Фишеры используют бэкслеш в URL-префиксах для обхода защитных фильтров

Фишеры используют бэкслеш в URL-префиксах для обхода защитных фильтров

Исследователи предупреждают о новой уловке злоумышленников, призванной обеспечить доставку фишинговых сообщений в обход традиционных средств защиты электронной почты. Ссылки, встраиваемые в тело письма-ловушки, выглядят вполне невинно; от привычной формы записи URL их отличает лишь искаженный префикс: вместо двойного косого слеша в схеме обращения к ресурсу (http:// или https://) используется слеш и бэкслеш (http:/\).

Защитные почтовые фильтры обычно настроены на отлов иных изменений URL, привносимых мошенниками, — в частности, умышленных опечаток и подмены символов, что обычно является признаком тайпсквоттинга. Внимательные пользователи тоже научились распознавать такие трюки, и злоумышленникам приходится изобретать все новые и новые способы сокрытия мошеннического характера своих писем.

В данном случае фишеры пользуются тем, что современные браузеры и многие email-сканеры игнорируют наклон слешей в префиксе URL. Первые атаки с использованием новой уловки эксперты GreatHorn обнаружили в октябре. С тех пор такие попытки обхода email-фильтров заметно участились, а в январе их число, по данным ИБ-компании, возросло на 5933%.

Вначале фишеры рассылали свои письма от имени сервиса речевой почты, выдавая их за уведомление о новом сообщении. В тело письма они встраивали зловредную ссылку — например, такую: http:/\brent.johnson.australiasnationalskincheckday.org.au//exr/brent.johnson@затронутыйдомен.com

 

Тестирование показало, что при нажатии этой кнопки происходит перенаправление на сайт злоумышленников, который для правдоподобия использует reCAPTCHA. Итоговая лендинг-страница имитирует страницу входа Microsoft Office, на ней даже проставлен email-адрес получателя фишингового письма. Если визитер, следуя подсказке, введет свои логии и пароль, эти данные будут украдены и обеспечат мошенникам доступ к почтовому ящику и контактам жертвы.

Позднее авторы таких рассылок стали разнообразить свою тактику — подменяли отображаемое имя отправителя, указывая абонента внутренней почты; отсылали письма с адресов с чистой репутацией, встраивали ссылки на открытый редиректор, создавали иллюзию важности и срочности перехода по ссылке.

Подобным фишинговым атакам, по данным GreatHorn, чаще подвергаются организации, использующие Office 365, чем те, что полагаются на облачные сервисы Google. В разделении по вертикалям больше прочих от них страдают представители фарминдустрии, сферы кредитования, генподрядчики и строители, а также операторы проводной и мобильной связи.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Смартфоны Ростеха не пользуются спросом у россиян

“Трастфоны” от Ростеха продаются не так хорошо, как ожидалось. За два года продаж AYYA T1 в рознице аппарат купили меньше тысячи раз. В марте цены на отечественный смартфон снизили ниже себестоимости.

О плохом спросе на телефон отечественного производителя “Смартэкосистема” (входит в периметр “Ростеха”) пишут “Ведомости”.

По данным источников издания, в октябре 2021-го в Россию привезли около пяти тысяч смартфонов AYYA на российской ОС “Аврора”. С начала продаж этих устройств в рознице было куплено всего 905 штук. Это 18% от общего объема поставок с китайских заводов, где собирают телефоны.

В марте этого года цены на AYYA T1 снизили. В “М.видео-Эльдорадо” модель можно купить за 7499 рублей, на Ozon – до 12 тысяч рублей в двух модификациях, на “Яндекс.Маркете” – за 13,4 тысяч.

Низкие продажи AYYA T1 объясняются отсутствием интереса к товару со стороны рядовых покупателей. На российском рынке существует много аналогов с повышенной функциональностью от китайских производителей.

По некоторым данным, в прошлом году удалось продать в розницу всего несколько десятков “трастфонов”. Чтобы окупаться, его стоимость в магазине должна быть не менее 11 тысяч рублей, говорят участники рынка.

Главным преимуществом “трастфона” называли возможности аппаратной блокировки камеры и микрофона, а также российскую операционную систему “Аврора”. Модель рассматривалась как замена обычным смартфонам для государственных организаций и родственных им структур.

По информации “Ведомостей”, от нескольких сотен до двух тысяч устройств AYYA T1 используют в силовых структурах и “Росатоме”. Но спрос со стороны ведомств также оказался намного ниже ожидаемого.

Добавим, на этой неделе стало известно, что внутриполитическому блоку администрации президента запретили пользоваться американскими iPhone. Офису АП рекомендовали телефоны на Android, китайские аналоги или “Аврору”. По некоторым данным, сотрудникам администрации могут централизованно закупить безопасные телефоны, однако ни бренд, ни стоимость такой госзакупки не уточнялись.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru