Технологические компании вкладывают много времени и сил в обнаружение и блокировку подозрительных писем. Опасные сообщения распознаются по подозрительному тексту. Потому теперь мошенники рассылают письма без текста.
Как это работает?
Исследователи безопасности из компании Inky обнаружили кампанию по рассылке мошеннических электронных писем, которые обходят обычные спам-фильтры, используя вложения в виде картинок и QR-кодов. Мошенники, похоже, не имеют конкретной цели, но пытаются красть данные сотрудников разных компаний и организаций.
Такие вредоносные электронные письма, как правило, маскируются под письма от службы поддержки Microsoft или от работодателя жертвы. Часто они отправляются с подлинных профессиональных учетных записей, которые ранее были скомпрометированы ранее. Обычно, письма просят получателя срочно помочь им с восстановлением пароля или активацией двухфакторной аутентификации. Особый напор на срочность - распространенная тактика фишинговых мошенников.
Системы безопасности электронной почты настроены выявляют фишинговые сообщения, сканируя их текст на термины, часто связанные с мошенничеством. Но электронные письма, обнаруженные Inky, обходят эти меры безопасности, поскольку в них вообще нет HTML-текста.
Вместо этого злоумышленники заполняют тело письма картинкой с текстом. Платформы электронной почты автоматически показывают изображение в теле письма. Так что, если не пытаться выделить или скопировать текст, подвох заметить довольно трудно.
Эксперты Inky выявили фишинговую кампанию при помощи систем автоматического распознавания текста. С помощью этой технологии спам-фильтры могут распознать фишинговые письма, даже если они не написаны, а “нарисованы”.
Поскольку в фейковых письмах нет текста, то вместо обычных ссылок используются QR-коды. Текст убеждает жертву как можно скорее отсканировать код. Если пользователь сделает это, он будет перенаправлен на фишинговый сайт, имитирующий экран входа в учетную запись Майкрософт. Если пользователь введет свои данные на таком сайте - можно считать, что его учетная запись уже украдена.
Эксперты Inky нашли более 500 таких писем, направленных в различные организации в США, и в Австралии. В число жертв входят организации самого разного профиля - от компании по производству полов до некоммерческих и консалтинговых организаций. Широкая целевая база предполагает, что пока нападающие просто забрасывают сети, чтобы повысить шанс на успех.
Следует понимать, что метод может использоваться не только в США и Австралии, а повсеместно. Потому пользователям всегда следует настороженно относиться к письмам, в которых речь заходит об их учетной записи. Тщательно проверяйте адрес электронной почты отправителя и адреса любых страниц, которые напоминают экраны входа. Если возможно, свяжитесь с отправителем письма через альтернативные каналы связи.
И, само собой, не сканируйте QR-коды из неизвестных источников.
