Киберпреступники стали чаще имитировать социальные сети в фишинговых атаках

В третьем квартале 2021 года компания Microsoft снова получила пальму первенства — несмотря на то, что общее число упоминаний бренда в фишинговых письмах снизилось по сравнению со вторым кварталом 2021 года. Злоумышленники использовали бренд ИТ-гиганта в 29% всех попыток фишинговых атак. В предыдущем квартале этот показатель составлял 45%. Тем не менее, это значит, что киберпреступники продолжают атаковать уязвимые гибридные рабочие места. Amazon опередила компанию DHL, заняв второе место. В третьем квартале бренд Amazon использовался в 13% фишинговых атак, во втором квартале этот показатель составлял 11%. Этот факт свидетельствует о том, что мошенники учитывают рост популярности онлайн-шопинга в преддверии праздничного сезона. 

Эксперты Check Point Research предупреждают о появлении нового тренда: в третьем квартале 2021 года злоумышленники стали чаще использовать бренды социальных сетей. Впервые в этом году сектор социальных сетей вошел в тройку лидеров по количеству попыток фишинга. 

Топ брендов, которые злоумышленники чаще всего использовали в фишинговых атаках в третьем квартале 2021 года: 

1. Microsoft (29% всех фишинговых атак в мире)

2. Amazon (13%)

3. DHL (9%)

4. BestBuy (8%)

5. Google (6%)

6. WhatsApp (3%)

7. Netflix (2.6%)

8. LinkedIn (2.5%)

9. PayPal (2.3%)

10. Facebook (2.2%)

В фишинговых атаках злоумышленники стремятся имитировать официальный сайт известного бренда, выбирая похожее доменное имя или URL-адрес и копируя дизайн страницы. Ссылку на поддельный сайт потенциальным жертвам отправляют по электронной почте или через SMS. Также на фишинговый сайт можно попасть случайно, просматривая страницы в Интернете, или через вредоносное мобильное приложение. Очень часто на таких сайтах содержится специальная форма для сбора учетных данных, платежной и другой конфиденциальной информации пользователей. 

«Злоумышленники постоянно совершенствуют способы кражи персональных данных пользователей, копируя известные бренды. Впервые в этом году социальные сети стали одним из типов компаний, которые наиболее часто использовались в фишинговых атаках. Имитируя страницы популярных соцсетей, официальные письма и уведомления, злоумышленники пытаются затронуть как можно больше пользователей, поскольку из-за очередной волны пандемии мы все чаще работаем и общаемся онлайн, — говорит Василий Дягилев, глава представительства Check Point Software Technologies в России и СНГ. — К сожалению, эти компании практически не могут повлиять на попытки эксплуатации их бренда злоумышленниками. Человеческий фактор играет слишком важную роль: очень легко не заметить ошибку в домене, неправильную дату и другие подозрительные элементы в фишинговом сообщении или письме. Мы в очередной раз призываем пользователей внимательнее относиться к своим персональным данным. Дважды подумайте, прежде чем открывать вложения и кликать на ссылки, особенно если вам пришло письмо якобы от онлайн-магазина или службы доставки. Также, учитывая тренд третьего квартала этого года, мы рекомендуем внимательно проверять письма от брендов социальных сетей, таких как Facebook и WhatsApp». 

Для защиты от фишинговых атак с использованием брендов, эксперты Check Point Software Technologies рекомендуют не доверять электронным письмам, запрашивающим конфиденциальную информацию, проверять такие сообщения и домены на наличие орфографических и грамматических ошибок. Также не стоит моментально реагировать на тревожные уведомления, требующие срочных действий, например письма о компрометации учетных записей — чаще всего это попытки фишинга. Помните, что ни в коем случае нельзя открывать вложения из подозрительных писем, особенно в форматах Word, Excel, PowerPoint и PDF. 

Фишинговое письмо якобы от имени LinkedIn – пример кражи логина и пароля 

В качестве примера фишинговых атак, эксплуатирующих бренды социальных сетей, эксперты Check Point Research приводят скриншоты письма, отправленного с целью кражи учетных данных пользователей в LinkedIn. Вредоносное письмо с темой «Новое бизнес-приглашение на LinkedIn от ***» (см. рисунок 1) было отправлено с адреса Linkedln (linkedin@connect[.]com). В данном случае целью злоумышленников было заставить жертву перейти по вредоносной ссылке, которая вела на поддельную страницу входа в учетную запись LinkedIn (см. рисунок 2), затем ввести логин и пароль в специальную форму. Стоит обратить внимание на то, что внизу фишинговой страницы указан прошлый год («2020 LinkedIn»).

Рисунок 1. Вредоносное письмо с темой «Новое бизнес-приглашение на LinkedIn от ***». 

Рисунок 2. Поддельная страница входа в учетную запись LinkedIn.

Фишинговое письмо «от Google» — пример попытки кражи учетной записи 

В третьем квартале 2021 года исследователи Check Point Research обнаружили вредоносное фишинговое письмо, с помощью которого хакеры пытались похитить данные для входа в учетную запись Google. Письмо с темой «Помогите повысить безопасность аккаунта Google» (см. рисунок 3) было отправлено с адреса Google (no-reply@accounts[.]google[.]com). Эксперты CPR заметили, что в письме неверно указан год («2020 Google»). Кибепреступник пытался убедить жертву кликнуть на вредоносную ссылку, которая вела на поддельную страницу входа в аккаунт Google (см. рисунок 4). Здесь пользователю предлагалось ввести логин и пароль к учетной записи Google. 

Рисунок 3. Вредоносное письмо с темой «Помогите повысить безопасность аккаунта Google». 

Рисунок 4. Поддельная страница входа в учетную запись Google.