Мы уже неоднократно писали о том, как в фишинговых схемах применяются QR-коды. В решении для защиты почтовых шлюзов мы даже реализовали технологию, позволяющую считывать эти коды (причем не только из писем, но и вложений) и проверять зашитые в них ссылки. Но злоумышленники не оставляют попыток прислать жертве QR-код. В последнее время мы все чаще видим, как они используют для этого ASCII-графику — изображения, составленные из текстовых символов. Это кажется особенно смешным с учетом того, что когда-то фишеры пытались избежать сканирования ссылок, пряча их в картинке, а теперь пытаются спрятаться от сканирования ссылок в картинках, вновь используя текст. Но с некоторыми нюансами.
Что такое ASCII-графика и как ее используют злоумышленники
Сейчас в это нелегко поверить, но когда-то компьютеры не умели отображать графику. Поэтому самые первые компьютерные изображения складывались из текстовых символов. После принятия стандарта в 1963 году для такой графики использовались именно символы из таблицы ASCII (American Standard Code for Information Interchange) — это гарантировало одинаковое отображение картинки на разных компьютерах. Со временем, для создания изображений стали применять и другие текстовые символы (например, из расширенного набора Unicode), но название «ASCII-графика» так и осталось термином для обозначения этого вида искусства в целом. Существовали вполне серьезные художники, работавшие в этой технике, первые интернет-сайты оформлялись именно при помощи ASCII-графики, и даже первая компьютерная порнография рисовалась именно текстовыми символами.
С развитием технологий отображения картинок ASCII-графика начала выходить из моды. Активно вспомнили ее в нулевых, в период расцвета спам-рассылок. Тогда спамеры применяли ее преимущественно потому, что она, с одной стороны, позволяла замаскировать откровенно спамерские ключевые слова, по которым нежелательная почта фильтровалась, а с другой, ее рассылка создавала меньшую, чем картинки, нагрузку на почтовые серверы. Ну и вдобавок в то время многие платили за трафик, а потому отключали загрузку картинок в почте. Разумеется, тогда мы добавили в решения для защиты почты технологии, блокирующие ASCII-графику.
И вот о существовании ASCII-графики вновь вспомнили — на этот раз желающие обойти технологии распознавания QR-кодов на картинках.
Как выглядит фишинг с использованием ASCII-графики
Вот один из недавних примеров. Сама по себе фишинговая схема весьма стандартна: якобы кто-то прислал конфиденциальный документ на подпись через сервис Docusign, для получения доступа надо перейти по присланному в письме QR-коду на сайт и ввести на нем рабочие учетные данные.
Конечно, код выглядит странно. Преимущественно потому, что он нарисован символами псевдографики посимвольно, можно даже разглядеть промежутки между строчками. На самом деле в коде письма никакой картинки нет, этот QR-код выглядит там примерно следующим образом:
В итоге сканирование ссылок не видит ссылки, анализ картинок не находит скрытый в QR-коде URL и злоумышленникам кажется, что все в порядке и жертва получит фишинговое письмо. Спойлер: нет, мы не разучились блокировать ASCII-графику.
QR-код в письме — нормально ли это вообще
В принципе, есть ситуации, в которых использование QR-кода обосновано: это достаточно удобный способ переслать контакты, ссылку на мобильное приложение, точку на карте, параметры настроек. То есть в сценариях, когда информацию нужно передать по электронной почте не просто адресату, а на его мобильное устройство.
Но любой случай, когда при помощи QR-кода кто-то вынуждает ввести на мобильном устройстве рабочие учетные данные, — должен вызывать подозрения. А уж когда QR-код сформирован при помощи ASCII-графики — это стопроцентный фишинг, то есть попытка заманить на вредоносный URL. Потому что у этого трюка может быть только одна цель: попытаться обойти защитные технологии.
Как бизнесу оставаться в безопасности
Для того чтобы фишинговое письмо (не важно, с ASCII-графикой или без нее) не дошло до почтовых ящиков сотрудников, мы рекомендуем использовать решение с продвинутыми антифишинговыми технологиями на уровне почтового шлюза. А в качестве дополнительного слоя защиты — установить защитные решения на все рабочие устройства, используемые для выхода в Интернет.
Дополнительно мы рекомендуем регулярно повышать осведомленность сотрудников о современных уловках фишеров. В частности, объяснять, что ASCII-графика в современных письмах может свидетельствовать о попытке фишинговой атаки.