Обновленный сервис BI.ZONE учитывает киберграмотность сотрудников

Обновленный сервис BI.ZONE CESP защищает от квишинга в письмах и учитывает уровень киберграмотности сотрудников. Теперь мошенники не смогут скрыть фишинговые ссылки в электронной почте с помощью QR-кодов, иноязычных знаков препинания, HTTP-якорей или query-параметров. Сервис также определяет попытки спрятать большое количество получателей рассылки и помогает усилить защиту наиболее уязвимых сотрудников. 

По данным BI.ZONE, в 2023 году с фишинговой рассылки начинались 68% целевых атак на российские компании, а в первом квартале 2024 года этот показатель колебался от 70 до 80%. При этом мошенники постоянно расширяют и модифицируют свой арсенал. В этом году одними из самых популярных методов маскировки нежелательного контента остаются фишинг с использованием QR-кодов (квишинг) и разные методы сокрытия вредоносных ссылок: за HTTP-якорями, query-параметрами, редко встречающимися символами и знаками препинания.  

Ссылки в QR-кодах в большинстве случаев ведут на сайты, правдоподобно имитирующие страницы известных компаний или сервисов. Например, в одной из квишинговых рассылок, которые BI.ZONE CESP обнаружил и заблокировал в первом квартале 2024 года, QR-код вел на поддельную страницу входа в известный почтовый клиент. Если бы пользователь ввел свои логин и пароль, данные отправились бы напрямую к злоумышленникам, а на странице появилось бы оповещение об ошибке. 

В свою очередь, HTTP-якори и query-параметры использовались для сокрытия вредоносных ссылок в 30% фишинговых рассылок (по данным BI.ZONE CESP за первый квартал 2024 года). В обычных ссылках HTTP-якори позволяют пользователю переходить сразу на нужный раздел сайта; query-параметры упрощают работу со страницей: навигацию, поиск в каталоге; а владельцы страниц используют их, чтобы собирать и систематизировать информацию о посещениях сайта. 

Согласно стандарту RFC 3986, регулирующему структуру и синтаксис URL, браузеры не должны обрабатывать эти символы при переходе по ссылке, если они находятся за специальными разделителями. На практике такие знаки все равно часто учитываются, чем и пользуются мошенники: они добавляют в легитимную на вид ссылку скрытые вредоносные элементы. 

Среди других популярных методов преступников: добавление во вредоносные ссылки иноязычных знаков препинания или редко используемых символов, которые могут помешать защитным механизмам распознать URL; массовые рассылки со скрытым числом получателей, поскольку чем шире аудитория, тем больше шансов на результат. 

По данным BI.ZONE, в 2023 году преступникам удалось с помощью всего одной рассылки с вредоносным ПО за 24 часа скомпрометировать более 400 российских компаний. А в ходе одной из самых массовых кампаний, обнаруженных и заблокированных BI.ZONE CESP в 2024 году, мошенники попытались разослать письма с вредоносными QR-кодами более чем 4000 пользователей. 

Кроме того, в обновленном BI.ZONE CESP улучшена защита от методов социальной инженерии. По итогам тренировок формируется рейтинг пользователей, который показывает, кто из них потенциально уязвим к социотехническим атакам. Для таких сотрудников карантин писем будет более строгим и охватит все письма с малейшим подозрением на фишинг. Это снизит вероятность, что такое сообщение будет открыто и спровоцирует компрометацию всей корпоративной инфраструктуры. 

Помимо используемых злоумышленниками тактик и техник специалисты BI.ZONE CESP следят на новыми уязвимостями в ПО, которое участвует в SMTP-диалоге. Если для какой-либо уязвимости необходимо манипулировать почтовым трафиком, в BI.ZONE CESP для нее оперативно создаются защитные правила, которые позволяют пользователям обезопасить себя до появления патчей. Это особенно актуально для ПО, которое не обновляется в России официально. 

Только за последние 10 месяцев специалисты BI.ZONE CESP закрыли критические уязвимости CVE-2024-21413 (уровень опасности по шкале CVSS — 9,8 из 10 баллов) и CVE-2023-34192 (уровень опасности — 9 из 10). Кроме того, BI.ZONE CESP подтвердил свою устойчивость к ряду уязвимостей среднего уровня критичности SMTP Smuggling (CVE-2023-51764, CVE-2023-51765, CVE-2023-51766) — они активно эксплуатируются при рассылке фиктивных писем от чужого имени. 

Команда BI.ZONE также расширила возможности администрирования на стороне клиента, в том числе при самостоятельной работе с журналом сообщений, а также добавила фильтры по статусу доставки сообщения, категории URL в письме, ответу почтового сервера во время доставки и защищаемому домену.