Фишинг невидимыми символами: когда обман остается незамеченным
Киберпреступники продолжают придумывать новые схемы мошенничества
Методы фишинга развиваются по мере того, как пользователи становятся все более осведомленными о своей кибербезопасности. Мало кто не слышал о CEO-атаках, нигерийских письмах или просто предложениях товаров, которые слишком привлекательны, чтобы быть реальными.
Однако, несмотря на всю эту информацию, все еще встречаются случаи, когда киберпреступники, используя различные методы социальной инженерии, способны снова заманить пользователей в свои хорошо подготовленные схемы.
Это постоянный процесс, в котором воображение одних противостоит наивности других.
Антиспам и антифишинг
В попытке смягчить остроту проблемы появилось множество коммерческих решений по борьбе со спамом и фишингом, призванных помочь незащищенным пользователям. Цель заключается в том, чтобы предотвратить попадание таких ловушек в виде электронных писем, телефонных звонков или просто SMS до конечных получателей.
Однако у киберпреступников есть преимущество – “знание постановки задачи”. То есть они знают, что для достижения своих целей они должны преодолеть четко определенные и выявленные препятствия. По этой причине они разрабатывают планы атак, состоящие из двух отдельных фаз. Фазы, которые, будучи преодоленными, позволяют им завершить обман.
Первая фаза заключается в преодолении этих инструментов и обходе фильтров, которым они подвергают свои сообщения. Вторая, более привычная для широкой публики, направлена на то, чтобы после преодоления первой фазы пользователь выполнил запланированные действия, не осознавая своей ошибки.
Преодоление средств защиты и выход на жертву
Преодоление первого этапа, этапа антифишинговых инструментов, в настоящее время является очень сложной задачей. Существует множество приложений, использующих передовые методы искусственного интеллекта (столь модные в последнее время благодаря известности Chat GPT-3), которые могут определить наличие угроз безопасности практически в любом полученном нами сообщении.
Однако следует помнить, что они не являются непогрешимыми. Иногда размытая грань между законным и незаконным означает, что потенциально опасные электронные письма попадают к получателям, делая последних крайними звеньями в цепи кибербезопасности.
На этой грани, между тем, что считается угрозой и законным сообщением, находятся некоторые приемы, которые исторически использовались киберпреступниками и приобретают все большую популярность. Это приемы, которые маскируют сообщение так, что глаза видят одно, а содержание показывает другое.
Гомография ASCII-символы – это расширенная версия набора символов до 256 знаков, обычно используемых для кодирования текста на компьютерах, телефонах, принтерах и т. д. Не вдаваясь в подробности, эта статья является хорошим примером его использования.
Однако бывают случаи, когда этого набора символов недостаточно. Многие языки содержат символы, которые не входят в расширенный 256-символьный набор символов ASCII. Поэтому существуют варианты ASCII, которые должны охватывать региональные символы и знаки. И именно эти символы открывают некоторые возможности для киберпреступников.
Нетрудно использовать некоторые региональные символы, маскируя их под другой шрифт. Это известно как гомографические атаки, т.е. использование символов, имеющих визуальное сходство с теми, которые мы ожидаем увидеть.
Замена заглавной буквы “i” (I) на строчную “L” (l) или такие последовательности, как “rn” вместо “m”, являются простыми случаями использования. Но на этом они не заканчиваются; существование символов из других алфавитов является, пожалуй, самой распространенной формой эксплуатации. Например, такие слова, как “tωitter.com” или кириллические символы З, Ч и б, напоминающие цифры 3, 4 и 6, могут остаться незамеченными и привести к существенному искажению смысла.
Невидимые символы
Использование невидимых символов – еще один распространенный прием в цифровом мире. Это символы, которые не обязательно являются вредоносными, но могут привести к недопониманию, что влечет за собой непредвиденные ошибки и ущерб.
При построении сообщения такие инструменты, как Microsoft Office, обычно представляют свои тексты в соответствии с характеристиками, определенными в их формате. Поэтому, пользуясь этим свойством, существуют атаки, использующие символы, которые не видны, но, тем не менее, присутствуют в тексте. Обычно это управляющие символы в формате Unicode, которые легко вставляются в текст. Тем самым они изменяют интерпретацию текста по сравнению с визуальным восприятием.
Одним из наиболее часто используемых символов является U+2060; невизуальный символ, который можно вставить в письмо, редактируемое в Outlook, просто введя число “2060”, а затем нажав клавиши “Alt” и “X”. В итоге получается текст, который выглядит обычным, но содержит дополнительные символы, которые могут позволить киберпреступнику перенаправить свою жертву на неожиданный интернет-адрес.
Техника фишинга развивается по мере того, как пользователи становятся все более осведомленными о своей кибербезопасности.
Нулевые символы шрифта
Использование размера символов часто является еще одним приемом, который может ввести в заблуждение конечных пользователей. Это известно как нулевые символы шрифта, возможность, предоставляемая HTML-контентом, и ее можно увидеть на простом примере, если попытаться составить сообщение, в котором один из символов в слове имеет размер “0”.
Атака справа налево (RLO)
Еще одна техника, используемая киберпреступниками, – это эксплуатация порядка письма в определенных регионах. Использование управляющих символов Unicode позволяет отображать текст справа налево, как это делается в таких языках, как иврит или арабский. Таким образом, простой “пример” с использованием кода U+202e, предшествующего слову, покажет “ремирп”. В принципе, это безобидно.
Однако если этот пример ссылается на файл вредоносной программы “xcod.exe” и отображается читателю как “exe.docx”, все меняется. Настолько, что недавно было показано, что варианты этой техники могут вызывать, например, проблемы со стабильностью браузеров и терминалов, просто изменяя способ отображения текстов.
Другой вариант этого типа атаки – маскировка вредоносного кода перед глазами пользователя, что также открывает новые возможности для киберпреступников.
Копировать-вставить
Существуют даже техники, которые могут привести к неожиданным проблемам, используя процедуру “копировать-вставить”. На самом деле, всегда говорилось, что перед тем, как зайти на интернет-адрес, полученный из неизвестного источника, лучше ввести адрес вручную в браузере, чтобы щелчок по ссылке не привел нас туда, куда мы не хотим.
Но даже в этих обстоятельствах многие пользователи делают следующее: копируют (CTRL-C), казалось бы, правильный визуальный адрес и вставляют (CTRL-V) его во вкладку браузера. Техника была бы правильной, если бы не тот факт, что наши глаза показывают нам то, что мы копируем, а не то, что мы вставляем.
Заключение
Как видно, фишинговые техники часто являются результатом использования утилит и служб, предназначенных для других целей. Всегда используется слабость конечного пользователя, будь то в форме социальной инженерии или просто скрывая и имитируя информацию атаки.
Таким образом, такие утилиты, как управляющие символы, гибкость представления текста или даже простые CTRL-C, CTRL-V (среди многих других не упомянутых) могут привести к неожиданным и потенциально опасным ситуациям, когда фишинговой атаке удается достичь своей цели. В конце концов, если задуматься, часто говорят, что “киберпреступников не всегда можно застать врасплох”.
Это интересно:
Этапы атаки программ-вымогателей: от первоначального доступа до вымогательства
Распространенные методы кражи паролей