Крупномасштабная фишинговая кампания была нацелена на клиентов онлайн-банкинга — большинство из которых были канадцами — в течение последних двух лет, обнаружили исследователи в Check Point.

Кампания была обнаружена во время отслеживания потока фишинговых писем, выдававших себя за письма из Королевского Банка Канады (RBC). Анализ электронной почты выявил украинский IP-адрес, на котором размещалось более 300 доменов, имитирующих РБК и другие финансовые институты.

«Обнаруженные артефакты выявили фишинговую атаку, которая преследовала клиентов канадских банков по меньшей мере два года”, — говорится в отчете Check Point.

«Посылая очень убедительные электронные письма своим целям, постоянно регистрируя похожие домены для популярных банковских услуг в Канаде и создавая индивидуальные документы, злоумышленники смогли провести крупномасштабную операцию и оставаться под радаром в течение длительного времени.”

Фишинговые электронные письма предписывали жертвам как можно скорее войти в свои банковские счета, чтобы обновить различную информацию, связанную со счетами. Жертвы вводили данные на поддельные веб-страницы, и злоумышленники использовали эти данные, чтобы украсть у них деньги, говорится в докладе.

При всей мощи социальных сетей, используемых для кражи учетных данных, фишинговые схемы стали чрезвычайно сложными, целенаправленными и быстрыми, отметил Джастин Фокс, директор по разработке dev-ops engineering в NuData.

«Часы тикают с того момента, как пользователь получает вредоносное электронное письмо. Большинство пользователей будут нажимать на ссылки и предоставлять свою информацию или открывать зараженный вредоносными программами документ в течение этого первого часа. Как только они это делают, их учетные данные немедленно собираются хакерами для использования или продажи в темной паутине.”

PDF-файл, прикрепленный к одному из фишинговых писем, привел исследователей к более масштабной трансграничной кампании, говорится в докладе.

«Было несколько вариантов PDF-вложений (в электронных письмах), с небольшими различиями между ними. Однако некоторые из текстовых инструкций, которые они содержали, были повторяющимися, использовали уникальные формулировки и появлялись более чем в одном документе. Это позволило нам найти больше образцов и найти связанные с ними PDF-файлы, датируемые 2017 годом.”

Некоторые PDF-документы были защищены паролями, чтобы избежать обнаружения. Пароль был упомянут в письме, говорится в отчете.

«Фишинговый сайт, который появился в PDF-вложениях, которые мы исследовали сначала (royalexpressprofile[.] com) разрешен на украинский IP-адрес: 176.119.1[.]80. Изучение этого IP-адреса показало, что он размещал больше доменов, олицетворяющих РБК, в дополнение к другим банкам.”

Образование и элементарные меры предосторожности являются ключом к предотвращению фишинговых атак, сказал Джонатан Кнудсен, старший стратег по безопасности компании Synopsys.

«Пользователи должны понимать возможности фишеров. Они должны знать, что любой может создать сайт, который выглядит точно так же, как настоящий, и каждый может получить законный сертификат для поддельного сайта.”

Пользователи всегда должны проверять URL-адрес, который они посещают, чтобы убедиться, что он соответствует тому, что они ожидают, и должны требовать более подробной информации, если они подозревают нечестную игру, предложил Кнудсен.

Однако обучение конечных пользователей не является надежным решением, сказал Фокс Нудаты.

«Продолжающийся успех этих атак подчеркивает серьезный недостаток в методах проверки личности, которые могут быть украдены и повторно использованы. Компании должны внедрить многоуровневый подход к аутентификации, который обеспечивает новые и более безопасные методы, такие как пассивная биометрия и поведенческая аналитика, чтобы определить, получает ли ожидаемый пользователь доступ к учетной записи и совершает ли он операции с ней, или киберпреступник, который должен быть заблокирован”,-сказал он.

Томас Ричардс, главный консультант Synopsys, также возлагает ответственность за безопасность на компании.

«Фишинг и атаки на электронную почту представляют собой двойную проблему для компаний, которую необходимо решить; первый-это технический контроль, а второй-образование человека. Компании должны инвестировать в службу фильтрации спама и электронной почты, чтобы предотвратить попадание известных или подозрительных писем к получателям. Дополнительные элементы управления включают в себя программное обеспечение защиты конечных точек и настройку корпоративного почтового клиента для представления баннера на любых внешних электронных письмах”, — сказал он.

«Что касается человеческого контроля, то обучение сотрудников по вопросам безопасности должно быть обязательным для всех сотрудников и охватывать то, какие типичные методы фишинг-атаки и что должно вызвать подозрение у получателя. Наконец, компания также должна инвестировать в регулярное тестирование фишинговой безопасности своих сотрудников, чтобы убедиться, что технические средства контроля и компоненты человеческого образования работают для предотвращения реальной атаки”, — добавил он.