Мы обновили BI.ZONE CESP

Теперь сервис защищает от квишинга, скрытых вредоносных ссылок и массовых фишинговых кампаний

26 апреля 2024 г.

Теперь мошенники не смогут скрыть фишинговые ссылки в электронной почте с помощью QR‑кодов, иноязычных знаков препинания, HTTP‑якорей и query‑параметров. Обновленный BI.ZONE CESP также определяет попытки спрятать большое количество получателей рассылки, а благодаря интеграции с BI.ZONE Security Fitness помогает усилить защиту наиболее уязвимых сотрудников.

68%

целевых атак на российские компании в 2023 году начинались с фишинговой рассылки

До 70–80%

вырос этот показатель в первом квартале 2024 года

В этом году в число самых популярных методов маскировки нежелательного контента входят фишинг с использованием QR‑кодов (квишинг) и разные методы сокрытия вредоносных ссылок: за HTTP‑якорями, query‑параметрами, редко встречающимися символами, знаками препинания.

Новые методы против опасных ссылок

Ссылки в QR‑кодах в большинстве случаев ведут на сайты, правдоподобно имитирующие страницы известных компаний или сервисов. Например, в одной из квишинговых рассылок, которые BI.ZONE CESP обнаружил и заблокировал в первом квартале 2024 года, QR‑код вел на поддельную страницу входа в известный почтовый клиент. Если бы пользователь ввел свои логин и пароль, данные отправились бы напрямую к злоумышленникам, а на странице появилось бы оповещение об ошибке.

В свою очередь, HTTP‑якори и query‑параметры использовались для сокрытия вредоносных ссылок в 30% фишинговых рассылок (по данным BI.ZONE CESP за первый квартал 2024 года). В обычных ссылках HTTP‑якори позволяют пользователю переходить сразу на нужный раздел сайта, query‑параметры упрощают работу со страницей (навигацию, поиск в каталоге), а владельцы страниц используют якори, чтобы собирать и систематизировать информацию о посещениях сайта.

Согласно стандарту RFC 3986, регулирующему структуру и синтаксис URL, браузеры не должны обрабатывать эти символы при переходе по ссылке, если они находятся за специальными разделителями. На практике такие знаки все равно часто учитываются, чем и пользуются мошенники: они добавляют в легитимную на вид ссылку скрытые вредоносные элементы.

К другим популярным методам преступников относятся добавление во вредоносные ссылки иноязычных знаков препинания или редко используемых символов, которые могут помешать защитным механизмам распознать URL, а также массовые рассылки со скрытым числом получателей, поскольку чем шире аудитория, тем больше шансов на результат.

Более 400

российских компаний были скомпрометированы за 24 часа в результате всего одной рассылки в 2023 году

Более 4000

получателей включала одна из самых массовых рассылок с вредоносным кодом

С помощью машинного зрения BI.ZONE CESP теперь распознает QR‑коды и анализирует содержащиеся в них ссылки. Мы также улучшили механизм парсинга URL, чтобы вредоносные техники нельзя было скрыть за query‑параметрами или HTTP‑якорями, и постоянно расширяем для наших парсеров набор считываемых символов и форматов, чтобы выявлять любые попытки необычной кодировки.

Кроме того, обновленный сервис BI.ZONE CESP фиксирует техники, которые злоумышленники используют, чтобы скрыть большое число получателей письма. Для таких писем автоматически повышается спам‑рейтинг, и они отправляются в карантин, даже если остальные механизмы проверки не зафиксировали в рассылке вредоносной составляющей.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности BI.ZONE

Социнженерия и уязвимости ПО

Благодаря расширенной интеграции с BI.ZONE Security Fitness, платформой для повышения киберграмотности сотрудников, в обновленном BI.ZONE CESP улучшена защита от методов социальной инженерии. По итогам тренировок на BI.ZONE Security Fitness формируется рейтинг пользователей, который показывает, кто из них потенциально уязвим к социотехническим атакам. Для таких сотрудников карантин писем будет более строгим и охватит все письма с малейшим подозрением на фишинг. Это снизит вероятность, что такое сообщение будет открыто и спровоцирует компрометацию всей корпоративной инфраструктуры.

Помимо используемых злоумышленниками тактик и техник, специалисты BI.ZONE CESP следят за новыми уязвимостями в ПО, которое участвует в SMTP‑диалоге. Если для какой‑либо уязвимости необходимо манипулировать почтовым трафиком, в BI.ZONE CESP для нее оперативно создаются защитные правила, которые позволяют пользователям обезопасить себя до появления патчей. Это особенно актуально для ПО, которое не обновляется в России официально.

Только за последние 10 месяцев специалисты BI.ZONE CESP закрыли критические уязвимости CVE‑2024‑21413 (уровень опасности по шкале CVSS — 9,8 из 10 баллов) и CVE‑2023‑34192 (уровень опасности — 9 из 10). Кроме того, BI.ZONE CESP подтвердил свою устойчивость к ряду уязвимостей среднего уровня критичности SMTP Smuggling (CVE‑2023‑51764, CVE‑2023‑51765, CVE‑2023‑51766) — они активно эксплуатируются при рассылке фиктивных писем от чужого имени.

Дополнительные возможности для управления

Важной частью обновления BI.ZONE CESP стало расширение возможностей администрирования на стороне клиента, в том числе при самостоятельной работе с журналом сообщений. Теперь администратор может отправить себе на почту выдачу по любому фильтру журнала. В CSV‑документе по каждому письму будут указаны: дата и время, идентификаторы соединения и сообщения, IP‑адрес отправителя, email‑адреса отправителя и получателя, тема, размер сообщения в байтах, рейтинг, статус доставки и действия BI.ZONE CESP.

Сам журнал стал подробнее. В обновленных карточках есть информация о присутствии письма в белом или черном списке по какой‑либо характеристике отправителя, получателя или IP‑адреса; при наличии ссылок — о веб‑категориях соответствующих доменов, ссылки на которые содержатся в письме, а также сработавших правилах расширенного списка. Каждое свойство можно рассмотреть в деталях. Кроме того, теперь появились фильтры по статусу доставки сообщения, категории URL в письме, ответу почтового сервера во время доставки и защищаемому домену.

Процесс настройки конфигурации защищаемых доменов стал прозрачнее. Теперь, когда процесс находится на стороне инженеров BI.ZONE CESP, заказчик может увидеть, какую из четырех стадий он проходит: синхронизация, проверка SMTP‑серверов, отправка тестового письма или ожидание изменения MX‑записей. На каждой из стадий можно запустить проверку и увидеть актуальный статус.