ТЕХНІЧНИЙ ОПИС

Зловмисники можуть надсилати повідомлення цільового фішингу зі шкідливим посиланням для виманювання чутливої інформації. Це спроба обманом змусити ціль розкрити дані, часто облікові дані. Це часто включає методи соціальної інженерії, як-от видавання себе за надійне джерело або надсилання термінових повідомлень.

У цьому сценарії листи містять посилання, що супроводжуються текстом, який спонукає користувача натиснути на URL або скопіювати його в браузер. Сайт може бути клоном легітимного (наприклад, корпоративного порталу) або бути схожим на нього. URL-адреси можуть бути обфусковані (заплутані) через особливості схеми URL, наприклад, використання шістнадцяткового формату або ігнорування тексту перед символом ”@”: наприклад, hxxp://google.com@1157586937.

Зловмисники також можуть вбудовувати “трекінгові пікселі” (web bugs) для підтвердження отримання листа та профілювання жертви (наприклад, збору IP-адреси). Також можливе використання атак “Browser-in-the-Browser” (BitB): створення фальшивого спливаючого вікна браузера з HTML-рядком адреси, що виглядає як справжній (наприклад, вікно автентифікації Google).

Використовуючи фішинг-кіти типу EvilProxy або Evilginx2, зловмисники проводять атаку “Adversary-in-the-Middle” (AitM). Вони проксіюють з’єднання між жертвою та реальним сайтом. При успішному вході жертву перенаправляють на справжній сайт, а зловмисник захоплює не лише логін/пароль, а й сесійний кукі (Web Session Cookie), що дозволяє обійти MFA.

Ще один метод — Quishing (фішинг через QR-коди). QR-коди можуть не розпізнаватися автоматичними сканерами пошти. Користувачі сканують їх мобільними пристроями, де важче помітити підробку сайту через малий екран. З підробленого сайту зібрана інформація надсилається зловмиснику.

Технологічний арсенал сучасного фішингу

  • AitM (Adversary-in-the-Middle): Найнебезпечніший вид. Хакер не просто краде пароль, він стає “посередником”. Ви вводите код 2FA на сайті хакера, він миттєво передає його справжньому сайту, отримує сесійний токен і стає повноправним власником вашої сесії. 2FA більше не є панацеєю.
  • BitB (Browser-in-the-Browser): Ви бачите вікно входу, де в адресному рядку написано https://accounts.google.com. Але це не справжнє вікно — це малюнок всередині сайту хакера. Ви не можете довіряти навіть адресному рядку, якщо це спливаюче вікно.
  • Quishing (QR-Phishing): Системи безпеки пошти (Sandboxes) добре перевіряють текстові посилання, але часто “сліпі” до зображень. Хакер надсилає QR-код, який веде на фішинг. Людина сканує його особистим телефоном, який зазвичай не має корпоративного захисту.
  • Web Beacons (Трекінгові пікселі): Це невидиме зображення 1x1 піксель. Як тільки ви відкрили лист — хакер дізнався ваш IP, версію браузера та час відкриття. Тепер він знає, що ви “жива” ціль і коли ви зазвичай перевіряєте пошту.

Як захиститися?

  • Перехід на FIDO2 / Passkeys: Використовуйте апаратні ключі безпеки (наприклад, YubiKey). На відміну від SMS або кодів у додатках, FIDO2 прив’язаний до домену. Якщо ви на підробленому сайті g00gle.com, ключ просто не спрацює.
  • Перевірка QR-кодів: Впровадьте політику, що забороняє сканування робочих QR-кодів особистими пристроями. Використовуйте сканери з попереднім переглядом URL.
  • Навчання щодо BitB: Навчіть співробітників перевіряти, чи можна “витягнути” спливаюче вікно за межі основного вікна браузера. Якщо вікно “застрягло” всередині вкладки — це підробка.
  • Заборона завантаження зовнішніх зображень: Налаштуйте поштові клієнти так, щоб вони не завантажували картинки автоматично. Це заблокує роботу трекінгових пікселів.
  • Аналіз скорочених посилань: Використовуйте сервіси розгортання URL (наприклад, expandurl.net), щоб побачити реальний пункт призначення перед кліком.