- 9,682
- 18
- 8 Ноя 2022
Злоумышленники явно используют Google AMP не по назначению.
Эксперты в области кибербезопасности предупреждают о возросшей активности фишинговых атак, использующих Google Accelerated Mobile Pages ( AMP ) для обхода защиты корпоративной почты и попадания в почтовые ящики сотрудников.
Google AMP — это открытая платформа для ускорения загрузки веб-контента на мобильных устройствах. Страницы AMP располагаются прямо на серверах Google, где контент сильно облегчается и упрощается, а некоторые тяжёлые медиаэлементы загружаются заранее.
Использование ссылок на AMP в фишинговых письмах позволяет обойти защитные механизмы электронной почты, не вызывая подозрений из-за репутации Google. Затем эти ссылки перенаправляют жертву на фишинговый вредоносный сайт.
Вредоносный URL скрытно вплетается в легитимный URL Google
Для просмотра ссылки Войдиили Зарегистрируйся компании Cofense, объём атак с AMP резко вырос в середине июля, что говорит о распространении этого метода среди злоумышленников. Согласно информации исследователей, злоумышленники используют следующие тактики, чтобы повысить как свою скрытность, так и вероятность успешного исхода атаки:
Пример фишингового письма с использованием перечисленных уловок
В целом, участники фишинговых операций сегодня используют множество методов уклонения от обнаружения, которые всё больше затрудняют обнаружение угроз и их блокировку. Экспертам по кибербезопасности приходится постоянно совершенствовать методы защиты, чтобы успевать за изощрёнными тактиками мошенников.
Эксперты в области кибербезопасности предупреждают о возросшей активности фишинговых атак, использующих Google Accelerated Mobile Pages ( AMP ) для обхода защиты корпоративной почты и попадания в почтовые ящики сотрудников.
Google AMP — это открытая платформа для ускорения загрузки веб-контента на мобильных устройствах. Страницы AMP располагаются прямо на серверах Google, где контент сильно облегчается и упрощается, а некоторые тяжёлые медиаэлементы загружаются заранее.
Использование ссылок на AMP в фишинговых письмах позволяет обойти защитные механизмы электронной почты, не вызывая подозрений из-за репутации Google. Затем эти ссылки перенаправляют жертву на фишинговый вредоносный сайт.
Вредоносный URL скрытно вплетается в легитимный URL Google
Для просмотра ссылки Войди
- Применение HTML-писем со встроенными картинками вместо текста. Это позволяет хакерам обойти сканеры текста, анализирующие письма на наличие типичных фишинговых фраз.
- Многоступенчатые перенаправления через домены с высокой репутацией, такие как Microsoft и Google. Это затрудняет анализ ссылок и маскирует конечный фишинговый ресурс.
- Использование CAPTCHA на фишинговых страницах. Это не позволяет автоматизированным сканерам добраться до вредоносного контента.
- Имитация доверенных служб и сервисов, чтобы вызвать ложное чувство безопасности у жертвы.
- Использование укороченных и закодированных ссылок, чтобы обойти проверки на наличие вредоносных URL.
- Быстрая смена фишинговых доменов и страниц, которая делает чёрные списки неэффективными.
- Рассылка фишинговых писем с разных почтовых ящиков и IP-адресов, имитирующая легитимную активность.
- Добавление ложной персонализации, чтобы заставить жертву поверить в подлинность письма.
Пример фишингового письма с использованием перечисленных уловок
В целом, участники фишинговых операций сегодня используют множество методов уклонения от обнаружения, которые всё больше затрудняют обнаружение угроз и их блокировку. Экспертам по кибербезопасности приходится постоянно совершенствовать методы защиты, чтобы успевать за изощрёнными тактиками мошенников.
- Источник новости
- www.securitylab.ru
