Обфускація «картинка в картинці» обманює Delta, Kohl для збору облікових даних

Хакери використовують тактику обфускації, покладаючись на глянцеві рекламні фотографії Delta Airlines і роздрібного продавця Kohl's, обманом змушуючи користувачів відвідувати сайти збору облікових даних і надавати особисту інформацію.

A остання кампанія Проаналізовані Avanan показали, як зловмисники приховують шкідливі посилання за переконливими фотографіями, що пропонують подарункові картки та програми лояльності від таких надійних брендів. У ширшому плані кампанія є частиною більшої тенденції кібершахраїв, які оновлюють стару тактику новими інструментами, такими як ШІ, які роблять фішинг переконливішим.

Дослідники Avanan, які назвали техніку обфускації «картинка в картинці», відзначили, що кіберзлочинці, які стоять за атаками, просто пов’язують маркетингові фотографії зі шкідливими URL-адресами. Це не слід плутати зі стеганографією, яка кодує зловмисне корисне навантаження на піксельному рівні всередині зображення.

Про це зазначає Джеремі Фукс, дослідник кібербезпеки та аналітик Avanan стеганографія часто надскладна, і «це набагато простіший спосіб робити речі, які все ще можуть мати той самий вплив, і хакерам легше відтворити їх у масштабі».

Корпоративні фільтри URL-адрес заважають обфускації зображень

Хоча підхід «картинка в картинці» простий, він ускладнює виявлення загрози URL-фільтрами, відзначили дослідники Avanan.

«[Електронний лист] виглядатиме чистим [для фільтрів], якщо вони не сканують зображення», згідно з аналізом. «Часто хакери із задоволенням пов’язують файл, зображення чи QR-код із чимось шкідливим. Ви можете побачити справжні наміри, використовуючи оптичне розпізнавання символів для перетворення зображень на текст або аналізуючи та розшифровуючи QR-коди. Але багато служб безпеки цього не роблять або не можуть».

Фукс пояснює, що іншою ключовою перевагою підходу є те, що зловмисність стає менш очевидною для цілей.

«Зв’язавши соціальну інженерію з обфускацією, ви потенційно можете представити кінцевим користувачам щось дуже спокусливе, щоб натиснути на нього та виконати дії», — каже він, додаючи застереження, що якщо користувачі наводять курсор на зображення, URL-посилання явно не пов’язане з підроблений бренд. «Ця атака є досить складною, хоча хакер, ймовірно, втрачає бали, не використовуючи більш оригінальну URL-адресу», — сказав він.

Хоча фішинг створює широку мережу споживачів, компаніям слід знати, що повідомлення про програму лояльності авіакомпаній часто надходять до корпоративних скриньок; і, в вік віддаленої роботи, багато співробітників використовують особисті пристрої для роботи або отримують доступ до персональних служб (наприклад, Gmail) на корпоративних ноутбуках.

«Що стосується впливу, [кампанія] була спрямована на велику кількість клієнтів у багатьох регіонах», — додає Фукс. «Хоча важко дізнатися, хто злочинець, подібні речі часто можна легко завантажити як готові комплекти».

Використання Gen AI для оновлення старих тактик

Фукс каже, що ця кампанія вписується в одну з нових тенденцій у сфері фішингу: підробки, які майже неможливо відрізнити від законних версій. У майбутньому використання генеративного штучного інтелекту (наприклад, ChatGPT) для допомоги в тактиці обфускації, коли мова йде про фішингові атаки на основі зображень, лише ускладнить їх виявлення, додає він.

«З генеративним штучним інтелектом це надзвичайно просто», — каже він. «Вони можуть використовувати його для швидкого створення реалістичних зображень знайомих брендів або послуг і робити це в масштабі без будь-яких знань дизайну чи кодування».

Наприклад, використовуючи лише підказки ChatGPT, дослідник Forcepoint нещодавно переконався штучний інтелект у створенні шкідливих програм стеганографії, які неможливо виявити, незважаючи на його директиву відхиляти зловмисні запити.

Філ Нерей, віце-президент зі стратегії кіберзахисту в CardinalOps, каже, що тенденція ШІ зростає.

«Новим є рівень складності, який тепер можна застосувати, щоб зробити ці електронні листи майже ідентичними до електронних листів, які ви отримували б від законного бренду», — каже він. «Як використання Дипфейки, створені ШІ, тепер штучний інтелект значно полегшує створення електронних листів із таким же текстовим вмістом, тоном і зображеннями, що й легітимний електронний лист».

Загалом фішери подвоюють те, що Фукс називає «заплутуванням у межах законності».

«Я маю на увазі приховування поганих речей у тому, що виглядає як хороші речі», — пояснює він. «Хоча ми бачили багато прикладів підробки законних служб, таких як PayPal, тут використовується більш перевірена версія, яка містить підроблені, але переконливі зображення».

Використання захисту URL-адрес для захисту від втрати даних

Потенційними наслідками атаки для компаній є грошові втрати та втрата даних, і щоб захистити себе, організації повинні спочатку ознайомити користувачів із цими типами атак, наголошуючи на важливості наведення курсора на URL-адреси та перегляду повного посилання перед натисканням.

«Крім цього, ми вважаємо важливим використовувати захист URL-адрес, який використовує такі методи фішингу, як цей, як індикатор атаки, а також запровадити захист, який перевіряє всі компоненти URL-адреси та емулює сторінку за нею», — зазначає Фукс.

Не всі погоджуються з тим, що існуюча безпека електронної пошти не справляється зі завданням уловлювання таких фішів. Майк Паркін, старший технічний інженер Vulcan Cyber, зазначає, що багато фільтрів електронної пошти вловлюють ці кампанії та або позначають їх як спам у гіршому випадку, або позначають як шкідливі.

Він зазначає, що спамери роками використовували зображення замість тексту в надії обійти фільтри спаму, а фільтри спаму еволюціонували, щоб справлятися з ними.

«Хоча останнім часом ця атака була досить поширеною, принаймні якщо про це свідчить спам у моїй власній папці небажаної пошти, це не особливо витончена атака», — додає він.

Хоча атаки з підтримкою ШІ можуть бути іншою історією. Нерей з CardinalOps каже, що найкращий спосіб боротьби з цими більш просунутими атаками на основі зображень — це використовувати великі обсяги даних для навчання алгоритмів на основі штучного інтелекту розпізнавати підроблені електронні листи — шляхом аналізу вмісту самих електронних листів, а також шляхом агрегування інформації про як усі інші користувачі взаємодіяли з електронними листами.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
• джерело: https://www.darkreading.com/endpoint/picture-in-picture-obfuscation-spoofs-delta-kohls-credential-harvesting