Фахівці Kaspersky попереджають про зростання загрози фішингових листів із файлами HTML [1]. З січня по квітень 2022 року Касперський заблокував майже два мільйони фішингових листів із такими вкладеннями. Використання HTML-файлів у фішингових повідомленнях є одним із останніх і найпопулярніших трюків, які використовують шахраї.
Зазвичай такі посилання легко виявляються системами захисту від спаму або антивірусним програмним забезпеченням, однак використання вкладень HTML дозволило кіберзлочинцям уникнути виявлення.
Підходи HTML-фішингу
Багато користувачів не знають, що файли у фішингових електронних листах можуть бути небезпечними, тому вони часто відкривають шкідливі вкладення HTML, нічого не підозрюючи. Кіберзлочинці створюють ці HTML-додатки так, щоб вони виглядали як офіційні сторінки веб-сайту компанії. Вони націлені на користувачів цих офіційних сайтів і копіюють їхній стиль, зображення, сценарії та інші мультимедійні компоненти, щоб обманом змусити жертв ввести конфіденційні дані у фішингову форму.
Кіберзлочинці використовують два основних типи вкладень HTML: файли HTML, що містять фішингове посилання, або цілі шкідливі веб-сторінки. У першому випадку зловмисники надсилають HTML-файл із текстом, який нібито містить важливі дані, наприклад сповіщення банку про велику спробу переказу. Користувачеві пропонується натиснути посилання на веб-сайт банку, щоб зупинити транзакцію, але натомість він спрямовується на фішинговий сайт. У деяких випадках жертві навіть не потрібно натискати посилання. Коли користувач намагається відкрити вкладення HTML, він автоматично перенаправляється на шкідливий веб-сайт. На цій сторінці жертвам пропонується заповнити форму введення даних, щоб підтвердити пов’язані з бізнесом файли, захистити свій банківський рахунок або навіть отримати державний платіж. Лише згодом жертва дізнається, що її персональні дані та банківські реквізити викрали.
Цілі фішингові сторінки як вкладення електронної пошти
Другий тип вкладень HTML – це цілі фішингові сторінки. Ці файли дозволяють кіберзлочинцям заощаджувати на оплаті хостингу та уникати веб-сайтів, оскільки фішингова форма та сценарій збору даних повністю додаються як вкладення. Як фішинговий сайт файл HTML також можна персоналізувати залежно від мети та вектора атаки, який використовується для завоювання довіри жертви. Наприклад, шахрай може надіслати фішинговий електронний лист співробітникам компанії, який виглядає як прохання переглянути договір, але насправді є шкідливим файлом HTML. У таких прикріпленнях відображаються всі візуальні атрибути компанії: логотип, CI і навіть ім'я керівника як відправника. Файл пропонує жертві ввести облікові дані своєї компанії для доступу до документа. Потім ці дані потрапляють безпосередньо в руки кіберзлочинців, які можуть використовувати цю інформацію для проникнення в корпоративну мережу.
Кіберзлочинці використовують нову тактику для успіху фішингу
Оскільки сучасні рішення безпеки вже можуть блокувати електронні листи, які містять вкладення HTML зі шкідливими сценаріями або фішинговими посиланнями у звичайному тексті, кіберзлочинці тепер використовують інші тактики, щоб уникнути блокування. Шахраї часто спотворюють фішингове посилання або весь HTML-файл незрозумілим або непридатним для використання кодом. Хоча цей непотрібний код і незв’язаний текст не з’являються на екрані користувача, вони ускладнюють виявлення та блокування електронної пошти системам захисту від спаму.
Приховані запити облікових даних
«Кіберзлочинці використовують вміло замасковані запити облікових даних, щоб обманом змусити нічого не підозрюючих жертв ввести свої імена користувачів і паролі», — сказав Роман Деденок, дослідник безпеки Kaspersky. «Ми блокуємо мільйони фішингових сайтів щороку, і очікуємо, що ця кількість зростатиме. Кіберзлочинці створили складну та розвинену інфраструктуру, яка дозволяє навіть недосвідченим шахраям створювати тисячі фішингових сторінок за допомогою готових шаблонів [2], таким чином охоплюючи широке коло користувачів. Тепер, коли будь-який аматор може створити власний фішинговий сайт, потрібно бути дуже обережним, відкриваючи посилання з електронної пошти чи служби обміну повідомленнями».
Поради Касперського для захисту від фішингових атак
- Перш ніж переходити по будь-якому посиланню, кожне з них слід ретельно перевірити. Наведення вказівника миші на посилання дасть вам попередній перегляд URL-адреси та можливість перевірити орфографічні помилки чи інші порушення.
- Ім’я користувача та пароль слід вводити лише через безпечне з’єднання. Крім того, зверніть увагу на префікс HTTPS перед URL-адресою веб-сайту. Це вказує на безпечність підключення до веб-сайту.
- Навіть якщо здається, що повідомлення чи лист надійшли від найкращого друга, його обліковий запис, можливо, зламали. Тому користувачі повинні проявляти обережність у будь-яких ситуаціях і перевіряти всі посилання та вкладення, навіть якщо вони, здається, походять із надійного джерела.
- Особливу увагу слід приділяти повідомленням, які начебто надходять від офіційних організацій, таких як банки, податкові органи, інтернет-магазини, туристичні агентства, авіакомпанії. Навіть до внутрішніх повідомлень від вашої власної компанії слід ставитися обережно. Злочинцям неважко сфабрикувати фальшиву електронну пошту, яка виглядає легітимною.
- Слід уникати відкриття неочікуваних файлів, надісланих друзями-іграми або іншими друзями в мережі. Вони можуть містити програми-вимагачі або навіть шпигунські програми, а також вкладення з офіційних електронних листів.
- Співробітникам слід запропонувати базове навчання з кібербезпеки, наприклад Kaspersky Security Awareness [3]. Вправи з імітацією фішингових атак дозволяють персоналу знати, як відрізнити фішингові електронні листи від справжніх.
- Використовуйте рішення для захисту кінцевих точок і поштових серверів із функціями захисту від фішингу, наприклад Kaspersky Endpoint Security для бізнесу [4], щоб зменшити ризик зараження фішинговими електронними листами.
- Якщо використовується хмарна служба Microsoft 365, її також потрібно захистити. Kaspersky Security для Microsoft Office 365 [5] має спеціальну функцію захисту від спаму та фішингу, а також захист для програм SharePoint, Teams і OneDrive для забезпечення безпеки бізнес-комунікацій.
[1] https://securelist.com/html-attachments-in-phishing-e-mails/106481/
[2] https://securelist.com/phishing-kit-market-whats-inside-off-the-shelf-phishing-packages/106149/
[3] https://www.kaspersky.de/enterprise-security/security-awareness
[4] https://www.kaspersky.de/enterprise-security/endpoint
[5] https://www.kaspersky.de/enterprise-security/microsoft-office-365