Отложенный фишинг. Расскажем как победить

Очень часто на адреса сотрудников компании приходят письма, содержащие фишинговые ссылки. Они активизируются после первичной проверки, но их можно поймать. 

Чтобы защитить корпоративные сети, давно придуманы специальные детекторы, которые внедряются повсеместно: и у провайдеров электронной почты, и в браузерах.  Злоумышленникам приходится включать всю свою изобретательность, чтобы придумать новые способы обхода. Поговорим об одном из них — отложенный фишинг.

Немного теории

Дадим определение “отложенному фишингу”. Если вас пытаются заманить на поддельный (вредоносный) сайт - это отложенный фишинг. Делается это при помощи техники Post-Delivery Weaponized URL. Если перевести, то вся суть сводится к замене контента сайта на вредоносный уже после доставки письма жертве. Данные письма очень легко проходят сквозь все фильтры и барьеры, т.к. URL в тексте сканируется, но опасности в нем не находится. 

Все самое интересное происходит уже после доставки письма. Жертва не успевает прочесть письмо (это идеальный сценарий), а в этот момент злоумышленники подменяют страницу, либо активируют вредоносное содержимое. 

Как же злоумышленники обходят анитифишинговые алгоритмы?

Существуют три способа, которыми пользуются злоумышленники

• Обычная ссылка. Чаще всего преступники предпочитают захватывать чужие сайты. Как правило у этих сайтов есть положительная репутация, а значит это гарантия того, что фильтры, с большей вероятностью, доверяться такому сайту

• Короткая ссылка. Существуют сервисы, позволяющие сделать из длинного URL — короткий. При переходе с короткой ссылки разворачивается полноценная страница. Иными словами — редирект. Как раз в этот момент злоумышленники и совершают подмену, перенаправляя на нужный им вредоносный сайт. 

• Короткая ссылка — рандом. Некоторые из вышеупомянутых сервисов позволяют задать вероятностное перенаправление. Это отличный способ сбить с толку программы для автоматического сбора информации. 

Важно знать, что ссылка становится вредоносной, как правило по ночам. Тут все очень логично. Ночью люди спят, а не разгребают почтовые ящики. Соотвенно, меньше вероятности, что письмо будет прочитано адресатом раньше, чем состоялась подмена. Фишинговые рассылки происходят после полуночи, а уже через пару часов они становятся вредоносными. 

Вы удивитесь, но фишинг может быть целевым. Злоумышленники могут атаковать конкретную жертву, прежде досконально изучив ее распорядок дня. Вся кампания строится вокруг расписания. 

Самым правильным действием для защиты от фишинга (главным образом отложенного), является повторная проверка писем лежащих в почтовых ящиках.

Большинство современных антивирусных решений позволяют это делать в автоматическом режиме. Мы готовы подобрать специально для вас оптимальное решение.