Обновленный сервис Bi.Zone CESP защищает от квишинга в письмах и учитывает уровень киберграмотности сотрудников
Теперь мошенники не смогут скрыть фишинговые ссылки в электронной почте с помощью QR-кодов, иноязычных знаков препинания, HTTP-якорей или query-параметров. Обновленный Bi.Zone CESP также определяет попытки спрятать большое количество получателей рассылки, а благодаря интеграции с Bi.Zone Security Fitness помогает усилить защиту наиболее уязвимых сотрудников. Об этом CNews сообщили представители Bi.Zone.
По данным Bi.Zone, в 2023 г. с фишинговой рассылки начинались 68% целевых атак на российские компании, а в первом квартале 2024 года этот показатель колебался от 70 до 80%. При этом мошенники постоянно расширяют и модифицируют свой арсенал. В 2024 г. одними из самых популярных методов маскировки нежелательного контента остаются фишинг с использованием QR-кодов (квишинг) и разные методы сокрытия вредоносных ссылок: за HTTP-якорями, query-параметрами, редко встречающимися символами и знаками препинания.
Ссылки в QR-кодах в большинстве случаев ведут на сайты, правдоподобно имитирующие страницы известных компаний или сервисов. Например, в одной из квишинговых рассылок, которые Bi.Zone CESP обнаружил и заблокировал в I квартале 2024 г., QR-код вел на поддельную страницу входа в известный почтовый клиент. Если бы пользователь ввел свои логин и пароль, данные отправились бы напрямую к злоумышленникам, а на странице появилось бы оповещение об ошибке.
В свою очередь, HTTP-якори и query-параметры использовались для сокрытия вредоносных ссылок в 30% фишинговых рассылок (по данным Bi.Zone CESP за I квартал 2024 г.). В обычных ссылках HTTP-якори позволяют пользователю переходить сразу на нужный раздел сайта; query-параметры упрощают работу со страницей: навигацию, поиск в каталоге; а владельцы страниц используют их, чтобы собирать и систематизировать информацию о посещениях сайта.
Согласно стандарту RFC 3986, регулирующему структуру и синтаксис URL, браузеры не должны обрабатывать эти символы при переходе по ссылке, если они находятся за специальными разделителями. На практике такие знаки все равно часто учитываются, чем и пользуются мошенники: они добавляют в легитимную на вид ссылку скрытые вредоносные элементы.
Среди других популярных методов преступников: добавление во вредоносные ссылки иноязычных знаков препинания или редко используемых символов, которые могут помешать защитным механизмам распознать URL; массовые рассылки со скрытым числом получателей, поскольку чем шире аудитория, тем больше шансов на результат.
По данным Bi.Zone, в 2023 г. преступникам удалось с помощью всего одной рассылки с вредоносным ПО за 24 часа скомпрометировать более 400 российских компаний. А в ходе одной из самых массовых кампаний, обнаруженных и заблокированных Bi.Zone CESP в 2024 г., мошенники попытались разослать письма с вредоносными QR-кодами более чем 4000 пользователей.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности Bi.Zone: «С помощью машинного зрения Bi.Zone CESP теперь распознает QR-коды и анализирует содержащиеся в них ссылки. Мы также улучшили механизм парсинга URL, чтобы вредоносные техники нельзя было скрыть за query-параметрами или HTTP-якорями, и постоянно расширяем для наших парсеров набор считываемых символов и форматов, чтобы выявлять любые попытки необычной кодировки. Кроме того, обновленный сервис Bi.Zone CESP фиксирует техники, которые злоумышленники используют, чтобы скрыть большое число получателей письма. Для таких писем автоматически повышается спам-рейтинг, и они отправляются в карантин, даже если остальные механизмы проверки не зафиксировали в рассылке вредоносной составляющей».
Благодаря расширенной интеграции с Bi.Zone Security Fitness, платформой для повышения киберграмотности сотрудников, в обновленном Bi.Zone CESP улучшена защита от методов социальной инженерии. По итогам тренировок на Bi.Zone Security Fitness формируется рейтинг пользователей, который показывает, кто из них потенциально уязвим к социотехническим атакам. Для таких сотрудников карантин писем будет более строгим и охватит все письма с малейшим подозрением на фишинг. Это снизит вероятность, что такое сообщение будет открыто и спровоцирует компрометацию всей корпоративной инфраструктуры.
Помимо используемых злоумышленниками тактик и техник специалисты Bi.Zone CESP следят на новыми уязвимостями в ПО, которое участвует в SMTP-диалоге. Если для какой-либо уязвимости необходимо манипулировать почтовым трафиком, в Bi.Zone CESP для нее оперативно создаются защитные правила, которые позволяют пользователям обезопасить себя до появления патчей. Это особенно актуально для ПО, которое не обновляется в России официально.
Только за последние 10 месяцев специалисты Bi.Zone CESP закрыли критические уязвимости CVE-2024-21413 (уровень опасности по шкале CVSS — 9,8 из 10 баллов) и CVE-2023-34192 (уровень опасности — 9 из 10). Кроме того, Bi.Zone CESP подтвердил свою устойчивость к ряду уязвимостей среднего уровня критичности SMTP Smuggling (CVE-2023-51764, CVE-2023-51765, CVE-2023-51766) — они активно эксплуатируются при рассылке фиктивных писем от чужого имени.
Важной частью обновления Bi.Zone CESP стало расширение возможностей администрирования на стороне клиента, в том числе при самостоятельной работе с журналом сообщений. Теперь администратор может отправить себе на электронную почту выдачу по любому фильтру журнала. В CSV-документе по каждому письму будут указаны: дата и время, идентификаторы соединения и сообщения, IP-адрес отправителя, email-адреса отправителя и получателя, тема, размер сообщения в байтах, рейтинг статус доставки и действия Bi.Zone CESP.
Сам журнал стал подробнее. В обновленных карточках есть информация о присутствии письма в белом или черном списке по какой-либо характеристике отправителя, получателя или IP-адреса; при наличии ссылок — веб-категориях соответствующих доменов, ссылки на которые содержатся в письме; сработавших правилах расширенного списка. Каждое свойство можно рассмотреть в деталях. Кроме того, теперь появились фильтры по статусу доставки сообщения, категории URL в письме, ответу почтового сервера во время доставки и защищаемому домену.
Процесс настройки конфигурации защищаемых доменов стал прозрачнее. Теперь, когда процесс находится на стороне инженеров Bi.Zone CESP, заказчик может увидеть, какую из четырех стадий он проходит: синхронизация, проверка SMTP-серверов, отправка тестового письма или ожидание изменения MX-записей. На каждой из стадий можно запустить проверку и увидеть актуальный статус.
***
Bi.Zone — компания по управлению цифровыми рисками. Разрабатывает собственные продукты для обеспечения устойчивости ИТ‑инфраструктур любого размера и оказывает услуги по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 г. компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и др., защитив свыше 500 клиентов в 15 странах мира.