Войти Регистрация

Выберите страну

  • События
  • О компании
  • Вакансии
  • Карта вендоров
  • События
  • О компании
  • Вакансии
  • Карта вендоров
News

Фишинговые атаки с «открытыми редиректами»

News | 15.09.2021

Наведение указателя мыши на ссылки, чтобы увидеть, ведет ли фактический URL-адрес на ожидаемый сайт, является основным методом предотвращения вредоносных ссылок. Именно поэтому киберпреступники все чаще используют «открытые перенаправления» - использование URL-адреса, который выглядит как ссылка на законный сайт, но незаметно перенаправляет трафик на вредоносный сайт.

Перенаправления (редиректы) очень распространены и очень полезны. Например, если вы вводите URL-адрес определенной банковской выписки, сервер банка перенаправит вас на страницу входа, а после входа в систему автоматически перенаправит вас на страницу, которую вы изначально запрашивали. Перенаправления часто используются по техническим причинам, например, когда сайт перемещается на новый домен, или если страницы веб-сайта изменены или веб-сайты реорганизованы, и владелец не хочет терять размещение в поисковых системах.

Редиректы также используются в маркетинговых целях; некоторые компании имеют несколько доменных имен для одного и того же контента и используют перенаправления для перемещения трафика на основной сайт. Кроме того, перенаправления важны для отслеживания рекламы: конкретное объявление может содержать уникальный URL-адрес, который перенаправляется на соответствующую страницу, поэтому маркетологи могут оценить, насколько эффективно каждое объявление генерирует трафик на их сайт.

«Открытые перенаправления» указывают на то, что веб-сайт не накладывает ограничений на перенаправления. Это опасная практика, о которой опытные веб-мастера должны знать. Веб-сайты должны быть настроены так, чтобы запрещать редиректы на другие сайты или требовать, чтобы внешние перенаправления были в списке разрешенных. Но не все веб-мастера достаточно осведомлены или осторожны, и хакеры стремятся использовать эти сайты, чтобы сделать все возможное.

При использовании открытого редиректа хакер вставляет URL-адрес легитимного веб-сайта в виде ссылки в фишинговом письме. Легитимный характер ссылки - это то, что заметит пользователь, заботящийся о безопасности, и то, что убеждает его в том, что переход по ссылке безопасен. Однако в этой ссылке скрывается код, который перенаправляет щелчок на другой вредоносный веб-сайт.

Принцип работы такой: пользователь получает фишинговое письмо. Когда он нажимает на ссылку, то сначала попадает - то есть перенаправляется - на фишинговую страницу, на которой отображается проверка reCAPTCHA, которая наводит на мысль, что пользователь получил доступ к подлинно безопасному сайту. Затем пользователь получает фальшивое сообщение об ошибке, в котором предлагается повторно ввести пароли. Таким образом, киберпреступники получают учетные данные пользователя.

Эффективность современных почтовых угроз зависит от трех факторов:

  • убедительной приманки социальной инженерии,
  • хорошо продуманной техники уклонения от обнаружения,
  • надежной инфраструктуры для проведения атаки.

Учитывая факт, что 91% всех кибератак происходит с помощью электронной почты, организации должны иметь решение безопасности, которое обеспечит им многоуровневую защиту от фишинговых атак.

Многие исследования показали, что даже обученные пользователи переходят по достаточно сложному фишинговому письму.

Удаленная изоляция браузера (RBI) - лучший способ защиты от фишинговых атак, независимо от того, какие механизмы они используют - вредоносные вложения, вредоносные ссылки или сайты с кражей учетных данных. С помощью RBI веб-сайты открываются в виртуальных браузерах в удаленных контейнерах в облаке. В браузер на пользовательском устройстве передаются только данные безопасного рендеринга: любое вредоносное ПО на веб-сайте никогда не достигает конечной точки.

Такие решения, как Ericom RBI, интегрируют Content Disarm & Reconstruct, который анализирует вложения в удаленном контейнере, удаляя вредоносные программы перед загрузкой файлов с сохранением встроенных функций. На основании данных из сети Ericom Threat Intelligence Network известные опасные сайты и те, которые являются новыми, подозрительными или неклассифицированными, открываются в режиме только для чтения, что не позволяет пользователям вводить учетные данные на фишинговых сайтах, подобных тем, которые используются в кампаниях с открытой переадресацией.

Обращайтесь за персональной консультацией по решениям Ericom к сертифицированным специалистам Softprom.

Softprom - Value Added Distributor компании Ericom Software.

 

Заказать консультацию
О компании