F.A.С.С.T. о росте числа рассылок с подменой букв
Компания F.A.С.С.T. сообщила, что зафиксировала резкий рост числа попыток обхода антиспам-решений с помощью омоглифов – графически одинаковых или похожих друг на друга знаков во вредоносных рассылках. В III квартале 2023 г. количество подобных писем в 11 раз превысило показатели аналогичного периода прошлого года. Самые популярные у киберпреступников подменные буквы – Е, О, С, А.
По данным специалистов Центра кибербезопасности F.A.C.C.T., резкий всплеск подмен в символах тем и текста в письмах с вредоносным вложением наблюдается с начала года. Подобную технику используют операторы стилера WhiteSnake, программы для кражи учетных данных из браузеров, приложений и криптокошельков. В августе стилер распространялся под видом письма от следователя, сотрудники компаний получали письма якобы с запросом дать показания по уголовному делу. На самом деле в рассылке был архив с вредоносным ПО.
Как отмечают в компании, расстановка омоглифов позволяет киберпреступникам и спамерам разослать больше писем, обходя встроенные фильтры почтовых сервисов на исходящие сообщения и снижая вероятность оперативной блокировки почтового адреса, откуда шла рассылка. С другой стороны, таким образом вредоносные письма обходят антиспам-системы во входящих письмах и могут дойти до адресатов.
Как правило, злоумышленники добавляют латинские символы-омоглифы в письма на русском языке. Самыми популярными литерами для замены стали Е, О, С, А, использования специальных символов или других алфавитов не обнаружено. В письмах из одной вредоносной рассылки могут встречаться различные варианты замен букв.
Рассылка фишинговых писем остается одним из наиболее распространенных векторов атак. Причем такой простой прием, как подмена букв на латинские в письмах на русском языке, комментируют в F.A.С.С.T., может обмануть рядовую антиспам-систему, а получатель письма рискует скомпрометировать свою электронную почту, устройство или всю сетевую инфраструктуру компании, пройдя по фишинговой ссылке или открыв архив с вредоносным ПО. Автоматизированную систему защиты электронной почты от фишинговых рассылок так легко не провести.