Механики фишинговых атак на компании продолжают упрощаться
«Лаборатория Касперского» выявила, что злоумышленники начали использовать во вредоносных целях ещё один легитимный сервис. На этот раз речь о платформе для создания и размещения веб-приложений Tencent EdgeOne Pages. Атакующие обращаются к её возможностям, чтобы генерировать фишинговые письма, нацеленные на корпоративных пользователей. В числе обнаруженных мишеней — сотрудники государственных предприятий, хотя потенциально получить такое письмо может работник любой отрасли. Цель атаки — кража учётных данных для входа на корпоративные ресурсы. За последние 30 дней эксперты компании обнаружили более 8 тысяч подобных писем, среди них есть сообщения и на русском языке.
Как начинается атака. Пользователь получает письмо якобы от службы поддержки корпоративной почты. В сообщении говорится, что учётные данные для входа в аккаунт истекают через 48 часов, а если их не обновить, могут возникнуть проблемы с получением или отправкой писем. Чтобы избежать ограничений, пользователю предлагают перейти по ссылке и внести актуальную информацию. При этом внутри письма может быть не только эта легенда, а практически любая корпоративная повестка, например сообщение от отдела кадров или уведомление о полученном документе.
Если перейти по ссылке из письма, откроется страница с формой ввода имени, почтового адреса и пароля. Выполнена она максимально просто, практически без дополнительных элементов оформления. После ввода пользователем логина и пароля данные передаются на сервер, контролируемый атакующими.
Ф-ИИ-шинг за секунду. Эксперты отмечают, что основной интерес представляют не схема обмана или внешний вид фишинговой страницы, а сама техника атаки и используемая инфраструктура. Используемый злоумышленниками сервис Tencent EdgeOne Pages позиционируется как платформа для быстрого создания и развёртывания веб-приложений с использованием ИИ. Это позволяет мошенникам за секунды генерировать и публиковать фишинговые страницы практически без навыков веб-разработки. Платформа даёт возможность размещать мошеннические ресурсы в легитимной облачной инфраструктуре и использовать доверенные домены. В результате с точки зрения защитных технологий такие сайты могут выглядеть как давно работающие, безопасные ресурсы, что осложняет обнаружение подобных атак.
«Мы видим продолжение тренда, когда злоумышленники начинают применять ИИ- и no-code-платформы как часть фишинговой инфраструктуры. Ранее мы уже наблюдали похожую схему с использованием платформы Bubble, а теперь видим новые примеры. Пока такие страницы могут выглядеть достаточно примитивно, однако сама техника проведения атаки значительно снижает порог входа для злоумышленников и ускоряет создание фишинговых ресурсов. Если раньше для этого требовались хотя бы базовые навыки веб-разработки, то теперь инфраструктуру для мошеннических рассылок можно организовать за минуты», — комментирует Роман Деденок, эксперт по кибербезопасности в «Лаборатории Касперского».
Для защиты от подобных атак «Лаборатория Касперского» рекомендует организациям:
- проводить тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus;
- защищать конечные устройства с помощью решений вендора, эффективность технологий которого подтверждается независимыми тестами, к примеру Kaspersky Security для бизнеса;
- более крупному бизнесу — применять комплексные решения, позволяющие выстроить гибкую и эффективную систему безопасности, такие как Kaspersky Symphony XDR.
