Компания Microsoft опубликовала отчет о тенденциях вредоносного ПО и кибербезопасности в 2019 году, в котором также рассказала о росте активности фишинговых атак.

По словам Microsoft, количество обнаруженных фишинговых писем выросло с 0,2% в январе 2018 года до 0,6% в октябре 2019 года. В то время как количество фишинговых атак увеличилось, общее число вымогательского ПО, криптомайнеров и других вредоносных программ сократилось.

В своем блоге компания рассказала о трех наиболее сложных фишинговых атак, выявленных в нынешнем году.

Первой является многоуровневая вредоносная кампания, в результате которой киберпреступники отравили результаты поиска Google. Мошенники сначала направляли перехваченный с законных сайтов web-трафик на собственные ресурсы. Попав в топ результатов поиска Google по ключевым словам, преступники отправляли жертвам электронные письма со ссылками на данные результаты поиска. Если пользователь нажимал на подобную ссылку, а затем на популярный результат поиска, он попадал на сайт, где его перенаправляли на фишинговую страницу.

Другая вредоносная кампания была выявлена в августе. Мошенники использовали вредоносные пользовательские страницы с ошибкой 404 для осуществления мошеннических атак. Тогда как большинство фишинговых писем содержат ссылку на мошеннический URL-адрес, в рамках данной кампании злоумышленники использовали ссылки на несуществующие страницы. Системы безопасности Microsoft во время сканирования ссылки обнаруживали ошибку 404 и считали ссылку безопасной, тогда как в действительности пользователь перенаправлялся на вредоносный сайт. Использование алгоритмов генерации поддоменов и постоянная смена домена позволяли злоумышленникам создавать большое количество фишинговых URL-адресов.

Третья фишинговая кампания заключалась в осуществлении MitM-атак. Злоумышленники собирали связанную с целевой компанией информацию (логотипы, баннеры, текст и фоновые изображения) с сайта Microsoft, и с помощью данных элементов создавали свой фишинговый сайт, который практически никак не отличался от настоящего. Далее фишеры рассылали письма с URL-адресами, имитирующими страницы авторизации. У жертв складывалось впечатление, что они находятся на легитимной странице, однако выдать подвох мог URL-адрес, отображающийся в адресной строке браузера.