Jak wiadomości phishingowe omijają filtry bezpieczeństwa
I jak się przed nimi chronić
Piotr Marciniak
8/29/20242 min read
Phishing to technika cyberataków polegająca na wyłudzaniu poufnych danych użytkowników lub rozprzestrzenianiu złośliwego oprogramowania za pomocą poczty elektronicznej. Według raportu Phishing Activity Trends Report od APWG, liczba ataków phishingowych w pierwszym kwartale 2024 roku przekroczyła 963,000. Średnia kwota żądana w atakach typu Business Email Compromise (BEC) wyniosła $84,000, co stanowi wzrost o 50% w porównaniu z poprzednim kwartałem.
Wzrost liczby ataków phishingowych sprawia, że cyberprzestępcy muszą stosować coraz bardziej wyrafinowane techniki, aby ominąć zaawansowane mechanizmy obronne. Poniżej omówione są niektóre z tych technik oraz sposoby, jak można się przed nimi bronić.
Techniki omijania filtrów email
Ataki hybrydowe ("Vishing"): Połączenie phishingu z oszustwami telefonicznymi (vishing). Scenariusz polega na wysłaniu wiadomości email z numerem telefonu, który ofiara powinna zadzwonić, aby rozwiązać rzekomy problem. Phisherzy zbierają informacje o ofiarach z mediów społecznościowych, aby dostosować wiadomość do ich zainteresowań.
Zhakowane konta SharePoint: Przestępcy wykorzystują przejęte konta SharePoint do wysyłania złośliwych wiadomości, które są trudniejsze do wykrycia przez filtry, ponieważ pochodzą z zaufanych domen. Wiadomości zawierają linki do fałszywych stron logowania, które wykradają dane uwierzytelniające.
Podszywanie się pod banki: Przestępcy wysyłają fałszywe wiadomości, które udają komunikaty od znanych instytucji finansowych. Emaile te często pochodzą z osobistych kont email (np. @yahoo.com), co pozwala ominąć tradycyjne metody weryfikacji, takie jak SPF, DKIM i DMARC. Dodatkowo, strony phishingowe często korzystają z ważnych certyfikatów SSL, co dodaje im wiarygodności.
Złośliwe archiwa ZIP: Przestępcy ukrywają złośliwe oprogramowanie w plikach ZIP z dodatkowymi, ukrytymi strukturami archiwalnymi. Standardowe silniki dekompresji wbudowane w filtry email mogą nie wykryć złośliwej zawartości, co prowadzi do infekcji komputera ofiary.
Manipulacja kodem HTML: Przestępcy odwracają tekst w kodzie HTML wiadomości lub łączą różne skrypty (np. łacinski i arabski), aby utrudnić filtrom wykrycie zagrożenia. Wiadomość wyświetla się prawidłowo dla użytkownika, ale jej kod może nie być rozpoznawalny przez filtry jako złośliwy.
Zachowanie czujności
Chociaż filtry email są ważnym narzędziem w walce z phishingiem, nie są one niezawodne. Schematy phishingowe stale się rozwijają, dlatego niektóre złośliwe wiadomości mogą się przedostać. Ostateczna odpowiedzialność spoczywa na odbiorcy, aby nie dać się oszukać. Znajomość powszechnych prób phishingu oraz zdrowa dawka sceptycyzmu przy otwieraniu każdej wiadomości email może znacząco zmniejszyć ryzyko padnięcia ofiarą ataku.
Źródła: