Киберпреступники начали использовать усовершенствованный набор для фишинга Tycoon, который внедряет новые способы маскировки вредоносных ссылок. Цель этих методов — сделать ссылки практически незаметными для систем безопасности, сохранив при этом их работоспособность для пользователей.
Tycoon применяет сочетание нескольких техник. В URL вставляются невидимые пробелы через код «%20», используются символы Unicode, визуально похожие на привычные знаки пунктуации, и создаются частично некорректные структуры ссылок. Например, дублируются протоколы, убираются стандартные разделители или добавляются лишние элементы. Сканы безопасности при этом фиксируют ошибку, а браузеры продолжают открывать страницу.
Особый приём с символом «@» позволяет замаскировать реальный адрес. Всё, что идёт до него, выглядит как легитимный ресурс, например office365Scaffidips, а фактический переход ведёт на вредоносный домен azgcvhzauig.es. Таким образом, пользователь видит ссылку на известный бренд, но попадает на поддельную страницу для кражи учетных данных.
Фишинговые письма Tycoon могут сопровождаться поддельными уведомлениями бухгалтерских служб или голосовыми сообщениями. Аналитики Barracuda отмечают, что злоумышленники комбинируют несколько методов обфускации для создания ссылок, которые остаются функциональными, но скрытыми от стандартных инструментов защиты.
Эти изменения требуют от организаций обновления методов защиты и внедрения решений, способных распознавать структурные аномалии в ссылках, а также внимательности сотрудников при работе с письмами, содержащими ссылки на внешние ресурсы.