Бренд Microsoft оказался безусловным фаворитом у организаторов фишинговых кампаний. Как рассказали эксперты Akamai, по количеству поддельных страниц американский IT-гигант в разы обгоняет Paypal, DropBox и DHL, которые также заняли верхние строчки рейтинга.

Такие данные содержатся в очередном исследовании State of the Internet, которое посвящено фишинговым технологиям. Авторы вывели на первый план значение фишинг-паков — готовых к работе решений, которые позволяют разворачивать вредоносные страницы и красть пользовательские данные.

Анализ фишинговых пакетов

Содержание подобных пакетов варьируется от простых HTML-форм до многофункциональных продуктов, способных скрываться от защитных систем и атаковать цели по точным настройкам таргетинга. Фишинг-паки можно взять в аренду — злоумышленники разворачивают полноценные интернет-сервисы с возможностью анализировать и настраивать кампании, отслеживать обновления ПО.

За неполные девять месяцев исследования эксперты обнаружили тысячи вредоносных доменов, на которых использовались десятки различных наборов. Чаще всего преступники оформляют посадочные страницы под сайты Microsoft — специалисты увидели этот бренд в 62 пакетах, развернутых на 3,9 тыс. сайтов. На втором месте по популярности оказался сервис PayPal (14 фишинг-паков, 1,7 сайтов). Далее идут социальная сеть LinkedIn (6 пакетов, 1,6 тыс. доменов) и система цифровых подписей DocuSign (4 пакета, 400 доменов).

Помимо технологического сектора, от фишинговых атак страдают пользователи интернет-магазинов, банковских систем и развлекательных сервисов

Применение фишинговых пакетов в атаках

По словам аналитиков, у злоумышленников есть два пути — они могут выкладывать фишинг-паки на собственных площадках или встраивать их в чужие веб-ресурсы.

Второй вариант помогает преступникам дольше избегать блокировки. Аналитические системы постоянно отслеживают и блокируют домены, на которые поступают жалобы о нежелательной активности, причем новые площадки привлекают особое внимание. Прикрываясь чужим сайтом, фишеры получают некоторый запас времени за счет его положительной репутации.

Однако чтобы взломать интернет-ресурс, преступникам нужно найти уязвимость в его CMS или веб-сервере, а это может быть непросто. Поэтому чаще фишеры предпочитают вести кампании на множестве собственных доменов, которые они закупают в оптовых масштабах. Исследователи подсчитали, что около 90% таких адресов оказываются заблокированы в первые сутки. Преступникам хватает этого времени, чтобы окупить затраты на создание сайта и даже выйти в плюс. Еще 5% ресурсов прекращают работу в течение трех дней.

Чтобы продлить жизнь вредоносной страницы, их создатели проверяют, не связаны ли сетевые данные очередной жертвы с ИБ-компаниями или крупными интернет-организациями вроде Amazon и Google. Многие вредоносные пакеты автоматически генерируют URL и прочие данные, затрудняя блокировку по черным спискам.

Чем опасны фишинговые атаки и как от них защититься

Как указали исследователи, угрозы фишинговых кампаний не ограничиваются компрометацией частной и корпоративной информации. Зачастую такая атака оказывается лишь первым звеном в цепочке вредоносных действий, а преступники стремятся не просто перепродать украденные данные, а установить долгосрочную слежку за жертвой.

Так, почти 80% случаев кибершпионажа так или иначе связаны с фишинговой активностью. Авторитарные государства используют эти методы, чтобы заразить устройства диссидентов, недобросовестные компании пытаются узнать секреты конкурентов. В других сценариях фишинговый инцидент помогает взломщикам собрать данные об инфраструктуре целевой организации, получить доступ к ее партнерам и контрагентам, подготовить почву для атаки шифровальщика.

Менее очевидные угрозы связаны с особенностями разработки фишинг-паков. Как рассказали исследователи, создатели такого ПО не гнушаются плагиатом — в продуктах встречаются идентичные участки кода. Таким образом ошибки и баги оригинального фишинг-пака распространяются на его копии. Если такой пакет попадает на легитимный веб-ресурс, пораженная площадка становится уязвимой перед другими атаками.

Эксперты подчеркивают, что в нынешних условиях для защиты от фишинга уже недостаточно обучения пользователей. Преступники учитывают растущую цифровую грамотность жертв и постоянно развивают методы атак. Чтобы не пострадать от их действий, компаниям следует использовать специализированные защитные решения, которые автоматически блокируют подозрительную активность внутри инфраструктуры.

Ранее аналитики «Лаборатории Касперского» сообщили, что в 2019 году пользователи стали меньше поддаваться на уловки фишеров. По их словам, в январе-марте попыток пройти по вредоносным ссылкам было на 35 млн меньше, чем в последнем квартале 2018-го.

Категории: Аналитика, Вредоносные программы, Главное