Уеб-измамниците вече прикриват фишинг-атаките си като легитимно изглеждащи HTML файлове

Уеб-измамниците към този момент прикриват фишинг-атаките си като законно изглеждащи HTML файлове (снимка: CC0 Public Domain)

Потребителите на е-поща от дълго време считат изпълнимите и.dll атачмънти като главен притежател на евентуални хакерски атаки, само че има и различен вид постоянно употребен файлов формат, за който би трябвало да се знае, че се употребява злонамерено. Според констатациите на компанията за ИТ сигурност Barracuda Networks, HTML атачмънтите се употребяват най-вече от атакуващите. 21% от всички атачмънти във формат HTML, сканирани от компанията, са се оказало носители на нещо рисково.

„ Тези офанзиви са сложни за разкриване, защото самите HTML атачмънти не са злонамерени “, написа Олеся Клевчук, основен продуктов маркетинг управител за имейл сигурност в Barracuda Networks. „ Нападателите не включват злоумишлен програмен продукт в самия атачмънт. Вместо това те употребяват голям брой пренасочвания с Java script библиотеки, поддържани другаде “.

Защо HTML атачмънтите се употребяват за офанзиви?

HTML атачмънтите се употребяват все по-масово за набези, защото офанзивите са по-трудни за идентифициране както от потребителите, по този начин и от системите за сигурност. В образеца, възложен от Barracuda, самият HTML атачмънт не носи никаква щета, не е злоумишлен. Той обаче пренасочва потребителя към рисков уебсайт.

Прикачените HTML файлове са съвсем дваж по-често употребявани за офанзиви от втория най-често срещан вид притежател на офанзиви. Ето по какъв начин наподобява самобитната ранглиста:

Но по какъв начин този толкоз безопасен привидно файлов формат може да се окаже толкоз рисков?

Как работят офанзивите

Хакерите вграждат злонамерени HTML файлове в електронни писма, които потребителите получават постоянно, като да вземем за пример обобщение на даден доклад с връзка за намиране на повече детайлности. В реалност това е фишинг имейл с прикачен към него рисков URL адрес. Чрез този способ от киберпрестъпниците заобикалят вграждането на дейни връзки в тялото на самото електронно писмо, тъй като системите за пречистване на електронната поща към този момент са научени да откриват такива злонамерени линкове. HTML методът разрешава да се заобиколят анти-спам и антивирусните политики и системи.

Когато потребителите отворят прикачените „ доклади “ или други сходни „ значими документи “, HTML употребява Java script, с цел да изпрати потребителя до външна система, която изисква от потребителя да вкара персоналните си идентификационни данни, с цел да влезе или да изтегли файл, който носи злоумишлен програмен продукт. По този метод измамниците си икономисват и друга неприятна задача – да основават подправен уеб страница, с цел да извърши офанзивата. Вместо това могат да основат формуляр за фишинг, непосредствено вграден в атачмънта, изпращайки „ въдицата “ като атачмънт вместо като връзка към уебсайт.

„ Потенциалната отбрана против тези офанзиви би трябвало да вземе поради цялостен имейл с HTML атачмънти, като преглежда всички пренасочвания и проучва наличието на имейла за злонамерени планове “, написа Клевчук.

Защита от HTML атачмънти

Експертите натъртват на три съществени съвета, които да оказват помощ на потребителите да не станат жертва на тези типове офанзиви:
Уверете се, че вашата имейл отбрана сканира и блокира злонамерени HTML прикачени файлове; Обучете потребителите си да разпознават и рапортуват евентуално злонамерени HTML прикачени файлове; Ако злонамереният имейл е минал, пригответе инструментите си за „ коригиране “ на пощата.
И организациите, и обособените физически би трябвало да бъдат бдителни при приемането на писма с атачмънти, когато те са HTML. При състояние, че една пета от прикачените HTML файлове са злонамерени, на всяко писмо с сходен „ товар “ би трябвало да се гледа с съмнение и всички елементи да се изследват деликатно. Организациите, които имат автоматизирани системи за сигурност могат да влагат в по-добро разкриване и отговор на имейли, с цел да попречат на този злоумишлен вид файлове въобще да доближат входящите кутии на потребителите.