Отложенный фишинг и как с ним бороться

Фишинговые ссылки в письмах, адресованных сотрудникам компаний, часто активизируются после первичной проверки. Но их все равно можно и нужно ловить.

Фишинг — один из основных инструментов атаки на корпоративные сети. Неудивительно, что фильтры против него и детекторы вредоносных адресов стоят везде: у провайдеров электронной почты, на почтовых шлюзах, даже в браузерах. Поэтому злоумышленники постоянно придумывают и совершенствуют методы обхода. Один из них — отложенный фишинг.

Что такое отложенный фишинг?

Отложенный фишинг — это попытка заманить жертву на вредоносный или поддельный сайт при помощи техники Post-Delivery Weaponized URL. Как следует из названия, ее суть сводится к замене контента сайта на вредоносный уже после доставки письма жертве. То есть она получает e-mail со ссылкой, которая ведет либо в никуда, либо на легитимный ресурс, который может быть уже скомпрометирован, но еще не содержит вредоносного контента. Так письмо с легкостью проходит все фильтры: алгоритмы находят содержащийся в тексте URL, сканируют сайт, не видят в нем опасности и пропускают послание в почтовый ящик жертвы.

Через некоторое время после доставки (гарантированно после того, как письмо было доставлено, но по возможности до того, как его прочитает жертва) злоумышленники поднимают заранее подготовленную фишинговую страницу или активируют вредоносное содержимое на прежде безвредном сайте. Там может оказаться любая уловка — от воспроизведенного интерфейса банковского сайта до эксплойта для браузера, который попробует загрузить жертве вредоносное ПО. Но согласно исследованию, проведенному нашим экспертом Олегом Сикорским, в 80% случаев там встречается именно фишинговый сайт.

Как обманывают антифишинговые алгоритмы?

Чтобы обмануть алгоритм, злоумышленники используют один из трех методов.

  • Простая ссылка. Она ведет на контролируемый злоумышленниками сайт — созданный заново либо взломанный и захваченный. Киберпреступники предпочитают именно захваченные сайты, потому что они, как правило, пользуются положительной репутацией, что является явным плюсом с точки зрения защитных алгоритмов. На момент доставки за ссылкой находится либо бессмысленная заглушка, либо (чаще) страница ошибки с кодом 404.
  • Короткая ссылка. В Интернете достаточно сервисов, которые позволяют сделать из длинного URL — короткий. Задуманы они для того, чтобы упростить жизнь пользователям: те могут поделиться короткой, легко запоминающейся ссылкой, которая при переходе разворачивается в полноценную. То есть срабатывает простой редирект. Некоторые сервисы позволяют менять содержимое, спрятанное внутри короткой ссылки. Такими и пользуются злоумышленники: во время доставки письма URL ведет на легитимный сайт, а через некоторое время начинает перенаправлять на вредоносный.
  • Рандомизированная короткая ссылка. Еще более редкий случай. Некоторые из сервисов для укорачивания ссылок позволяют задавать вероятностное перенаправление. То есть при переходе по ссылке вы с вероятностью 50% попадете на google.com, а 50% — на фишинговый сайт. Мы предполагаем, что злоумышленники при помощи таких ссылок реализуют описанный выше сценарий с обычной короткой ссылкой, но при активации перенаправления на вредоносную страницу подмешивают вероятность попасть на легитимный сайт. По всей видимости, чтобы сбить с толку программы для автоматического сбора информации (crawler).

Когда ссылка становится вредоносной?

Чаще всего злоумышленники исходят из предпосылки, что их жертва спит по ночам. Поэтому письма с отложенным фишингом рассылают после полуночи, а вредоносными они становятся через несколько часов, ближе к рассвету. Если посмотреть на статистику срабатываний антифишинговых программ, то можно увидеть пик в районе 7–10 часов утра. Это проснувшиеся пользователи начали переходить по присланным ночью ссылкам, которые по факту уже стали вредоносными.

Впрочем, не следует забывать и о целевом фишинге. Если злоумышленники атакуют конкретную жертву, то они могут изучить ее распорядок дня, выяснить, когда она читает почту, и активировать вредоносную ссылку, подстроившись под ее расписание.

Как поймать отложенный фишинг?

Поскольку в идеале нам нужно не допустить, чтобы фишинговая ссылка дошла до пользователя, самым правильным было бы повторно проверять письма, которые уже лежат в почтовых ящиках. И в некоторых случаях это реально. Например, если в вашей организации используется почтовый сервер Microsoft Exchange.

Обновленное в сентябре этого года приложение Kaspersky Security for Microsoft Exchange Server поддерживает интеграцию с почтовым сервером через нативный API, что позволяет перепроверять то, что уже лежит в почтовых ящиках. Если грамотно настроить время сканирования, то это позволит выявить попытки отложенного фишинга, не создавая дополнительной нагрузки на сервер в почтовый час пик.

Кроме того, наше решение позволяет наблюдать и за внутренней почтой (не проходящей через почтовый шлюз безопасности, а потому недоступной его фильтрам и сканирующим движкам), а также реализовывать более сложные правила контентной фильтрации. В особо опасных случаях Business E-mail Compromise (компрометация бизнес-переписки, BEC), связанных с получением хакерами доступа к учетной записи корпоративной почты, особенно важно иметь возможность перепроверять содержимое ящиков и контролировать внутреннюю переписку.

Kaspersky Security for Microsoft Exchange Server входит в состав решений Kaspersky Security для почтовых серверов и Kaspersky Total Security для бизнеса.

Советы