Среди операторов мошеннических кампаний растет популярность арендных платформ, работающих по модели Phishing-as-a-Service. Распространение таких площадок снижает порог для начинающих киберпреступников, в результате чего угроза фишинга не снижается, несмотря на усилия ИБ-специалистов и просветителей.

Таковы результаты исследования компании Cyren, которая изучила предложения на подпольных торговых сайтах. По словам экспертов, ассортимент таких сервисов включает пакеты с шаблонами фишинговых страниц и мощностями для их размещения. Это позволяет злоумышленникам быстро запустить поддельный сайт для кражи данных Office 365, LinkedIn, OneDrive, Google, Dropbox. Ежемесячная стоимость использования такой страницы составляет от 30 до 80 долларов, причем продавцы гарантируют клиентам жизнеспособность фишинговых ссылок и замену заблокированных адресов.

По словам исследователей, фишерам постоянно приходится изобретать новые методы обмана пользователей, которые становятся внимательнее и грамотнее. Последний факт подтверждает и статистика «Лаборатории Касперского», которая ранее сообщила о сокращении попыток переходов по вредоносным ссылкам. Среди традиционных методов фишинга эксперты называют рассылку ложных уведомлений об удалении email-аккаунта, поддельных голосовых сообщений, предупреждений о проблемах с доставкой письма.

Кроме того, с распространением антифишинговых систем на базе машинного обучения мошенники стали активно применять специализированные техники сокрытия от обнаружения. Сегодня, по данным Cyren, такие приемы встречаются в 87% кампаний. Среди наиболее популярных методов исследователи называют:

  • Кодирование HTML-символов — затрудняет сканирование текста автоматическими средствами, оставляя его читаемым для веб-браузера и почтового клиента.
  • Шифрование содержимого — содержимое страницы шифруется, а не кодируется с помощью HTML, а JavaScript уже возвращает текст в исходный вид в браузере.
  • Блокировка проверки — отказывает в доступе к фишинговой странице определенным IP-адресам, узлам, автоматическим средствам, ассоциируемым с ИБ-системами.
  • Внедрение ссылок во вложения — URL фишинговой страницы добавляется не в тело мошеннического письма, где его легко найти и проверить, а в прикрепленный документ (обычно это pdf-файл с множеством изображений и единственной кнопкой, ведущей на фишинговый сайт).
  • Внедрение опасного контента — добавление вредоносного скрипта в легитимный сайт для перенаправления трафика на фишинговую страницу.
  • Облачный хостинг у известных провайдеров — например, при размещении страницы в облаке Azure преступники могут использовать действительные сертификаты Microsoft и размещаться в доменах, которые ассоциируются у пользователей с легитимными сервисами корпорации.

Все эти меры позволяют фишерам наращивать свою активность на фоне общего укрепления информационной безопасности. Так, по данным специалистов Антифишинговой рабочей группы, в I квартале 2019 года количество поддельных площадок выросло по сравнению с предыдущим отчетным периодом на четверть — со 138 тысяч до 180 тысяч.

Категории: Аналитика, Мошенничество