Несмотря на непрерывную борьбу с фишинговыми атаками, их количество продолжает увеличиваться: в 2024 году рост составил 33% и 72%, по сравнению с 2023-м и 2022-м соответственно. Чаще всего злоумышленники атакуют организации через электронную почту, ведь этот канал уже долгое время используется компаниями как основное средство коммуникации между сотрудниками, клиентами и партнерами. В прошлом году на долю таких инцидентов пришлось 84%. Поэтому когда мы в ИБ говорим о защите от фишинга, то в первую очередь имеем в виду возможности обнаружения угроз в почтовом трафике.

Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике.

Но сначала — коротко об актуальности статьи. О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма. Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.

Щит от плохих писем

Начнем с решений класса secure email gateway (SEG): они фильтруют почтовый трафик, пропуская безопасные письма и блокируя сообщения, которые потенциально могут нанести ущерб системе. Как правило, SEG устанавливается на границе входящих в инфраструктуру данных. При этом нет строгих технических требований к тому, на каком этапе между границей и почтовым сервером должен стоять шлюз. Разберемся, как решение распознаёт фишинг.

SMTP-диалог

SEG может содержать отдельный агент пересылки почты (mail transfer agent, MTA) или являться им в своей сущности. Во втором случае система самостоятельно фильтрует SMTP-соединения с помощью первичных проверок, позволяющих отсеять подозрительный трафик перед более сложными тестами. Анализ может включать в себя:

  • проверку по статическим спискам и регулярным выражениям для заголовков HELO/EHLO, MAIL FROM, RCPT TO;

  • грейлистинг и ограничение числа запросов (rate-лимиты);

  • обязательное использование протокола TLS (TLS Mandatory);

  • проверку на наличие PTR-записи у входящего IP-адреса.

Заголовки EML

Передача сообщений в SMTP-диалоге осуществляется через заголовок DATA в формате EML. Это связано с тем, что каждый последующий узел не преобразует сообщение в специфический формат, а редактирует простой текст (plain text), добавляя свои метаданные и иногда изменяя тело письма. Таким образом, в SEG одной из групп проверок является поиск нарушений стандарта RFC в EML-формате. Сюда можно отнести:

  • отсутствие обязательных или важных заголовков, которое может указывать на использование самописных скриптов для рассылки сообщений;

  • дублирование уникальных заголовков — также возможно при использовании самописных программ, и еще это может свидетельствовать о попытках обойти средства защиты, например при эксплуатации известных уязвимостей;

  • проверка значений заголовков, которая позволяет выявить признаки ручного изменения и определить уровень опасности нарушений;

  • проверка результатов обработки писем другими средствами защиты (особое внимание уделяется нестандартным заголовкам, начинающимся с X, например X-Spam-Status и X-Virus-Status).

Сетевые активы

Электронные письма содержат в заголовках и теле много указаний на сетевые активы: имена узлов, почтовые и IP-адреса. Например, SEG может работать со статическим черным списком и проверять, состоят ли в нем IP-адреса источников SMTP-соединения, с которых пытаются направить письма. Шлюз также может использовать внешние репутационные списки и открытые данные об атаках, обнаруженных сторонними исследователями. Часто бывает ситуация, когда злоумышленники отправляют сообщения не напрямую, а через промежуточные почтовые узлы, поддерживающие пересылку от любых источников и доменов. В этом случае для проверки по внешним спискам, базам и потокам данных об угрозах могут использоваться заголовки:

  • Received — сохраняют маршрут письма;

  • X-Originating-IP — запоминают IP-адрес клиента, отправившего письмо через почтовый веб-клиент.

Аналогичные проверки можно провести с доменами и почтовыми адресами. Полезными для анализа будут идентификаторы:

  • из заголовков отправителя (From, Sender);

  • DKIM-подписи (находятся в ключе d=);

  • Return-Path (в большинстве случаев в нем содержится значение, переданное на этапе SMTP-диалога);

  • URL-ссылок в теле письма.

В SEG может быть полезная функциональность для обогащения сведений о сетевых активах вспомогательной информацией. Так, IP-адреса можно дополнить данными о номере автономной системы и стране, а домен — информацией о регистраторе и его владельце. Это, во-первых, даст аналитикам возможность принять более точное решение при ручном анализе писем, а во-вторых — поможет настроить правила фильтрации в соответствии с внутренними политиками ИБ.

Контент письма

Сюда можно включить следующие проверки:

  • определение эмоциональной окраски текста: например, по набору ключевых слов и их сочетаниям можно зафиксировать признаки убеждения;

  • оценка схожести сообщения с шаблонами известных спам- и вредоносных писем;

  • проверка тела и технических заголовков письма на соответствие стандарту MIME: если нарушений нет, значит, текстовая и HTML-части отображаются правильно, а вложения прикрепляются корректно;

  • поиск URL-ссылок: они могут находиться в теле письма и кликабельных элементах HTML-части;

  • графический парсинг HTML-части письма и вложений: это поможет распознать текст и обнаружить закодированные элементы, например QR-коды.

Детектор вредоносных ссылок

А теперь подробнее поговорим об инструментах URL-антифишинга. Решение, выполняющее такой анализ, может работать автономно, а может быть частью SEG. Кстати, техники проверки ссылок подойдут и для других каналов социальной инженерии.

Концептуально возможности URL-антифишинга можно разделить на три группы в зависимости от степени покрытия отдельных сценариев.

Статические проверки

Здесь имеется в виду принятие тех или иных решений без перехода по ссылке. Важно корректно извлечь адрес из тела письма, не потеряв ни одной части, и выделить основные звенья. Часто злоумышленники для сокрытия URL вредоносной страницы используют легитимные публичные сервисы, поддерживающие открытое перенаправление (open redirect). Антифишинг должен уметь не только находить FQDN, но и определять переадресацию.

По аналогии с сетевыми активами писем домены и IP-адреса URL-ссылок можно проверять по статическим и внешним репутационным спискам, а также в потоках данных об угрозах.

Кроме того, URL-антифишинг может искать в ссылках подозрительные конструкции: дефисы в доменах, IP-адреса вместо доменов и другие простые сигналы. Например, используемые в организации СЗИ не умеют детектировать DGA-домены, и мы упростили признак, чтобы реагировать на чрезмерно длинные имена и высокий уровень вложенности.

Динамический анализ

Это следующий шаг, позволяющий получить контент по ссылке. Выполнив GET-запрос, инструмент может:

  • получить полезную нагрузку файлов, обнаружив тем самым вредоносное ПО;

  • обработать ответы веб-сервера на переход по другим ссылкам, получив цепочку редиректов.

Существенный недостаток такого подхода — отсутствие рендера активного содержимого HTML-страниц. Злоумышленники часто пользуются им для противодействия автоматизированному и ручному анализу веб-контента.

Динамический анализ с эмулятором браузера

Логичное решение — внедрить в URL-антифишинг веб-браузер и передавать ему ссылки на проверку. Так нам не придется мучиться с деобфускацией JavaScript-кода, обрабатывать переходы и паузы внутри него. А значит, у нас будет больше шансов получить тот самый контент, который направляется пользователю. Но и здесь может случиться осечка, так как атакующие применяют разные средства для противодействия подобным решениям. Одно из них — конечно же, капча.

Капканы для вредоносов

Ни в коем случае не стоит забывать про файловые угрозы: почтовый трафик — рассадник ВПО. Самый простой подход к защите — настроить фильтры для блокировки входящих сообщений с вложениями разных форматов. Но это как-то неэкспертно, да и обойти такие правила легко. А еще вредоносные файлы далеко не всегда содержатся в письмах в явном виде — так их сразу обнаружат. Обычно злоумышленники дают прямую ссылку на скачивание ВПО или адрес файлового обменника. Самый частый случай — отправка архивов (вложенных, дробленых, защищенных паролями).

Динамический анализ в песочнице

В продвинутых инфраструктурах для защиты почты внедряются средства динамического анализа файлов и ссылок — песочницы. Они позволяют выявлять неизвестные, сложные и маскирующиеся вредоносные программы, тестируя подозрительные документы и адреса в изолированной виртуальной среде, которая имитирует инфраструктуру компании. В этих условиях вредонос решает, что попал в настоящую систему, и начинает проявлять себя. Песочница фиксирует угрозу и сообщает о ней решению, фильтрующему трафик, или блокирует попадание ВПО в контур организации — зависит от того, как внедрен продукт и какие в нем реализованы функции предотвращения атак.

Например, SEG, будучи системой фильтрации трафика, не может долго держать открытой сессию с отправителем подозрительного письма в ожидании вердикта от песочницы. Часто компании не рискуют задерживать поступление писем, поэтому песочница приземляется на копию данных. В таком случае она по умолчанию работает в режиме обнаружения, но вопрос с блокировкой все равно можно решить. Для этого реализуются дополнительные процессы для отправки писем-предупреждений и удаления опасных сообщений из папок получателей, что позволяет предотвратить взаимодействие пользователей с вредоносным контентом.

А что, если добавить в песочницу MTA со своим карантином и журналом сообщений? Мы в Positive Technologies решили так и сделать: разрабатываем собственный продукт класса SEG — PT Email Gateway, который будет интегрирован в PT Sandbox в качестве агента пересылки почты с функциями безопасности. Такую систему можно будет ставить в разрыв почтового трафика, что позволит исключить доставку вредоносных писем. Добавим сюда возможности URL-антифишинга (они уже реализованы в продукте) — получается полноценное решение с единым интерфейсом на базе PT Email Gateway и PT Sandbox, которое защитит от всех векторов атак через почту. Его MVP мы продемонстрируем в конце года на Positive Security Day.

Имитация атак на электронную почту

А в граничное защитное решение будет нелишним внедрить правила для блокировки современных техник злоумышленников. Собрать актуальные образцы и запустить их в инфраструктуру помогут специализированные средства имитации атак на электронную почту, например PT Knockin.

Мои коллеги исследуют реальные инциденты ИБ и техники сокрытия вредоносного ПО в почте. На основе этой экспертизы они создают образцы фишинговых писем с имитациями вредоносных техник. Эти сообщения можно направить на корпоративную почту и проверить, как средства защиты справляются с детектированием и анализом угроз, а также с поиском полезной нагрузки. Даже если функции СЗИ не позволят вскрыть вложенные архивы или корректно обработать невидимые символы в URL-ссылках, можно настроить правила детектирования фишинговой техники.

Слежка за лжебрендами

Нелегитимные веб-ресурсы организации, которые были обнаружены во входящем трафике, свидетельствуют о фишинговых атаках только на эту компанию. Однако тот же самый контент может использоваться и в отношении подрядчиков, партнеров, клиентов и других фирм. Для защиты чести и деловой репутации можно использовать решения класса digital risk protection (DRP). Они способны мониторить утечки чувствительной информации, фиксировать незаконное использование отличительных знаков компании в торговле и распространении информации, а также призывы к проведению атак и другим действиям.

Мы сейчас коснемся только антифишингового модуля в составе DRP-системы. Он отличается от аналогичных систем, работающих с потоком почтового трафика. Источником данных для модуля DRP может выступать любой интересный вам поток сетевых активов (доменов или URL-ссылок). Чтобы оперативно реагировать на размещаемые в сети подозрительные адреса, модуль должен иметь доступ к перечню вновь опубликованных и обновленных доменов. Эту информацию собирают и хранят регистраторы и владельцы зон, но не все из них готовы делиться сведениями. Если наладить взаимодействие не получится, можно подключить агрегаторов подобных данных.

Еще один источник — данные о выпускаемых SSL-сертификатах, а точнее, доменные имена, которые потенциально нуждаются в защите. Получить их перечень можно в результате анализа журналов центров сертификации, поддерживающих инициативу Certificate Transparency Community. Центры публикуют журналы, в которых зафиксированы все выпущенные сертификаты SSL/TLS.

Периодически получаемый список адресов нужно сравнивать с реальным доменом компании. Есть две известные техники, как это можно сделать:

  • Проверить домены на текстовую схожесть строк с помощью расстояния Левенштейна. Получили ноль — строки идентичны. Увидели разницу — столько операций нужно совершить для модификации одного домена в другой.

  • Сгенерировать много потенциальных сквоттинг-доменов на основе реального адреса. Можно фантазировать как угодно — переставлять, удалять, менять символы. Используя получившийся список, нужно искать похожие домены среди публикуемых и обновляемых имен.

Эти подходы не гарантируют 100%-ное обнаружение фишингового домена, но помогают хорошо отфильтровать адреса для углубленного анализа. Можно создать профиль легитимного домена: собрать имена хостов, данные DNS, WHOIS или RDAP, сведения о регистраторе. А на корневом сайте — найти логотипы, иконки, контакты, соцсети — все, что будет интересно. Для анализируемого домена нужно сделать то же самое. Далее сравниваем. Если совпадений много, система оповестит о фишинге.

А что делать дальше, если граничные решения этих атак не видят и заблокировать их не могут? Большинство территориальных доменных зон поддерживают правила, запрещающие публикацию нелегитимного контента. Если по запросу владелец отказался разделегировать домен, можно обратиться к хостинг-провайдеру и попробовать заблокировать содержимое ресурса.

Фишинговый дозор

А напоследок коротко расскажу о решениях для противодействия фишингу в тех случаях, когда пользователь уже нажал на ссылку или открыл файл.

Data leak prevention

  • Осуществляет профилирование пользователей: можно выделить паттерны поведения каждого клиента защищаемого домена. Появление нехарактерных признаков будет свидетельствовать о возможной компрометации учетной записи.

  • Обнаруживает нетипичные части и заголовки исходящих писем и проверяет их на предмет кражи информации. Бывает, что злоумышленники используют взломанные аккаунты для эксфильтрации данных.

Веб-прокси

  • Ищет признаки фишинга в контенте веб-страниц перед отображением пользователю.

  • Категоризирует веб-ресурсы по содержащемуся в них контенту и проверяет ссылки по базе категоризатора. Загружать данные о вредоносных доменах можно и без веб-категоризатора — через статические черные списки и сторонние базы с киберугрозами.

  • Ограничивает доступ к ресурсам для обмена информацией: почте, соцсетям, мессенджерам и так далее.

  • Позволяет провести ретроспективный анализ обращений пользователей к веб-ресурсам, чтобы найти причину инцидента или обнаружить другие скрытые атаки.

Многофакторная аутентификация

  • Защищает от использования аккаунтов в нелегитимных сценариях.

  • Фиксирует множественные и периодические попытки ошибочной аутентификации.

  • Ограничит использование скомпрометированного аккаунта для получения доступа к внутренним и внешним ИТ-системам.


Вот такой получился обзор. Заглядывайте в блог PT ESC TI и телеграм-канал ESCalator. Там мы рассказываем о новейших угрозах, разбираем интересные техники и инструменты киберпреступников.

Комментарии (0)