, не отличаются оригинальностью — это типичный фишинг, цель которого — получить логин и пароль от учётной записи жертвы.

Иначе дело обстоит с HTML-страницей, которая находится по ссылке. В параметре URL содержится электронный адрес получателя. Если его поменять, то изменится и содержимое страницы: логотип компании над фишинговой формой и электронный адрес, введённый в поле логина. Таким образом, одну ссылку можно использовать в нескольких фишинговых кампаниях, нацеленных на разных пользователей, а иногда и в нескольких десятках кампаний.

Фишинговая HTML-страница

«Злоумышленники использовали и будут продолжать использовать передовые технологии в своих целях. В последнее время мы наблюдаем рост количества фишинговых атак через IPFS — как массовых, так и целевых. Распределённая файловая система позволяет мошенникам сэкономить на покупке домена. Плюс полностью удалить файл непросто, хотя попытки борьбы с мошенничеством на уровне шлюза IPFS есть. Хорошая новость заключается в том, что антиспам-решения обнаруживают и блокируют ссылки на фишинговые файлы в IPFS, как и любые другие фишинговые ссылки. В частности, решения „Лаборатории Касперского“ используют ряд эвристик, нацеленных на выявление фишинга через IPFS», — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по анализу спама.

Ознакомиться с подробным отчётом «Лаборатории Касперского» о IPFS-фишинге можно на Securelist.ru: https://securelist.ru/ipfs-phishing/107051.

Для защиты от этой и других фишинговых ловушек «Лаборатория Касперского» рекомендует компаниям:

• регулярно проводить тренинги по кибербезопасности для сотрудников, а затем симулированные фишинговые атаки, чтобы проверить, научились ли они распознавать их;
• использовать защитные решения с антифишинговыми технологиями не только на почтовых серверах компании, но и на рабочих устройствах сотрудников;
• установить решение Kaspersky Security для Microsoft 365 с антиспам- и фишинговыми технологиями, которое защищает пользователей приложений SharePoint, Teams, OneDrive.

* Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» в первом квартале 2023 года

**IPFS (InterPlanetary File System) — одноранговая распределённая файловая система, позволяющая пользователям по всему миру обмениваться файлами. В отличие от централизованных систем, в IPFS используется адресация по уникальному идентификатору файла (CID, content identifier), а не по пути к нему. Сам файл при этом находится на компьютере пользователя, «загрузившего» его в систему, и скачивается напрямую с этого компьютера.