- 19,470
- 40
- 8 Ноя 2022
Как защитные механизмы помогают ворам похищать ваши данные?
Механизмы защиты Для просмотра ссылки Войдиили Зарегистрируйся , разработанные как барьер для вредоносных ссылок, оказались неожиданным союзником киберпреступников. Специалисты выявили тревожную тенденцию — злоумышленники начали активно использовать «обёртки ссылок» (Wrapper Link) от таких провайдеров, как Proofpoint и Intermedia, чтобы маскировать Для просмотра ссылки Войди или Зарегистрируйся . Вместо блокировки угроз, эти инструменты теперь способствуют их распространению, прикрываясь доверием пользователей к известным платформам.
Для просмотра ссылки Войдиили Зарегистрируйся Cloudflare, суть атаки заключается в подмене и «отбеливании» вредоносных URL-адресов за счёт обёртывания их в доверенные домены, используемые сервисами фильтрации. Такие ссылки проходят через промежуточные ресурсы вроде «urldefense[.]proofpoint[.]com» или «url[.]emailprotection[.]link», предназначенные для анализа ссылок на момент перехода. Однако при компрометации корпоративных учётных записей преступники получают возможность массово рассылать такие обёрнутые ссылки, при этом сами фильтры нередко оказываются бессильны — вредонос скрыт внутри доверенного слоя.
Обнаруженные атаки демонстрируют чётко выстроенные цепочки редиректов: сначала используется сервис сокращения ссылок вроде Bitly, затем — переход к ссылке, обёрнутой системой Proofpoint или Intermedia, после чего пользователь перенаправляется на фишинговую страницу, визуально неотличимую от интерфейсов Microsoft 365 или Teams. Именно такая структура значительно повышает шансы на успешное похищение учётных данных — пользователи видят знакомый адрес, за которым скрывается поддельная форма авторизации.
Особенно активно такие схемы реализуются через ранее взломанные корпоративные почтовые ящики. В случае с Proofpoint атакующие распространяли письма, имитирующие уведомления о голосовых сообщениях или совместном доступе к документам. Пример одной из атак включал переход от Bitly-ссылки к адресу в домене «urldefense[.]proofpoint[.]com», а затем — редирект через сайт «gojo[.]lci-nd[.]com» к поддельной странице Microsoft. Там пользователь вводил логин и пароль, передававшиеся напрямую злоумышленникам.
Система Intermedia тоже оказалась уязвима для схожих манипуляций. Здесь компрометация аккаунта в организации приводила к тому, что исходящие письма автоматически оборачивали вредоносные ссылки, визуально выдавая их за защищённые сообщения от Zix или документы Microsoft. Такие письма перенаправляли пользователей через платформы рассылки, включая Constant Contact, прямо на страницы, созданные для кражи данных.
Проблема имеет масштабные последствия. По данным Федеральной торговой комиссии США, только за 2024 год ущерб от почтового Для просмотра ссылки Войдиили Зарегистрируйся составил более 500 миллионов долларов. Одновременно было зарегистрировано свыше 1,1 миллиона случаев кражи личности, причём восстановление после налогового мошенничества в среднем занимает 22 месяца. А согласно отчётам Comcast и Picus Security, именно фишинг стал отправной точкой 67% успешных атак, вызвав при этом рост кражи учётных данных на 300%.
Для защиты от подобных угроз классических фильтров уже недостаточно. Эффективное противодействие требует более продвинутых методов анализа, основанных на машинном обучении и поведенческой аналитике. Современные системы должны учитывать историческую активность отправителей, структуру ссылок, контекст сообщений и даже эмоциональный тон содержания.
Подобная адаптивная защита учитывает прошлую активность отправителя, содержание письма, структуру URL-адресов и даже эмоциональный тон, что позволяет выявлять атаки до того, как пользователь перейдёт по ссылке. Тем не менее, сам факт того, что механизмы, призванные защищать, стали инструментом в руках атакующих, поднимает серьёзные вопросы о безопасности доверенных платформ и необходимости срочного пересмотра их архитектуры.
Механизмы защиты Для просмотра ссылки Войди
Для просмотра ссылки Войди
Обнаруженные атаки демонстрируют чётко выстроенные цепочки редиректов: сначала используется сервис сокращения ссылок вроде Bitly, затем — переход к ссылке, обёрнутой системой Proofpoint или Intermedia, после чего пользователь перенаправляется на фишинговую страницу, визуально неотличимую от интерфейсов Microsoft 365 или Teams. Именно такая структура значительно повышает шансы на успешное похищение учётных данных — пользователи видят знакомый адрес, за которым скрывается поддельная форма авторизации.
Особенно активно такие схемы реализуются через ранее взломанные корпоративные почтовые ящики. В случае с Proofpoint атакующие распространяли письма, имитирующие уведомления о голосовых сообщениях или совместном доступе к документам. Пример одной из атак включал переход от Bitly-ссылки к адресу в домене «urldefense[.]proofpoint[.]com», а затем — редирект через сайт «gojo[.]lci-nd[.]com» к поддельной странице Microsoft. Там пользователь вводил логин и пароль, передававшиеся напрямую злоумышленникам.
Система Intermedia тоже оказалась уязвима для схожих манипуляций. Здесь компрометация аккаунта в организации приводила к тому, что исходящие письма автоматически оборачивали вредоносные ссылки, визуально выдавая их за защищённые сообщения от Zix или документы Microsoft. Такие письма перенаправляли пользователей через платформы рассылки, включая Constant Contact, прямо на страницы, созданные для кражи данных.
Проблема имеет масштабные последствия. По данным Федеральной торговой комиссии США, только за 2024 год ущерб от почтового Для просмотра ссылки Войди
Для защиты от подобных угроз классических фильтров уже недостаточно. Эффективное противодействие требует более продвинутых методов анализа, основанных на машинном обучении и поведенческой аналитике. Современные системы должны учитывать историческую активность отправителей, структуру ссылок, контекст сообщений и даже эмоциональный тон содержания.
Подобная адаптивная защита учитывает прошлую активность отправителя, содержание письма, структуру URL-адресов и даже эмоциональный тон, что позволяет выявлять атаки до того, как пользователь перейдёт по ссылке. Тем не менее, сам факт того, что механизмы, призванные защищать, стали инструментом в руках атакующих, поднимает серьёзные вопросы о безопасности доверенных платформ и необходимости срочного пересмотра их архитектуры.
- Источник новости
- www.securitylab.ru
