Полезные знания Google Translate для маскировки фишинга

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Рассказывая о различных уловках киберпреступников, мы рекомендуем внимательно всматриваться в адреса сайтов, на которые вы переходите по ссылке из письма.


Вот еще один из «красных флажков» — ссылка на страницу, переведенную при помощи сервиса Google Translate. В теории это может означать, что отправитель письма приглашает вас посетить сайт на другом языке и таким образом проявляет заботу. Но на практике чаще всего такой прием используют для того, чтобы обойти защитные механизмы, позволяющие выявить фишинг. В случае, когда письмо является частью деловой переписки, а на сайте вас просят ввести учетные данные от почты, — это однозначно повод закрыть окно браузера и удалить письмо.

Зачем злоумышленники вставляют ссылку на Google Translate

Давайте рассмотрим конкретный пример фишинга при помощи ссылки через Google Translate. Вот один из последних примеров, пойманных нашими ловушками:



Отправители письма пытаются создать впечатление, что они прислали некий платежный документ, доступный исключительно получателю письма, который необходимо изучить для «презентации встречи по контракту и последующих выплат». Ссылка с кнопки «Open» ведет на сайт, переведенный сервисом Google Translate. Правда, заметить это вы сможете, только перейдя по ней, потому что в письме она выглядит вот так:



Отвлечемся от странной формулировки — возможно, злоумышленники хотели создать впечатление, что они не являются носителями языка, чтобы ссылка на Google Translate выглядела более убедительно. А может быть, просто они никогда не видели реальных писем с финансовыми документами. На что нужно обратить внимание, так это на две ссылки снизу («Unsubscribe From This List» и «Manage Email Preferences») и на домен sendgrid.net в ссылке.

Это признаки того, что данное письмо было отправлено не вручную, а при помощи легитимного сервиса для рассылки почтовой корреспонденции.

В данном случае это был сервис SendGrid, но в принципе могли использовать и любого другого ESP-провайдера. Сервисы такого типа, как правило, следят за своей репутацией и время от времени удаляют почтовые кампании, созданные с целью фишинга, а также блокируют их авторов. Поэтому злоумышленники пропускают свои ссылки через Google Translate — защитные механизмы сервисов видят легитимный домен Google и не считают сайт подозрительным. То есть это попытка обмануть не только конечную цель, но и часть усилий по нейтрализации фильтров сервиса-посредника.

Как выглядит ссылка на страницу, переведенную при помощи Google Translate

Сервис позволяет переводить сайты целиком — достаточно выдать ему ссылку и выбрать языки оригинала и перевода. В качестве результата он выдает ссылку на страницу, в которой домен оригинала написан через дефисы, к адресу добавлен домен translate.goog, а далее следует имя страницы оригинала и ключи, показывающие с какого языка на какой был выполнен перевод.

То есть адрес перевода главной страницы сайта

Сайт, имитирующий страницу логина веб-почты.


В адресной строке браузера, несмотря на кучу мусорных символов, хорошо видно, что ссылка была переведена Google Translate.

Как оставаться в безопасности

Для того чтобы сотрудники компаний не попадались на уловки злоумышленников, мы рекомендуем периодически рассказывать им об актуальных фишинговых уловках и повышать их осведомленность о современных киберугрозах.

К слову, в данном примере подготовленный пользователь вообще не дошел бы до фишинговой страницы — шансы на то, что легитимный финансовый документ, адресованный конкретному получателю, будут рассылать через ESP-сервис, прямо скажем, невелики.

 
Сверху Снизу