Не дайте себя обмануть этим передовым методам фишинга

Многие мошеннические электронные письма до боли очевидны для опытных пользователей Интернета. Орфографические ошибки, абсурдные сценарии и сомнительные вложения обычно явные признаки зла.

В действительности, однако, не все попытки фишинга настолько вопиющие и предполагающие, что они таковы, могут привести к ложному чувству безопасности. Некоторые из них созданы настолько тщательно, что способны обмануть даже самых опытных пользователей.

Фишинговые сообщения электронной почты особенно убедительны, когда они злоупотребляют некоторыми из передовых методов, которые мы обсуждаем в этой статье.

Когда мы думаем об уязвимостях веб-сайтов, мы видим изображения масштабных взломов и катастрофические утечки данных приходит на ум. Но наиболее распространенные уязвимости гораздо более прозаичны.

Обычно они не приводят к полному захвату веб-сайта, а вместо этого дают злоумышленникам небольшую выигрыш, например, доступ к некоторой привилегированной информации или возможность вставить немного вредоносного кода в страница.

Определенные типы уязвимостей позволяют использовать домен сайта для создания URL-адреса, который, похоже, исходит от страницы сайта, но на самом деле находится под контролем хакера.

Эти «законные» URL-адреса чрезвычайно полезны для мошенников по электронной почте, потому что они с большей вероятностью обойдут фильтры или ускользнут от внимания жертв.

Открытые перенаправления

На веб-сайтах часто возникает необходимость перенаправить пользователей на какой-либо другой сайт (или на другую страницу того же сайта) без использования обычной ссылки. URL-адрес перенаправления может иметь следующую форму:

http://vulnerable.com/go.php? url =

Это может помочь компаниям отслеживать важные данные, но становится проблемой безопасности, когда любой может использовать перенаправление для создания ссылки на любую страницу в Интернете.

Например, мошенник может воспользоваться вашим доверием уязвимый.com чтобы создать ссылку, которая фактически отправит вас на evil.com:

http://vulnerable.com/go.php? url = http://evil.com

Перенаправление в поиске Google

В поиске Google есть вариант этой проблемы. Каждая ссылка, которую вы видите на странице результатов поиска, на самом деле является переадресацией от Google, которая выглядит примерно так:

https://www.google.com/url?& ved =& url =& usg =

Это помогает им отслеживать клики в целях аналитики, но также означает, что любая проиндексированная страница от Google фактически создает ссылку переадресации из собственного домена Google, которая может использоваться для фишинг.

Фактически, это уже эксплуатировался несколько раз в дикой природе, но Google, по-видимому, не считает это достаточной уязвимостью, чтобы удалить функцию перенаправления.

Межсайтовый скриптинг

Межсайтовый скриптинг (обычно сокращается до XSS) происходит, когда сайт не обрабатывает вводимые пользователем данные должным образом, что позволяет хакерам вставлять вредоносный код JavaScript.

JavaScript позволяет изменять или даже полностью переписывать содержимое страницы.

XSS принимает несколько распространенных форм:

• Отраженный XSS: Вредоносный код является частью запроса к странице. Это может быть URL-адрес, например http://vulnerable.com/message.php?
• Сохраненный XSS: Код JavaScript хранится непосредственно на собственном сервере сайта. В этом случае фишинговая ссылка может быть полностью законным URL-адресом, в самом адресе которого нет ничего подозрительного.

Связанный: Как хакеры используют межсайтовый скриптинг

Не обманывайтесь

Чтобы не попасть в ловушку одной из этих сомнительных ссылок, внимательно прочтите целевой URL всех ссылок, которые вы переходите. в письмах, обращая особое внимание на все, что может выглядеть как перенаправление или JavaScript. код.

Честно говоря, это не всегда легко. Большинство из нас привыкло видеть URL-адреса сайтов, которые мы посещаем, с кучей «мусора», прикрепленным после домена, и многие сайты используют перенаправление в своих законных адресах.

Кодирование URL-адресов - это способ представления символов с помощью знака процента и пары шестнадцатеричных символов, используемых для символов в URL-адресах, которые могут ввести в заблуждение ваш браузер. Например, / (косая черта) кодируется как % 2F.

Рассмотрим следующий адрес:

http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6D

После декодирования кодировки URL-адреса она принимает следующий вид:

http://vulnerable.com/go.php? url = http://evil.com

Да, это открытый редирект!

Злоумышленник может воспользоваться этим двумя способами:

• Некоторые плохо спроектированные фильтры безопасности электронной почты могут некорректно декодировать URL-адреса перед их сканированием, позволяя пройти явно вредоносным ссылкам.
• Вы, как пользователь, можете быть введены в заблуждение странной формой URL-адреса.

Воздействие зависит от того, как ваш браузер обрабатывает ссылки с символами в кодировке URL. В настоящее время Firefox полностью декодирует их все в строке состояния, что устраняет проблему.

Chrome же лишь частично их декодирует, показывая в строке состояния следующее:

уязвимый.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.com

Этот метод может быть особенно эффективным в сочетании с одним из вышеперечисленных методов для создания вредоносной ссылки из доверенного домена.

Как избежать обмана: Опять же, внимательно проверяйте URL-адреса любых ссылок, с которыми вы сталкиваетесь в электронных письмах, обращая особое внимание на потенциальные символы в кодировке URL. Следите за любыми ссылками, в которых много знаков процента. Если сомневаетесь, вы можете использовать Декодер URL чтобы увидеть истинную форму URL.

Расширенные методы обхода фильтров

Некоторые методы специально направлены на обмана фильтров электронной почты и антивирусного программного обеспечения, а не самих жертв.

Изменение логотипов брендов для обхода фильтров

Мошенники часто выдают себя за доверенные компании, размещая их логотипы в фишинговых письмах. Чтобы бороться с этим, некоторые фильтры безопасности будут сканировать изображения любых входящих писем и сравнивать их с базой данных известных логотипов компаний.

Это работает достаточно хорошо, если изображение отправляется без изменений, но часто достаточно внести несколько тонких изменений в логотип, чтобы обойти фильтр.

Обфусцированный код во вложениях

Хорошая система защиты электронной почты будет сканировать каждое вложение на наличие вирусов или известных вредоносных программ, но часто не очень сложно обойти эти проверки. Обфускация кода - один из способов сделать это: злоумышленник превращает вредоносный код в сложный запутанный беспорядок. Вывод такой же, но код сложно расшифровать.

Вот несколько советов, которые помогут не попасть в ловушку этих приемов:

• Не доверяйте автоматически изображениям, которые вы видите в электронных письмах.
• Подумайте о том, чтобы полностью заблокировать изображения в своем почтовом клиенте.
• Не загружайте вложения, если вы полностью не доверяете отправителю.
• Помните, что даже прохождение проверки на вирусы не гарантирует, что файл будет чистым.

Связанный: Самые безопасные и зашифрованные провайдеры электронной почты

Фишинг никуда не денется

По правде говоря, не всегда легко обнаружить попытки фишинга. Спам-фильтры и программное обеспечение для мониторинга продолжают совершенствоваться, но многие вредоносные электронные письма по-прежнему остаются незамеченными. Даже опытных продвинутых пользователей можно обмануть, особенно если атака включает особо сложные методы.

Но небольшая осознанность имеет большое значение. Ознакомившись с методами мошенничества и соблюдая передовые методы безопасности, вы можете снизить свои шансы стать жертвой.

Как улучшить внимательность с помощью передовых методов безопасности

Вы переживаете из-за возможных кибератак? Вот как хорошие практики безопасности могут помочь повысить внимательность.

Об авторе