По данным BI.ZONE, в 2023 году с фишинговой рассылки начинались 68% целевых атак на российские компании, а в первом квартале 2024 года этот показатель колебался от 70 до 80%. При этом мошенники постоянно расширяют и модифицируют свой арсенал. В этом году одними из самых популярных методов маскировки нежелательного контента остаются фишинг с использованием QR-кодов (квишинг) и разные методы сокрытия вредоносных ссылок: за HTTP-якорями, query-параметрами, редко встречающимися символами и знаками препинания.
Ссылки в QR-кодах в большинстве случаев ведут на сайты, правдоподобно имитирующие страницы известных компаний или сервисов. Например, в одной из квишинговых рассылок, которые BI.ZONE CESP обнаружил и заблокировал в первом квартале 2024 года, QR-код вел на поддельную страницу входа в известный почтовый клиент. Если бы пользователь ввел свои логин и пароль, данные отправились бы напрямую к злоумышленникам, а на странице появилось бы оповещение об ошибке.
В свою очередь, HTTP-якори и query-параметры использовались для сокрытия вредоносных ссылок в 30% фишинговых рассылок (по данным BI.ZONE CESP за первый квартал 2024 года). В обычных ссылках HTTP-якори позволяют пользователю переходить сразу на нужный раздел сайта; query-параметры упрощают работу со страницей: навигацию, поиск в каталоге; а владельцы страниц используют их, чтобы собирать и систематизировать информацию о посещениях сайта.
Согласно стандарту RFC 3986, регулирующему структуру и синтаксис URL, браузеры не должны обрабатывать эти символы при переходе по ссылке, если они находятся за специальными разделителями. На практике такие знаки все равно часто учитываются, чем и пользуются мошенники: они добавляют в легитимную на вид ссылку скрытые вредоносные элементы.
Среди других популярных методов преступников: добавление во вредоносные ссылки иноязычных знаков препинания или редко используемых символов, которые могут помешать защитным механизмам распознать URL; массовые рассылки со скрытым числом получателей, поскольку чем шире аудитория, тем больше шансов на результат.
По данным BI.ZONE, в 2023 году преступникам удалось с помощью всего одной рассылки с вредоносным ПО за 24 часа скомпрометировать более 400 российских компаний. А в ходе одной из самых массовых кампаний, обнаруженных и заблокированных BI.ZONE CESP в 2024 году, мошенники попытались разослать письма с вредоносными QR-кодами более чем 4000 пользователей.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:
"С помощью машинного зрения BI.ZONE CESP теперь распознает QR-коды и анализирует содержащиеся в них ссылки. Мы также улучшили механизм парсинга URL, чтобы вредоносные техники нельзя было скрыть за query-параметрами или HTTP-якорями, и постоянно расширяем для наших парсеров набор считываемых символов и форматов, чтобы выявлять любые попытки необычной кодировки.
Кроме того, обновленный сервис BI.ZONE CESP фиксирует техники, которые злоумышленники используют, чтобы скрыть большое число получателей письма. Для таких писем автоматически повышается спам-рейтинг, и они отправляются в карантин, даже если остальные механизмы проверки не зафиксировали в рассылке вредоносной составляющей".
Благодаря расширенной интеграции с BI.ZONE Security Fitness, платформой для повышения киберграмотности сотрудников, в обновленном BI.ZONE CESP улучшена защита от методов социальной инженерии. По итогам тренировок на BI.ZONE Security Fitness формируется рейтинг пользователей, который показывает, кто из них потенциально уязвим к социотехническим атакам. Для таких сотрудников карантин писем будет более строгим и охватит все письма с малейшим подозрением на фишинг. Это снизит вероятность, что такое сообщение будет открыто и спровоцирует компрометацию всей корпоративной инфраструктуры.
Помимо используемых злоумышленниками тактик и техник специалисты BI.ZONE CESP следят на новыми уязвимостями в ПО, которое участвует в SMTP-диалоге. Если для какой-либо уязвимости необходимо манипулировать почтовым трафиком, в BI.ZONE CESP для нее оперативно создаются защитные правила, которые позволяют пользователям обезопасить себя до появления патчей. Это особенно актуально для ПО, которое не обновляется в России официально.
Только за последние 10 месяцев специалисты BI.ZONE CESP закрыли критические уязвимости CVE-2024-21413 (уровень опасности по шкале CVSS — 9,8 из 10 баллов) и CVE-2023-34192 (уровень опасности — 9 из 10). Кроме того, BI.ZONE CESP подтвердил свою устойчивость к ряду уязвимостей среднего уровня критичности SMTP Smuggling (CVE-2023-51764, CVE-2023-51765, CVE-2023-51766) — они активно эксплуатируются при рассылке фиктивных писем от чужого имени.
Важной частью обновления BI.ZONE CESP стало расширение возможностей администрирования на стороне клиента, в том числе при самостоятельной работе с журналом сообщений. Теперь администратор может отправить себе на электронную почту выдачу по любому фильтру журнала. В CSV-документе по каждому письму будут указаны: дата и время, идентификаторы соединения и сообщения, IP-адрес отправителя, email-адреса отправителя и получателя, тема, размер сообщения в байтах, рейтинг статус доставки и действия BI.ZONE CESP.
Сам журнал стал подробнее. В обновленных карточках есть информация о присутствии письма в белом или черном списке по какой-либо характеристике отправителя, получателя или IP-адреса; при наличии ссылок — веб-категориях соответствующих доменов, ссылки на которые содержатся в письме; сработавших правилах расширенного списка. Каждое свойство можно рассмотреть в деталях. Кроме того, теперь появились фильтры по статусу доставки сообщения, категории URL в письме, ответу почтового сервера во время доставки и защищаемому домену.
Процесс настройки конфигурации защищаемых доменов стал прозрачнее. Теперь, когда процесс находится на стороне инженеров BI.ZONE CESP, заказчик может увидеть, какую из четырех стадий он проходит: синхронизация, проверка SMTP-серверов, отправка тестового письма или ожидание изменения MX-записей. На каждой из стадий можно запустить проверку и увидеть актуальный статус.