Хакеры нашли способ обходить системы защиты электронной почты, используя функционал переписывания URL-адресов — инструмент, изначально созданный для защиты от вредоносных ссылок. Этот метод вызвал обеспокоенность экспертов, так как защита стала уязвимостью.
Переписывание URL-адресов — это функция, используемая для проверки ссылок в письмах. Когда пользователь кликает по ссылке, она перенаправляется на сервер службы безопасности для анализа. Если ссылка безопасна, пользователь попадает на целевой сайт, в противном случае — доступ блокируется.
Типы переписывания URL-адресов
Устаревшие системы: Эти решения основаны на данных о ранее известных угрозах и переписывают URL для последующего анализа. Недостаток — процесс проверки может начаться после того, как атака уже совершена.
Современные системы: Они используют машинное обучение для анализа поведения ссылок в реальном времени, что позволяет заранее выявлять угрозы.
Многие компании комбинируют оба подхода для усиления защиты.
С середины 2024 года хакеры активно используют переписывание URL-адресов для фишинговых атак. Они пользуются доверием сотрудников к безопасным на вид ссылкам, делая даже опытных пользователей уязвимыми.
Применяется два основных метода:
Компрометация учетных записей: Злоумышленники получают доступ к реальным почтовым аккаунтам и отправляют письма с вредоносными ссылками. Система переписывает их, маскируя как безопасные.
Использование белых списков: Некоторые службы автоматически заносят домены своих URL-адресов в белый список. Хакеры могут воспользоваться этим и перенаправить пользователя на фишинговый сайт.
Исследователи Perception Point наблюдают рост числа фишинговых атак, использующих системы защиты URL-адресов.
В одной из атак использовались системы Proofpoint и INKY. Злоумышленники отправили письмо с фишинговой ссылкой, которая дважды переписывалась. Пользователей перенаправляли на фишинговую страницу входа в Microsoft 365.
В другой атаке скомпрометированные учетные записи, защищенные INKY и Proofpoint, позволили хакерам атаковать несколько компаний одновременно.
В случае с Mimecast злоумышленники использовали домен Mimecast, чтобы замаскировать фишинговую ссылку, которая перенаправляла пользователей на сайт для кражи данных.
Особенности динамического анализа URL-адресов
- Проактивное обнаружение угроз в реальном времени.
- Защита от обхода таких методов, как капча и гео-ограничения.
- Анализ после доставки: ссылки повторно проверяются даже после отправки письма.
- Постоянный мониторинг активности по ссылкам.
Использование хакерами этих методов подчеркивает важность не только технической защиты, но и регулярного обучения сотрудников. Компании должны проводить тренинги по кибербезопасности, чтобы сотрудники могли распознавать угрозы, даже если ссылки выглядят безопасно. Это поможет минимизировать человеческий фактор.
