Исследователи Sophos, которые достаточно длительное время специализируются на безопасности IT-систем, выявили и описали новый вид такой фишинговой атаки, которая характеризуется крайне нетипичным оформлением – а именно, отсутствием ссылок в тексте письма.
Столь нестандартный подход значительно продвинул злоумышленников в обмане даже сильно сомневающихся пользователей, не распознавших угрозу в таких письмах рассылки.
Обычно, стандартный механизм алгоритма типичного фишингового подхода схематично представляет собой три этапа:
— получение конечным пользователем специального письма со встроенной ссылкой, ведущей к поддельному сайту;
— при переходе по указанной пользователю фишинговой ссылке происходит открытие веб-страницы, где предлагается ввод конфиденциальные данные в предложенную форму;
— при согласии пользователя и вводе им своих конфиденциальных данных происходит с помощью специального парсера передача этой информации на удалённый целевой сервер, где структурируется для доступа администратору — чего и добивались организаторы рассылки.
В этой новой разновидности фишинговой атаки, о которой идёт сейчас речь, используется HTML-вложение в теле самого письма. Так как HTML-файл не является исполнительным, то даже самые подозрительные пользователи спокойно открывают его, и попадают в клонированную страницу сайта. Потом остальной алгоритм получения данных полностью аналогичен «классическому» способу.
Главной особенностью атаки такого типа явилось то, что у пользователей нет возможности провести предварительную проверку ссылки, в адрес которой происходит перенаправление из HTML-файла.
Поэтому экспертная группа исследователей не рекомендуют открывать такие вложения, и обязательно активировать на любом устройстве двухфакторную авторизацию и ввести в свой постоянный обиход использование специальных веб-фильтров.