29 сентября / 09:53 Сибирь Новости

Эксперты отмечают: злоумышленники стали лучше скрывать фишинговые ресурсы

Как отмечают специалисты, за прошедшие месяцы 2023 года заметно усложнились неперсонифицированные фишинговые атаки, составляющие более 98 процентов всего фишинга.

Эксперты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар» на основе анализа сотен тысяч вредоносных ресурсов сделали вывод: злоумышленники стали чаще использовать и совершенствовать методы сокрытия вредоносного контента от инструментов для его поиска.

Они отмечают, что сегодня свыше 53 процентов детектируемых специалистами Solar AURA фишинговых ресурсов используют те или иные средства защиты от их обнаружения. Для сравнения, в 2022 году этот показатель составлял 27 процентов, а в 2021 году — 11 процентов.

Одним из наиболее сложных способов по сокрытию фишинга стала схема «Хамелеон». Суть ее в том, что вредоносный сайт мог динамически изменять контент, а свое истинное «лицо» показывал лишь тем пользователям, которые соответствовали заданным злоумышленниками параметрам — например, территориальной принадлежности IP-адреса, разрешению экрана, версии операционной системы или браузера . По мнению злоумышленников, этот подход должен был помешать антифишинговым сервисам распознавать вредоносный контент.

Также примечательна схема, которую эксперты назвали «Хамелеон 2.0». В ней злоумышленники использовали цепочки из десятков произвольно сгенерированных доменов, каждый из которых служил для перенаправления пользователя на вредоносный ресурс. Схема активно использовалась на рубеже 2022-2023 годов в масштабной фишинговой кампании, которая затронула более 300 крупных брендов.

«Помимо таких технически сложных вариаций, как “Хамелеон” или “Хамелеон 2.0”, активно применяются и другие приемы — например, использование доменов, не имеющих отношения к бренду, от имени которого совершается атака, — поясняет эксперт центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар» Диана Селехина. — Также применяются “сайты-прокладки”, которые переадресуют пользователя на нужный URL и одновременно уведомляют его о том, что портал якобы проверен антивирусом и не представляет опасности».