Охота на Office 365: приманка в картинке

Чтобы обойти механизмы анализа текста, злоумышленники рассылают фишинговые письма на картинках. Как не стать жертвой?

Современные антифишинговые и антиспам-решения для выявления нежелательных писем все чаще используют разнообразные варианты технологий машинного обучения. Для анализа текста применяются нейросети, которые не так просто обмануть. Поэтому злоумышленники начали очень активно применять простой, но действенный трюк — помещать весь текст на картинку. Причем картинку они встраивают в тело письма (в кодировке Base64), а не размещают на стороннем сайте, как это происходит обычно (в таком случае почтовый клиент просто не отобразил бы изображение в письме, пришедшем с адреса вне компании).

Целью большей части таких писем, как обычно, является выманивание учетных данных от Microsoft Office 365. В очередной раз мы бы хотели обратить ваше внимание на признаки мошенничества, которые позволят вам оставаться в безопасности.

Фишинговое письмо

По большому счету, письмо просто представляет собой картинку на белом фоне (это помогает ей сливаться с интерфейсом почтового клиента). Вот типичный пример фишингового письма такого рода:

Имитация письма о подтверждении учетной записи.

Начнем с того, что легальных причин, по которым современное письмо может оказаться картинкой, нет. Тем более письмо, сгенерированное автоматически (а извещение о необходимости верификации учетной записи — 100% автоматически созданное послание). Пользователю достаточно просто определить, что перед ним не текст, а картинка — курсор мыши не изменяется при подведении к гиперссылке или кнопке. Ведь здесь URL зашит под картинку, и, по сути, вся картинка является единой кнопкой/ссылкой.

Если у вас остаются сомнения, можете попробовать выделить часть текста или изменить размер окна почтового клиента. На картинке вам, разумеется, не удастся выделить слово, а при изменении масштабирования окна длина строк «письма» останется постоянной.

Не добавляет убедительности также и оформление письма в целом: обилие шрифтов, разные межстрочные интервалы, неоправданное использование знаков препинания — все это также признаки мошенничества. Конечно, ошибки допускают все, но обычно в Microsoft шаблоны для писем такого рода проверяются достаточно тщательно. Так что если письмо содержит такое количество откровенных ляпов, то это, скорее всего, фишинг.

Настораживает также и требование подтвердить учетную запись в течение 48 часов. Попытка убедить пользователя в том, что сроки поджимают — типичная психологическая уловка злоумышленников.

Фишинговый сайт

Сайт, на который жертву отправляли из этого письма, выглядит еще менее надежно. Надпись Create your website with WordPress.com явно дает понять, что сайт сделан на бесплатном хостинге WordPress. Если бы это был реальный сайт Microsoft, то он бы располагался на одном из доменов компании.

Нелепая имитация сайта Microsoft.
Ну и в целом — сайт с таким оформлением мог бы выглядеть настоящим с четверть века назад. Как выглядит современная страница входа в сервисы Microsoft, можно посмотреть на странице https://login.microsoftonline.com/.

Как оставаться в безопасности

Нормальное защитное решение определяет, фишинговое письмо или нет, на основании множества факторов, а не только путем анализа текста. Поэтому мы бы рекомендовали использовать современные механизмы почтовой защиты — такие, например, как мы используем в Kaspersky Security for Microsoft Office 365.

Кроме того, наличие дополнительного защитного решения на компьютере пользователя предотвратит переход по фишинговой ссылке, даже если злоумышленникам удастся каким-то образом подсунуть ее сотруднику вашей компании.

Ну и как обычно — не забывайте обучать сотрудников основам киберграмотности. Чем лучше они будут понимать, как действуют современные киберпреступники, тем меньше шансов, что попадутся на крючок фишеров.

Советы