Nowoczesne rozwiązania chroniące przed phishingiem i spamem coraz częściej korzystają z różnych technologii uczenia maszynowego. Dzięki użyciu sieci neuronowych trudno jest je oszukać, więc oszuści zaczęli korzystać z prostej, ale skutecznej sztuczki: umieszczają tekst w postaci zdjęcia. Następnie osadzają taki obraz w treści wiadomości przy użyciu kodowania Base64 (zazwyczaj obrazy w wiadomościach e-mail są hostowane w zewnętrznej witrynie internetowej, a klienty pocztowe nie wyświetlają obrazów w wiadomościach pochodzących spoza firmy). Większość takich wiadomości ma na celu wyłudzenie poświadczeń do usługi Microsoft Office 365.
Wiadomość phishingowa
Zasadniczo wiadomość jest obrazem z białym tłem (dzięki czemu wtapia się w domyślny interfejs programu Outlook). Oto typowy przykład takiej wiadomości phishingowej:
Jak zawsze, w takiej sytuacji należy przeanalizować każdy element odebranej wiadomości: czy koresponduje on z treścią, wygląda normalnie i nie wzbudza podejrzeń. Tu jednym z aspektów, który wydaje się być podejrzany, jest format. Nie ma powodu, aby ta (lub jakakolwiek inna) wiadomość była obrazem. Tekstu używają przede wszystkim wiadomości generowane automatycznie, dotyczące np. weryfikacji konta. Sprawdzenie, czy wiadomość jest obrazem, czy tekstem, nie jest trudne: wystarczy umieść wskaźnik myszy na hiperłączu lub przycisku i sprawdzić, czy kursor myszy się zmieni — przy normalnym tekście tak właśnie będzie. W tym przypadku jednak kliknięcie dowolnego miejsca na zdjęciu spowoduje otwarcie hiperłącza, ponieważ został do niego przypisany docelowy adres URL, więc w zasadzie cały obraz jest jednym przyciskiem/hiperłączem.
Jeśli masz jakiekolwiek wątpliwości, spróbuj zaznaczyć część tekstu lub zmienić rozmiar okna klienta poczty. Jeśli widomość jest obrazem, nie będzie można podświetlić żadnych wyrazów w tekście, a zmiana rozmiaru okna nie spowoduje zawinięcia się wierszy tekstu ani zmiany jego długości.
Wiarygodności nie dodaje też ogólny styl widomości — użyte w niej różne czcionki i odstępy między wierszami, niewłaściwe użycie znaków interpunkcyjnych i niezgrabny język są oznakami oszustwa. Oczywiście ludzie popełniają błędy, ale szablony przygotowane przez firmę Microsoft zazwyczaj są dobrej jakości. Jeśli widzisz tak wiele rażących błędów w jakiejkolwiek wiadomości, najprawdopodobniej jest to phishing.
I jeszcze jedno: Twoje podejrzenia powinna wzbudzić także informacja, że konto musi zostać zweryfikowane w ciągu 48 godzin. Oszuści często ponaglają w ten sposób użytkowników do podjęcia nieroztropnych działań.
Strona phishingowa
Strona, do której prowadzi ta wiadomość, wygląda jeszcze mniej przekonująco. Ta prawdziwa, należąca do Microsoftu, znajduje się w domenie Microsoft. Tymczasem reklama „Stwórz swoją witrynę z WordPress.com” to wyraźny dowód na to, że strona została utworzona na bezpłatnej platformie hostingowej WordPress.
Ogólnie rzecz biorąc, strona internetowa tego projektu wyglądałaby jak prawdziwa — ale jakieś 25 lat temu. Dla porównania prezentujemy nowożytną stronę logowania usług firmy Microsoft: https://login.microsoftonline.com/.
Jak zachować bezpieczeństwo
Niezawodne rozwiązanie ochronne wykrywa wiadomości phishingowe na podstawie kilku czynników, a nie tylko analizy tekstu. Dlatego zalecamy korzystanie z nowoczesnych mechanizmów ochrony poczty, dostępnych na przykład w ramach naszego produktu Kaspersky Security for Microsoft Office 365.
Każda stacja robocza i urządzenie z dostępem do internetu, z których korzystają pracownicy, również potrzebują dodatkowych zabezpieczeń, które będą stanowić barierę przed wyłudzaniem informacji i innymi sztuczkami.
Nieustannie edukuj pracowników w zakresie cyberbezpieczeństwa poprzez udział w szkoleniach. Im lepiej ludzie rozumieją sposoby stosowane przez współczesnych cyberprzestępców, tym mniejsze jest prawdopodobieństwo, że padną ofiarą phishingu.