Google: риск email-фишинга и заражения в пять раз выше после утечки ПДн

Google: риск email-фишинга и заражения в пять раз выше после утечки ПДн

Google: риск email-фишинга и заражения в пять раз выше после утечки ПДн

Совместное исследование Google и Стэнфордского университета показало, что вероятность фишинговой или вредоносной атаки средствами электронной почты зависит от ряда факторов. В частности, риск email-атаки повышается в пять раз, если почтовый адрес и другие персональные данные пользователя были скомпрометированы в результате утечки.

Подобные изыскания ведутся издавна, однако их целью, как правило, является разработка образовательных материалов либо совершенствование системы оповещений для пользователей. Некоторые исследователи также пытались выявить наиболее уязвимые слои населения — такие результаты можно использовать для автоматизации их распознавания и персонализации защиты.

Однако их работы обычно сводились к оценке на основании единственного фактора — рода занятий. Так, на настоящий момент установлено, что риск email-атаки наиболее высок для журналистов, политиков, активистов и бизнесменов.

Эксперты Google и университетские исследователи решили (PDF) расширить спектр потенциальных email-мишеней, поискав другие факторы, влияющие на вероятность атаки. С этой целью они проанализировали более 1,2 млрд фишинговых и вредоносных писем, разосланных пользователям Gmail в период с апреля по август 2020 года.

Как оказалось, такие сообщения еженедельно отправляются в среднем на 17 млн адресов. При этом большинство спам-рассылок проводятся одним днем, после этого шаблон письма-ловушки меняется.

В итоге авторам исследования удалось определить ряд дополнительных факторов, повышающих риск email-атаки:

  • у жертв утечки ПДн он выше в среднем в пять раз;
  • географическое местоположение мишени тоже имеет большое значение; так, у жителей Конго и Австралии риск вдвое выше, чем у американцев, хотя объемы вредоносных рассылок в США заметно больше; 
  • разница в возрастных группах доходит до 1,64:1 (пользователи от 55 до 64 лет и от 18 до 24 лет соответственно);
  • для тех, кто пользуется только мобильным устройством, вероятность email-атаки ниже (0,8:1).

Исследователи также отметили, что использующие email фишеры и распространители зловредов редко локализуют свои рассылки: 90% изученных спам-сообщений были написаны на английском языке. Исключение составили атаки на территории Японии, Бразилии и Франции — там злоумышленники предпочитали обращаться к адресатам на местном языке (78%, 66% и 34% случаев соответственно).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru