Киберпреступники используют обратное туннелирование и сокращатели URL-адресов для запуска «практически необнаружимых» фишинговых кампаний.
Криминальные группировки осваивают новый способ проведения фишинговых атак, который может сделать злоумышленников практически незаметными, предупреждают исследователи безопасности.
Этот метод включает использование сервисов «обратного туннеля» и сокращателей URL-адресов для запуска крупномасштабных фишинговых атак. Более того, группы, использующие эти методы, не оставляют следов.
Mega dm Mega darknet
Вместо этого злоумышленники могут использовать свои локальные компьютеры для размещения фишинговых страниц по случайным URL-адресам. Это может помочь избежать обнаружения службами сканирования URL-адресов. Затем группы могут дополнительно маскировать свою личность с помощью служб сокращения URL-адресов.
Вниз по дыре
Злоумышленники не используют уязвимость в техническом смысле. Вместо этого они злоупотребляют готовыми законными сервисами, чтобы обойти меры защиты от фишинга. Сервисы, связанные с этой техникой, включают bit.ly, Ngrok и Cloudflare’s Argo Tunnel.
Атака была обнаружена исследователями безопасности из CloudSEK, которые обнаружили, что этот метод использовался для нападения на клиентов индийских банков.
Здесь фишинговые атаки пытались заставить клиентов передать свои банковские реквизиты, номер Aadhaar (индийское национальное удостоверение личности) и другую конфиденциальную информацию.
Мега в Тор
«Мы обнаружили это, когда отслеживали в Интернете активы, олицетворения и данные, связанные с нашими клиентами», — сказал The Daily Swig Даршит Ашара, главный исследователь угроз в CloudSEK.
«В ходе нашего регулярного исследования мы начали замечать закономерности такого злоупотребления услугами нескольких обратных туннелей».
Хотя CloudSEK обнаружил попытки фишинга клиентов индийских банков, этот метод также использовался в США, Великобритании и Европе.
«В наши дни атаки по обратному туннелю стали довольно распространенным явлением», — добавил Ашара. «Способ действий злоумышленников, использующих обратное туннелирование, включает отправку SMS-спама с фишинговыми URL-адресами, сокращенными с помощью популярных сервисов сокращения URL-адресов.
«Мы наблюдали, как эта техника используется для нацеливания на большинство крупных брендов и организаций».
Скрытие в тени
Обратные туннели позволяют преступным группам уклоняться от некоторых наиболее эффективных мер противодействия.
Один из способов поймать фишинговые группы — это их зависимость от хостинг-провайдеров и использование ими доменов, которые, по словам CloudSEK, «выдают себя за целевые компании или ключевые слова».
Mega sb даркнет
Даже если у правоохранительных органов недостаточно доказательств для преследования фишинговых групп, хостинг-провайдеры удалят поддельные домены.
Использование доменов со «случайными или общими» ключевыми словами обеспечивает некоторую защиту для злоумышленников, поскольку их нельзя сообщить о нарушении прав на бренд. Но киберпреступники могут использовать обратные туннели для полного обхода хостинга, сохраняя фишинговые двоичные файлы не более чем на локальном ПК.
Добавление сокращения URL-адреса сверху еще больше усложняет отслеживание атаки и повышает вероятность того, что жертвы попадутся на удочку мошенников. Добавьте к этому тот факт, что большинство URL-адресов обратного туннеля являются временными — обычно они действуют всего 24 часа — и атрибуция и судебное преследование становятся еще более сложными.
Улучшенный мониторинг
CloudSEK призывает к улучшению мониторинга сервисов обратного туннеля. Ngrok, например, теперь требует от своих пользователей раскрывать свои IP-адреса и регистрироваться перед размещением HTML-контента, в то время как Cloudflare требует от пользователей создания учетной записи.
Сокращение URL-адресов сложнее контролировать, так как в нем нет фактической вредоносной активности: они просто указывают пользователям на веб-сайт. Однако CloudSEK признает, что обнаружение атак зависит от стороннего мониторинга.
Таким образом, целевым фирмам, возможно, придется полагаться на обучение пользователей, чтобы справиться с этим вектором атаки.
Mega Market onion
«По сути, это еще один канал для фишинговых атак — ключевое отличие заключается в атрибуции», — сказал Крис Прис, руководитель отдела киберопераций консалтинговой компании по управлению цифровыми рисками Protection Group International.
«Если домен зарегистрирован у хостинг-провайдера, они могут реагировать на жалобы и отключать веб-сайт, но с обратными туннелями провайдер обратного туннеля не несет за это ответственности, а это означает, что его потенциально сложнее отключить. Объедините это с сокращателем URL, это может быть очень эффективным.
«Это прозвучит банально, но мы советуем удвоить осведомленность о фишинге, чтобы уменьшить вероятность того, что кто-то нажмет на вредоносную ссылку».