Угроза может быть актуальна для сотрудников российских компаний, в том числе из малого и среднего бизнеса
«Лаборатория Касперского» обнаружила, что злоумышленники используют Bubble — платформу для разработки и размещения веб- и мобильных приложений без написания кода, чтобы создавать с её помощью промежуточные онлайн-ресурсы, с которых пользователь попадает на фишинговый сайт. Это новая фишинговая техника, которую злоумышленники применяют для обхода традиционных средств защиты. Конечная цель атак — кража учётных данных для входа на корпоративные ресурсы. Угроза может коснуться бизнеса любого масштаба, в том числе небольших предприятий.
Как начинается атака. Сотрудник компании получает письмо на корпоративную почту, в котором ему сообщают о необходимости ознакомиться или подписать некий документ в рамках работы по документообороту. В обращении содержится ссылка, по которой якобы надо перейти, чтобы открыть нужный текст.
Суть новой техники злоумышленников. Bubble работает следующим образом: на платформе можно описать необходимую функциональность, чтобы сгенерировать готовое решение, например создать сайт. Он размещается в инфраструктуре Bubble, а значит имеет доверенный домен *.bubble.io. Фишеры пользуются этой возможностью и создают легитимное веб-приложение, с которого осуществляется автоматический редирект жертвы на убедительную подделку страницы для входа в сервисы Microsoft, защищённую проверками Cloudflare. Если на ней ввести логин и пароль, данными смогут воспользоваться злоумышленники.
Мошенники делают ставку на то, что домен, на котором располагается промежуточный ресурс, относится к известным источникам, поэтому добавленная в фишинговое письмо ссылка может пройти проверку безопасности внутренних систем компаний.
«В традиционных фишинговых атаках обычно используются вредоносные ссылки или очевидные методы перенаправления, которые, как правило, обнаруживаются и блокируются современными системами безопасности. Однако теперь злоумышленники используют бескодовую среду Bubble для создания промежуточных веб‑приложений, размещённых в легитимной инфраструктуре платформы и на доверенных доменах. Это повышает их достоверность и свидетельствует об эволюции тактик злоумышленников с целью обхода блокировок. В результате как самим пользователям, так и автоматическим системам становится всё сложнее отличать безопасный контент от вредоносного», — комментирует Роман Деденок, эксперт «Лаборатории Касперского» по кибербезопасности.
Для защиты от подобных атак «Лаборатория Касперского» рекомендует организациям:
- проводить тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга, например с помощью онлайн-платформы Kaspersky Automated Security Awareness Platform;
- использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR, такое как Kaspersky Security для почтовых серверов в расширенной версии KSMS Plus;
- защищать конечные устройства с помощью решений вендора, эффективность технологий которого подтверждается независимыми тестами, к примеру Kaspersky Security для бизнеса;
- более крупному бизнесу — применять комплексные решения, позволяющие выстроить гибкую и эффективную систему безопасности, такие как Kaspersky Symphony XDR.
