Ускоренная загрузка веб-страниц упрощает фишинг и кражу данных

Google AMP ускоренная загрузка страниц предзагрузка страниц электронная почта фишинг
Ускоренная загрузка веб-страниц упрощает фишинг и кражу данных
Google AMP ускоренная загрузка страниц предзагрузка страниц электронная почта фишинг

Злоумышленники явно используют Google AMP не по назначению.

image

Эксперты в области кибербезопасности предупреждают о возросшей активности фишинговых атак, использующих Google Accelerated Mobile Pages (AMP) для обхода защиты корпоративной почты и попадания в почтовые ящики сотрудников.

Google AMP — это открытая платформа для ускорения загрузки веб-контента на мобильных устройствах. Страницы AMP располагаются прямо на серверах Google, где контент сильно облегчается и упрощается, а некоторые тяжёлые медиаэлементы загружаются заранее.

Использование ссылок на AMP в фишинговых письмах позволяет обойти защитные механизмы электронной почты, не вызывая подозрений из-за репутации Google. Затем эти ссылки перенаправляют жертву на фишинговый вредоносный сайт.

Вредоносный URL скрытно вплетается в легитимный URL Google

По данным компании Cofense, объём атак с AMP резко вырос в середине июля, что говорит о распространении этого метода среди злоумышленников. Согласно информации исследователей, злоумышленники используют следующие тактики, чтобы повысить как свою скрытность, так и вероятность успешного исхода атаки:

  • Применение HTML-писем со встроенными картинками вместо текста. Это позволяет хакерам обойти сканеры текста, анализирующие письма на наличие типичных фишинговых фраз.
  • Многоступенчатые перенаправления через домены с высокой репутацией, такие как Microsoft и Google. Это затрудняет анализ ссылок и маскирует конечный фишинговый ресурс.
  • Использование CAPTCHA на фишинговых страницах. Это не позволяет автоматизированным сканерам добраться до вредоносного контента.
  • Имитация доверенных служб и сервисов, чтобы вызвать ложное чувство безопасности у жертвы.
  • Использование укороченных и закодированных ссылок, чтобы обойти проверки на наличие вредоносных URL.
  • Быстрая смена фишинговых доменов и страниц, которая делает чёрные списки неэффективными.
  • Рассылка фишинговых писем с разных почтовых ящиков и IP-адресов, имитирующая легитимную активность.
  • Добавление ложной персонализации, чтобы заставить жертву поверить в подлинность письма.

Пример фишингового письма с использованием перечисленных уловок

В целом, участники фишинговых операций сегодня используют множество методов уклонения от обнаружения, которые всё больше затрудняют обнаружение угроз и их блокировку. Экспертам по кибербезопасности приходится постоянно совершенствовать методы защиты, чтобы успевать за изощрёнными тактиками мошенников.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь