ГК «Солар» рассказал о новых таргетированных схемах фишинговых атак

ГК «Солар» провела исследование за полгода 2023 года. В рамках исследования, специалисты ИБ‑компании установили, что неперсонифицированные фишинговые атаки заметно усложнились. Эти атаки составляют более 98% всего фишинга. Злоумышленники стали чаще использовать и совершенствовать методы сокрытия вредоносного контента от инструментов для его поиска, рассказали информационной службе Хабра в пресс‑службе ГК «Солар».

Выводы об усовершенствовании сокрытия фишинговых атак были сделаны экспертами центра мониторинга внешних цифровых угроз Solar AURA на основе анализа сотен тысяч вредоносных ресурсов. По словам ИБ‑экспертов, свыше 53% детектируемых ИБ‑специалистами фишинговых ресурсов используют средства защиты их обнаружения. В 2022 году этот показатель составлял 27%, а в 2021 году — 11%.

Самый сложный способ сокрытию фишинга называется «Хамелеон». Способ выглядит так — вредоносный сайт настроен на определённые параметры и динамически изменяет контент. Атак происходит только на пользователей, соответствующим заданным параметрам злоумышленниками — например, территориальной принадлежности IP‑адреса, разрешению экрана, версии операционной системы и браузера и так далее. По мнению злоумышленников, этот подход должен был помешать антифишинговым сервисам распознавать вредоносный контент.

Кроме способа»Хамелеон», эксперты нашли другой похожий способ и назвали «Хамелеон 2.0». В этом способе злоумышленники использовали цепочки из десятков произвольно сгенерированных доменов. Каждый из доменов перенаправлял пользователя на вредоносный ресурс. «Хамелеон 2.0» активно использовалась на рубеже 2022–2023 годов в масштабной фишинговой кампании, которая затронула более 300 крупных брендов.

Диана Селехина
Эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар:
«Помимо таких технически сложных вариаций, как „Хамелеон“ или „Хамелеон 2.0“, активно применяются и другие приёмы — например, использование доменов, не имеющих отношения к бренду, от имени которого совершается атака. Также применяются „сайты‑прокладки“, которые переадресуют пользователя на нужный URL и одновременно уведомляют его о том, что портал якобы проверен антивирусом и не представляет опасности».

30.09.2023
https://habr.com/ru/news/764546/​