- 27,070
- 46
- 8 Ноя 2022
Разбираемся, почему привычка доверять глазам в интернете становится всё более опасной роскошью.
За последний месяц аналитики Barracuda зафиксировали сразу несколько новых почтовых атак, нацеленных на компании и сотрудников организаций. Общая тенденция очевидна — злоумышленники всё чаще используют нестандартные технические приёмы и психологическое давление, чтобы обходить фильтры защиты и вызывать доверие у получателей писем.
Одной из наиболее заметных схем стало использование набора Tycoon, в котором вредоносные QR-коды формируются не в виде изображений, а с помощью HTML-таблиц. Код собирается из множества мелких ячеек, окрашенных в чёрный и белый цвет, которые визуально выглядят как обычный QR-код в почтовых клиентах. При этом в письме отсутствует картинка, ссылка и графический файл, поэтому автоматические системы часто не распознают угрозу. После сканирования такого кода пользователь попадает на фишинговую страницу, созданную через платформу Tycoon PhaaS.
Параллельно развивается кампания с использованием Microsoft Teams, в которой получателей добавляют в группы с тревожными названиями и показывают поддельные счета, уведомления об автопродлении услуг и якобы несанкционированные списания. Для «отмены платежа» предлагается позвонить по указанному номеру, который полностью контролируется атакующими. Доверие к популярной платформе и срочная риторика значительно повышают эффективность обмана, а сама схема не зависит от классической почтовой инфраструктуры и часто обходит защитные механизмы.
Отдельное направление связано с письмами, маскирующимися под юридические уведомления <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span> о нарушении авторских прав. В таких сообщениях размещается ссылка на форму с «деталями нарушения», которая открывается в поддельном окне браузера. Визуально страница выглядит как обычный сайт, но на самом деле это статическая подделка, предназначенная для кражи учётных данных.
Ещё один приём основан на подмене символов в ссылках. Вместо стандартного слэша «/» используется похожий на него Unicode-символ «∕», применяемый в математике. Различие практически незаметно для человека, но позволяет вредоносным адресам обходить автоматические фильтры и системы обнаружения, перенаправляя жертву на случайные или подставные страницы.
По данным Barracuda, все эти атаки объединяет ставка на визуальную правдоподобность, социальную инженерию и технические обходные пути, которые усложняют автоматическое выявление угроз и требуют от организаций более комплексного подхода к защите почты и корпоративных сервисов.
За последний месяц аналитики Barracuda зафиксировали сразу несколько новых почтовых атак, нацеленных на компании и сотрудников организаций. Общая тенденция очевидна — злоумышленники всё чаще используют нестандартные технические приёмы и психологическое давление, чтобы обходить фильтры защиты и вызывать доверие у получателей писем.
Одной из наиболее заметных схем стало использование набора Tycoon, в котором вредоносные QR-коды формируются не в виде изображений, а с помощью HTML-таблиц. Код собирается из множества мелких ячеек, окрашенных в чёрный и белый цвет, которые визуально выглядят как обычный QR-код в почтовых клиентах. При этом в письме отсутствует картинка, ссылка и графический файл, поэтому автоматические системы часто не распознают угрозу. После сканирования такого кода пользователь попадает на фишинговую страницу, созданную через платформу Tycoon PhaaS.
Параллельно развивается кампания с использованием Microsoft Teams, в которой получателей добавляют в группы с тревожными названиями и показывают поддельные счета, уведомления об автопродлении услуг и якобы несанкционированные списания. Для «отмены платежа» предлагается позвонить по указанному номеру, который полностью контролируется атакующими. Доверие к популярной платформе и срочная риторика значительно повышают эффективность обмана, а сама схема не зависит от классической почтовой инфраструктуры и часто обходит защитные механизмы.
Отдельное направление связано с письмами, маскирующимися под юридические уведомления <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span> о нарушении авторских прав. В таких сообщениях размещается ссылка на форму с «деталями нарушения», которая открывается в поддельном окне браузера. Визуально страница выглядит как обычный сайт, но на самом деле это статическая подделка, предназначенная для кражи учётных данных.
Ещё один приём основан на подмене символов в ссылках. Вместо стандартного слэша «/» используется похожий на него Unicode-символ «∕», применяемый в математике. Различие практически незаметно для человека, но позволяет вредоносным адресам обходить автоматические фильтры и системы обнаружения, перенаправляя жертву на случайные или подставные страницы.
По данным Barracuda, все эти атаки объединяет ставка на визуальную правдоподобность, социальную инженерию и технические обходные пути, которые усложняют автоматическое выявление угроз и требуют от организаций более комплексного подхода к защите почты и корпоративных сервисов.
- Источник новости
- www.securitylab.ru
