Фишинг без слов: как не стать жертвой нового способа кражи аккаунтов

Исследователи из компании Inky зафиксировали распространение новых мошеннических операций, где злоумышленники обходят почтовые фильтры от спама и фишинга путём отправки электронных писем без текста, но с изображениями или QR-кодами.

Целью киберпреступников является кража учётных данных сотрудников различных организаций. Для этого они подделывают письма от Microsoft или работодателя жертвы, часто используя реальные профессиональные адреса, которые ранее были скомпрометированы ( BEC-атака ). В письмах хакеры просят получателя помочь с восстановлением пароля или активацией двухфакторной аутентификации, придавая ситуации характер неотложности.

Многие системы защиты от спама сканируют текст писем на предмет наличия терминов, часто связанных с мошенничеством. Однако письма, обнаруженные Inky, легко уклоняются от этих мер безопасности, так как не содержат HTML -текста.

Вместо этого злоумышленники создают текст письма внутри вложения с изображением. Почтовые платформы автоматически отображают это изображение в основном поле, вводя получателей в заблуждение, что это настоящее письмо. Inky противодействует этой тактике с помощью технологии OCR (оптического распознавания символов), которая сканирует и извлекает текст из изображений и PDF -файлов, делая их узнаваемыми для других фильтров спама.

Вложение с QR-кодом внутри

Письма также содержат встроенные QR-коды, которые перенаправляют жертв на фишинговые сайты, имитирующие экраны входа в аккаунт Microsoft. Эти поддельные страницы выглядят убедительно, а URL -адреса содержат адреса электронной почты получателей, чтобы создать ложное ощущение легитимности. Так злоумышленникам без лишнего труда удаётся похищать логины и пароли своих жертв.

Поддельная страница входа Microsoft

Inky обнаружила более 500 подобных писем, направленных на разнообразный круг организаций в США и Австралии. Среди жертв были компания по напольным покрытиям, различные некоммерческие организации, компании по управлению активами, консалтинговые фирмы и другие. Широкая целевая база свидетельствует о том, что атакующие раскидывают широкую сеть, чтобы увеличить свои шансы на успех.

Пользователям следует тщательно проверять адрес отправителя и URL-адреса любых страниц, которые похожи на экраны входа в ту или иную систему, особенно если письмо просит информацию об аккаунте. А если возможно связаться с отправителем через другие каналы связи, это станет самым эффективным способом подтвердить происхождение письма и намерения отправителя. Стоит ли говорить, что сомнительные QR-коды не стоит сканировать в принципе, кто бы их вам не направил.