Byte/RE ИТ-издание

BI.ZONE CESP для защиты от квишинга

Компания BI.ZONE представила обновленный сервис CESP, который защищает от квишинга в письмах и учитывает уровень киберграмотности сотрудников. Теперь мошенники не смогут скрыть фишинговые ссылки в электронной почте с помощью QR-кодов, иноязычных знаков препинания, HTTP-якорей или query-параметров. Обновленный BI.ZONE CESP также определяет попытки спрятать большое количество получателей рассылки, а благодаря интеграции с BI.ZONE Security Fitness усиливает защиту наиболее уязвимых сотрудников.

Как отмечают в BI.ZONE, в этом году одними из самых популярных методов маскировки нежелательного контента остаются фишинг с использованием QR-кодов (квишинг) и различные методы сокрытия вредоносных ссылок: за HTTP-якорями, query-параметрами, редко встречающимися символами и знаками препинания. Ссылки в QR-кодах в большинстве случаев ведут на сайты, правдоподобно имитирующие страницы известных компаний или сервисов. Так, в одной из квишинговых рассылок QR-код вел на поддельную страницу входа в известный почтовый клиент. Если бы пользователь ввел свои логин и пароль, данные отправились бы напрямую к злоумышленникам, а на странице появилось бы оповещение об ошибке.

В свою очередь, HTTP-якори и query-параметры использовались для сокрытия вредоносных ссылок в 30% фишинговых рассылок (по данным BI.ZONE CESP за I квартал 2024 г.). В обычных ссылках HTTP-якори позволяют пользователю переходить сразу на нужный раздел сайта; query-параметры упрощают работу со страницей: навигацию, поиск в каталоге; а владельцы страниц используют их, чтобы собирать и систематизировать информацию о посещениях сайта. Согласно стандарту RFC 3986, регулирующему структуру и синтаксис URL, браузеры не должны обрабатывать эти символы при переходе по ссылке, если они находятся за специальными разделителями. На практике такие знаки все равно часто учитываются, чем и пользуются мошенники: они добавляют в легитимную на вид ссылку скрытые вредоносные элементы.

Среди других популярных методов преступников были: добавление во вредоносные ссылки иноязычных знаков препинания или редко используемых символов, которые могут помешать защитным механизмам распознать URL; массовые рассылки со скрытым числом получателей, поскольку чем шире аудитория, тем больше шансов на результат.

Теперь BI.ZONE CESP с помощью машинного зрения распознает QR-коды и анализирует содержащиеся в них ссылки. Улучшен механизм парсинга URL, чтобы вредоносные техники нельзя было скрыть за query-параметрами или HTTP-якорями, для парсеров постоянно расширяется набор считываемых символов и форматов, чтобы выявлять любые попытки необычной кодировки. Кроме того, обновленный сервис BI.ZONE CESP фиксирует техники, которые злоумышленники используют, чтобы скрыть большое число получателей письма. Для таких писем автоматически повышается спам-рейтинг, и они отправляются в карантин, даже если остальные механизмы проверки не зафиксировали в рассылке вредоносной составляющей.

Благодаря расширенной интеграции с BI.ZONE Security Fitness, платформой для повышения киберграмотности сотрудников, в обновленном CESP улучшена защита от методов социальной инженерии. По итогам тренировок на Security Fitness формируется рейтинг пользователей, который показывает, кто из них потенциально уязвим к социотехническим атакам. Для таких сотрудников карантин писем будет более строгим и охватит все письма с малейшим подозрением на фишинг.

Помимо используемых злоумышленниками тактик и техник специалисты BI.ZONE CESP следят на новыми уязвимостями в ПО, которое участвует в SMTP-диалоге. Если для какой-либо уязвимости необходимо манипулировать почтовым трафиком, для нее создаются защитные правила, чтобы обезопасить пользователей до появления патчей. Это особенно актуально для ПО, которое не обновляется в России официально.

Важная часть обновления BI.ZONE CESP – расширение возможностей администрирования на стороне клиента, в том числе при самостоятельной работе с журналом сообщений. Теперь администратор может отправить себе на электронную почту выдачу по любому фильтру журнала. В CSV-документе по каждому письму будут указаны дата и время, идентификаторы соединения и сообщения, IP-адрес отправителя, email-адреса отправителя и получателя, тема, размер сообщения в байтах, рейтинг статус доставки и действия BI.ZONE CESP.

Сам журнал стал подробнее. В обновленных карточках есть информация о присутствии письма в белом или черном списке по какой-либо характеристике отправителя, получателя или IP-адреса; при наличии ссылок – о веб-категориях соответствующих доменов, ссылки на которые содержатся в письме; сработавших правилах расширенного списка. Каждое свойство можно рассмотреть в деталях. Кроме того, появились фильтры по статусу доставки сообщения, категории URL в письме, ответу почтового сервера во время доставки и защищаемому домену.

Процесс настройки конфигурации защищаемых доменов стал прозрачнее. Теперь, когда процесс находится на стороне инженеров BI.ZONE CESP, заказчик может увидеть, какую из четырех стадий он проходит: синхронизация, проверка SMTP-серверов, отправка тестового письма или ожидание изменения MX-записей. На каждой из стадий можно запустить проверку и увидеть актуальный статус.

Вам также могут понравиться