Хакеры прибегают к тактике запутывания, полагаясь на глянцевые рекламные фотографии Delta Airlines и розничного продавца Kohl's, обманом заставляя пользователей посещать сайты для сбора учетных данных и раскрывая личную информацию.
A недавняя кампания проанализированные Avanan, показали, как злоумышленники скрывают вредоносные ссылки за убедительными фотографиями, предлагающими подарочные карты и программы лояльности от таких надежных брендов. В более широком смысле кампания является частью более широкой тенденции киберпреступников, обновляющих старые тактики новыми инструментами, такими как ИИ, которые делают фишинг более убедительным.
Исследователи Avanan, которые назвали метод обфускации «картинка в картинке», отметили, что киберпреступники, стоящие за атаками, просто связывают маркетинговые фотографии с вредоносными URL-адресами. Это не следует путать со стеганографией, которая кодирует вредоносную полезную нагрузку на уровне пикселей в изображении.
Джереми Фукс, исследователь кибербезопасности и аналитик Avanan, отмечает, что стеганография часто бывает сверхсложной, и «это гораздо более простой способ делать вещи, которые все еще могут иметь такое же влияние, и хакерам легче воспроизвести их в масштабе».
Корпоративные URL-фильтры блокируются запутыванием изображений
Исследователи Avanan отмечают, что несмотря на простоту, подход «картинка в картинке» затрудняет обнаружение угрозы URL-фильтрами.
«[Электронное письмо] будет выглядеть чистым [для фильтров], если они не сканируют изображение», — говорится в анализе. «Часто хакеры с радостью связывают файл, изображение или QR-код с чем-то вредоносным. Вы можете увидеть истинное намерение, используя OCR для преобразования изображений в текст или анализируя QR-коды и расшифровывая их. Но многие спецслужбы этого не делают или не могут».
Фукс объясняет, что другим ключевым преимуществом этого подхода является то, что злонамеренность становится менее заметной для целей.
«Связав социальную инженерию с запутыванием, вы потенциально можете представить конечным пользователям что-то очень заманчивое, чтобы щелкнуть и действовать», — говорит он, добавляя предостережение, что если пользователи наводят курсор на изображение, URL-ссылка явно не связана с поддельный бренд. «Эта атака довольно изощренная, хотя хакер, вероятно, теряет очки, если не использует более оригинальный URL», — сказал он.
В то время как фишинг забрасывает широкую потребительскую сеть, предприятия должны знать, что сообщения программы лояльности авиакомпаний часто попадают в корпоративные почтовые ящики; И в возраст удаленной работы, многие сотрудники используют личные устройства для бизнеса или получают доступ к личным службам (например, Gmail) на ноутбуках, выпущенных для бизнеса.
«С точки зрения воздействия [кампания] была нацелена на большое количество клиентов в разных регионах», — добавляет Фукс. «Хотя трудно узнать, кто преступник, подобные вещи часто можно легко загрузить в виде готовых наборов».
Использование Gen AI для обновления старых тактик
Фукс говорит, что кампания вписывается в одну из новых тенденций, наблюдаемых в сфере фишинга: подделки, которые почти неотличимы от законных версий. Он добавляет, что в дальнейшем использование генеративного ИИ (например, ChatGPT) для помощи в тактике обфускации, когда речь идет о фишинговых атаках на основе изображений, только затруднит их обнаружение.
«С генеративным ИИ это очень просто», — говорит он. «Они могут использовать его для быстрой разработки реалистичных изображений знакомых брендов или услуг и делать это в масштабе и без каких-либо знаний в области дизайна или кодирования».
Например, используя только подсказки ChatGPT, исследователь Forcepoint недавно убедился ИИ в создание необнаруживаемой вредоносной программы стеганографии, несмотря на его директиву отклонять вредоносные запросы.
Фил Нерей, вице-президент по стратегии киберзащиты в CardinalOps, говорит, что тенденция использования ИИ растет.
«Что нового, так это уровень сложности, который теперь можно применить, чтобы сделать эти электронные письма почти идентичными электронным письмам, которые вы получили бы от законного бренда», — говорит он. «Как и использование Дипфейки, созданные искусственным интеллектом, ИИ теперь значительно упрощает создание электронных писем с тем же текстовым содержанием, тоном и изображениями, что и законное электронное письмо».
В целом, фишеры удваивают то, что Фукс называет «обфускацией в пределах легитимности».
«Под этим я подразумеваю скрытие плохих вещей за тем, что выглядит хорошим», — объясняет он. «Хотя мы видели множество примеров подделки законных сервисов, таких как PayPal, здесь используется более проверенная версия, которая включает в себя поддельные, но убедительно выглядящие изображения».
Использование защиты URL для защиты от потери данных
Потенциальными последствиями атаки для бизнеса являются денежные потери и потеря данных, и, чтобы защитить себя, организации должны в первую очередь информировать пользователей об этих типах атак, подчеркивая важность наведения курсора на URL-адреса и просмотра полной ссылки перед нажатием.
«Помимо этого, мы считаем важным использовать защиту URL-адресов, которая использует методы фишинга, подобные этому, в качестве индикатора атаки, а также реализацию безопасности, которая просматривает все компоненты URL-адреса и эмулирует страницу за ним», — отмечает Фукс.
Не все согласны с тем, что существующая система безопасности электронной почты не справляется с задачей по отлову таких фишинговых сообщений. Майк Паркин, старший технический инженер Vulcan Cyber, отмечает, что многие почтовые фильтры ловят такие кампании и в худшем случае либо помечают их как спам, либо помечают как вредоносные.
Он отмечает, что спамеры годами используют изображения вместо текста в надежде обойти спам-фильтры, и спам-фильтры эволюционировали, чтобы справляться с ними.
«Хотя в последнее время атаки стали довольно частыми, по крайней мере, если судить по спаму в моей собственной папке с нежелательной почтой, это не особо изощренная атака», — добавляет он.
Однако атаки с использованием ИИ могут быть другой историей. Нерай из CardinalOps говорит, что лучший способ бороться с этими более совершенными атаками на основе изображений — это использовать большие объемы данных для обучения алгоритмов на основе ИИ тому, как распознавать поддельные электронные письма — путем анализа содержимого самих электронных писем, а также путем агрегирования информации о них. как все другие пользователи взаимодействовали с электронными письмами.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting
