Поддельные буквы: отправители вирусных писем научились обходить антиспам-решения



alttext



Что такое омоглифы и как их используют мошенники

В России зафиксировали рост попыток обхода антиспам-решений с помощью омоглифов — графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В случае если спамеры доставят письмо, пользователь или организация могут серьезно пострадать. «Известия» выяснили, как работает новая схема и что поможет защититься от нее.

Рост атак

Как сообщили «Известиям» в компании F.A.С.С.T., которая занимается разработкой технологий для борьбы с киберпреступлениями, в III квартале 2023 года писем с омоглифами стало в 11 раз больше, чем осенью прошлого. Чаще всего злоумышленники подделывали буквы А, С, Е и О.

— Резкий всплеск подмен символов в письмах с вредоносным вложением наблюдается с начала этого года. Так, подобную технику используют операторы стилера WhiteSnake — вредоносной программы для кражи учетных данных из браузеров, приложений и криптокошельков жертв, — отметили в компании.

К примеру, в этом году россиянам часто рассылали такие письма якобы от следователей. Сотрудников компаний просили дать показания по уголовному делу — но в действительности в рассылке был зараженный архив.

Латинские литеры

Как объяснили «Известиям» в F.A.С.С.T., расстановка омоглифов в рассылках позволяет киберпреступникам и просто спамерам отправить больше писем, обходя встроенные фильтры почтовых сервисов и снижая вероятность оперативной блокировки почтового адреса, откуда шла рассылка. С другой стороны, вредоносные письма могут обходить антиспам-системы во входящих письмах и доходить до адресатов.

— Как правило, злоумышленники добавляют латинские символы-омоглифы в письма на русском языке. В сообщениях из одной вредоносной рассылки могут встречаться различные варианты замен букв, — рассказали в компании.

По словам руководителя Центра кибербезопасности F.A.С.С.T. Ярослава Каргалева, этот простой прием может обмануть рядовую антиспам-систему, а получатель письма рискует скомпрометировать свою электронную почту, устройство или всю сетевую инфраструктуру компании, пройдя по фишинговой ссылке или открыв архив с вредоносом.

— А вот автоматизированную систему защиты электронной почты от фишинговых рассылок так легко не проведешь, — отметил Каргалев.

По его словам, сегодня рассылка фишинговых писем остается одним из наиболее распространенных векторов атак. Противодействовать киберпреступникам поможет автоматизированная защита электронной почты от фишинговых рассылок, которая способна отследить индикаторы компрометации, выявить поведенческие маркеры вредоносной активности и извлечь артефакты для определения опасных писем прежде, чем они будут доставлены.

Сложно распознать

Как говорит в беседе с «Известиями» ИБ-эксперт компании «Код безопасности» Дмитрий Лебедев, способ взлома с помощью омоглифов использовался еще со времен зарождения хакинга. Это один из самых базовых и распространенных векторов атак, который лишь со временем стал сходить на нет на фоне развития инструментов защиты.

— К примеру, ряд доменных зон запрещает регистрировать домены с сочетанием букв разных алфавитов. Такую подмену обнаруживают и спам-фильтры почтовых сервисов, однако злоумышленники комбинируют различные способы, чтобы обойти защиту и доставить письмо пользователям, — отмечает эксперт.

По его словам, распознать использование омоглифов очень сложно, именно поэтому злоумышленники их и применяют. При этом письма, которые рассылают спамеры (и зачастую они доходят до адресатов), несут серьезные риски как для обычных людей, так и для организаций, где они работают. Ссылки в них подразумевают загрузку вредоносного ПО, которое может красть данные (в том числе финансовые), удаленно подключать управление устройством и получать доступ к различным сервисам.

— Если атакам подвергаются работники компаний, то фишинговое письмо может серьезно повредить IT-инфраструктуру организации. Как правило, злоумышленники проникают за защищенный периметр через рядового пользователя, а затем постепенно повышают свои учетные права, попутно собирая конфиденциальную информацию, — рассказывает Дмитрий Лебедев.

В дальнейшем киберпреступники могут отключить жизненно важные для компании сервисы или загрузить программу-шифровальщик, чтобы потребовать многомиллионный выкуп.

Способы защиты

Для того чтобы не стать жертвой киберпреступников, эксперты «Известий» рекомендуют соблюдать простые правила кибергигиены. Нужно с подозрением относиться к любому письму и априори воспринимать его как потенциально вредоносное.

— В последние годы злоумышленники часто пытаются запугать пользователей, поэтому присылают письма от имени госструктур. Однако надо помнить: официальные повестки или запрос каких-либо данных может прийти либо обычным письмом, либо через официальные ресурсы, например «Госуслуги», — отметил ИБ-эксперт компании «Код безопасности» Дмитрий Лебедев.

Кроме того, мошенники часто пишут людям под видом различных магазинов, которые якобы предлагают большие скидки на товары или дарят подарки клиентам. В таких случаях лучше зайти на официальный сайт и прочитать условия участия там. Переходить по ссылкам из писем, особенно пришедших с неизвестных адресов, не стоит.

В случае сомнений пользователи могут воспользоваться специальными сервисами, которые позволяют проверять содержимое сайтов по ссылкам. Также важно использовать на компьютере надежное защитное решение.

Мария Фролова, Известия