Фишинг остается одним из наиболее трудно детектируемых методов социальной инженерии, и потому частой причиной кражи учетных и финансовых данных и первого вхождения вредоносного ПО в защищенный периметр. Ряд исследований, в том числе компаний Microsoft и Check Point, подробно описывают фишинговые атаки прошлого года - представление и понимание пользователем механизма фишинга дает эффективный уровень защиты. Эксперты группы компаний Angara выделили наиболее интересные сценарии.
Отмечен рост популярности фишинговых e-mail сообщений. Например, в конце 2019 года исследователи Check Point обнаружили длительную фишинговую атаку на банки Канады - по сценарию пользователь получал по почте поддельное уведомление от банка с настоятельной рекомендацией срочно перевыпустить цифровый сертификат для доступа к интернет-банкингу. Ссылка в письме вела на точную копию сайта банкинга, выполненную в виде картинки с наложенными полями ввода данных, где пользователь «авторизовался» в системе и запускал процедуру перевыпуска сертификата. Данные авторизации передавались злоумышленнику, который таким образом получал полный доступ к финансовым активам и конфиденциальным данным клиента интернет-банкинга.
Статистика Google Safe Browsing’s Transparency Report свидетельствует о значительном росте числа фишинговых сайтов по сравнению с сайтами, зараженными вредоносным ПО (Malware sites). Компания Microsoft отметила интересную фишинговую кампанию, использующую сообщение «ошибка 404», - «песочницы» не детектировали нарушений, так как страница является легитимной. При открытии страницы по URL скачивался вредоносный контент.
OAuth Phishing – атаки, часто использующиеся против политических деятелей, иногда детектируется Google как «government-backed attackers are trying to steal your password». Фишинговое письмо имитирует предупреждение безопасности от известного сервиса, например, Google Security Alert. Далее происходит запрос авторизации приложения «Secure Mail» (которое на самом деле является вредоносным) в сервисах Google, и пользователь, как правило, дает авторизацию. Таким образом приложение получает полный доступ к сервисам на чтение и запись.
«Фишинговые сообщения обычно обладают некоторыми характерными свойствами: использование логотипов и стиля целевой компании, срочность в сообщении для формирования нервного напряжения у пользователя, длинные нечитаемые URL по ссылкам, неожиданные редиректы или не работающие ссылки на другие ресурсы сайта (новости, меню функций). Многие озвученные техники призваны запутать пользователя и снизить его бдительность, чтобы он выполнил необходимые злоумышленнику действия», - комментируют эксперты группы компаний Angara.