Даже несмотря на то, что злоумышленники становятся всё более скрытными, используя инструменты на базе ИИ, они не отказываются от простых, проверенных временем методов фишинга — потому что они всё ещё работают.
Согласно новому исследованию, злоумышленники по-прежнему используют PDF-файлы, старый деловой стандарт, и эксплуатируют растущее доверие к таким сервисам, как Dropbox.
Команда X-Labs компании Forcepoint обнаружила многоступенчатую фишинговую кампанию, которая использует PDF-файлы и облачное хранилище Dropbox через многоуровневую атаку с перенаправлением. После перехода по ссылке, которая выглядит как обычный PDF-документ, жертвы перенаправляются на страницу поддельного входа в Dropbox, предназначенную для кражи их учётных данных с целью получения внутреннего доступа, захвата аккаунта или совершения других мошеннических действий.
«Это отличный пример того, почему фишинг остаётся основным способом, которым преступники получают доступ к организациям», — заявил Дэвид Шипли из Beauceron Security. «Эта атака работает, потому что она имитирует обычное деловое поведение».
Анатомия многоуровневой PDF-атаки
В рамках этой кампании жертвы сначала получают электронное письмо с профессионально звучащим текстом, которое выглядит как часть обычного процесса закупок или тендера, и просят ознакомиться с прикреплённым документом.
«Такая формулировка часто используется в мошенничестве с тендерами или закупками, где намеренно создаются срочность и легитимность, чтобы побудить к быстрым действиям», — написал исследователь Forcepoint Прашант Кумар.
PDF-файл служит основным механизмом доставки вредоносного ПО. Жертва не подозревает, что адрес отправителя подделан или связан с скомпрометированным аккаунтом. Как только они нажимают на вложение, их перенаправляют на второй PDF-файл, размещённый на доверенном облачном сервисе (public.blob[.]vercel-storage[.]com), который далее перенаправляет их на поддельную страницу входа в Dropbox. Если они попадутся на уловку, они войдут, используя свой адрес электронной почты и пароль, и эти учётные данные будут перехвачены инфраструктурой командного и управляющего центра (C2), контролируемой злоумышленниками.
«Первый [документ] прошёл через почтовый фильтр, потому что он абсолютно легитимен и ссылается на доверенный сервис», — сказал Шипли из Beauceron. «Невозможно остановить это без серьёзных негативных последствий для бизнеса». Второй документ работает, потому что облачный сервис не обязан проверять размещённый на нём контент.
Такие типы электронных писем также часто проходят стандартные проверки подлинности, такие как Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting, and Conformance (DMARC).
«Минимальное и деловое содержание помогает избежать обнаружения на основе ключевых слов, благодаря чему сообщение выглядит и ощущается больше как обычный операционный запрос», — написал Кумар. Таким образом, злоумышленники могут убедить жертв в необходимости аутентификации для просмотра документов.
Эта фишинговая кампания интересна тем, что она многогранна и «очень хорошо продумана», отметил Эрик Авакиан, технический консультант Info-Tech Research Group. И она эффективна, потому что «ничто не выглядит очевидно неправильным для конечного пользователя на каком-либо отдельном этапе. Исходное письмо чистое и проходит большинство фильтров, первый PDF-файл открывается нормально и, кажется, размещён на легитимном облачном сервисе, а страница входа в Dropbox выглядит настоящей.
«Каждый шаг сам по себе проходит проверку», — сказал он. «Опасность становится очевидной только тогда, когда вы увеличиваете масштаб и смотрите на всю цепочку, а большинство пользователей не думают о цепочках. Они думают о кликах».
Маскировка под безопасный формат документов
Но после стольких предупреждений об этом — почему люди по-прежнему так доверяют PDF-файлам и Dropbox?
«Потому что исторически их так приучили», — сказал Авакиан. PDF-файлы регулярно используются в деловом мире и позиционировались как безопасный формат документов только для чтения для счетов, контрактов, кадровых форм и выписок. Это относится и к Dropbox; он стал массовым деловым инструментом, которым сотрудникам было рекомендовано пользоваться, и позиционировался так, что его услуги «больше не являются каким-то подозрительным сайтом для обмена файлами».
«Когда люди видят логотип PDF или Dropbox, их бдительность естественным образом снижается», — сказал Авакиан. Знакомство и необходимость скорости мешают им остановиться и присмотреться. Злоумышленники знают это и «идеально этим пользуются».
Помимо этого, указал Авакиан, облачная инфраструктура стала «щитом» для злоумышленников. Осведомлённость в вопросах безопасности приучила пользователей опасаться подозрительных доменов, но не авторитетных платформ. Это устаревшая ментальная модель, и «злоумышленники далеко впереди неё».
«Не кликайте по ссылкам» — этого недостаточно
Хакеры знают, что многие сотрудники склонны иметь дело с платёжными процессами и документами, отметил Лайнэл Менчака, специалист по контент-маркетингу и техническому письму в Forcepoint, поэтому их необходимо обучать проверять, что счета, заказы на покупку (PO) и контракты поступают от подтверждённых поставщиков, аффилированных лиц и агентств.
«Если они не могут проверить, они должны сообщать о подозрительных письмах в ИТ-отдел или службы безопасности», — сказал он.
Но меры предосторожности этим не ограничиваются, отметил Шипли. Сотрудники должны выработать хорошие привычки обработки электронной почты, например, делать частые перерывы; симуляции могут помочь, так как они позволяют людям вырваться из рутины. Многие клики по электронной почте (он оценивает около 40%) происходят, когда люди находятся на автопилоте и не обрабатывают информацию на уровне глубокого мышления, «они просто действуют инстинктивно».
Авакиан согласился, что обучение осведомлённости в вопросах безопасности электронной почты должно выходить за рамки «не кликайте по ссылкам». Работодатели и руководители всех уровней должны понимать, что современный фишинг становится всё более «многоступенчатым, размещённым в облаке, имитирующим бренды и намеренно выглядящим скучно». PDF-файлы больше не «безопасны по умолчанию», а облачные сервисы больше не «доверенные по умолчанию».
«Этот тип инцидента становится отличным примером и возможностью для создания более изощрённых фишинговых тестов», — сказал Авакиан. «Цель — не поставить пользователей в неловкое положение, а выработать привычки, ориентированные на безопасность, в отношении того, как сегодня разворачиваются атаки».
Хотя основы по-прежнему важны, их нужно честно преподносить, сказал он. Наведите курсор на ссылки, но поймите, что размещённые в облаке URL-адреса всё ещё могут быть вредоносными; проверьте адрес отправителя и домен, но помните, что существуют скомпрометированные или похожие домены; будьте осторожны с неожиданными вложениями, даже PDF, особенно когда они куда-то ведут; относитесь к любым запросам на вход как к моменту для паузы, «особенно когда они вызваны косвенно», посоветовал Авакиан.
«Осведомлённость в вопросах безопасности должна повзрослеть, так же, как и угрозы», — сказал он.
Тем не менее, клики будут происходить, и эффективные многоуровневые средства контроля ограничивают ущерб. Многофакторная аутентификация (MFA), условный доступ и обнаружение аномалий имеют решающее значение, а нулевое доверие (zero-trust) встраивает безопасность в культуру, где исчезает менталитет «доверие по умолчанию», сказал Авакиан.
«В конечном счёте, PDF и Dropbox — не проблема; проблема — это безоговорочное доверие», — сказал он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Taryn Plumb
