Эволюция почтовых фишинговых атак: как злоумышленники переиспользуют и совершенствуют известные техники

Вступление

Киберугрозы постоянно развиваются, и почтовый фишинг — не исключение. Злоумышленники придумывают все новые методы обхода фильтров и обмана бдительности пользователей. При этом уже известные и даже старые забытые приемы тоже никуда не деваются, а иногда — обретают вторую жизнь. В этой статье я расскажу, какие необычные техники используют злоумышленники в 2025 году.

PDF: от QR до паролей

Рассылки с PDF-вложениями все чаще встречаются как в массовом фишинге, так и в целевом. При этом если раньше в PDF-файлах содержались преимущественно фишинговые ссылки, то сейчас основной тренд в таких атаках — использование QR-кодов.

Письмо с PDF-вложением, содержащим фишинговый QR-код

Это довольно логичное продолжение тренда с использованием QR-кодов непосредственно в теле письма. Такой метод одновременно и упрощает маскировку фишинговой ссылки, и мотивирует пользователя открыть ее на телефоне, который может быть в меньшей степени защищен, нежели рабочий ПК.

Рассылки с фишинговыми ссылками в PDF-вложениях тоже остаются актуальными, но злоумышленники все чаще применяют к ним дополнительные техники защиты от обнаружения. Так, некоторые PDF-файлы зашифрованы и, чтобы их открыть, требуется пароль.

Фишинговое письмо с запароленным PDF-вложением

Пароль может как содержаться в письме с PDF, так и отправляться отдельным сообщением. Это, с одной стороны, затрудняет быстрое сканирование файла, с другой — добавляет злоумышленникам «солидности» и может восприниматься как соответствие высоким стандартам безопасности. Как следствие, такие письма вызывают больше доверия у пользователя.

PDF-файл после ввода пароля

Фишинг и календарные уведомления

Использование событий в календаре — это довольно старая спам-техника, которая была в тренде в конце 2010-х, а после 2019 года постепенно сошла на нет. Суть ее проста — злоумышленники отправляют письмо, содержащее календарную встречу. Тело письма при этом может быть пустым — фишинговая ссылка скрывается в описании события.

Пустое письмо с фишинговой ссылкой в календарной встрече

При открытии такого письма событие добавляется в календарь вместе со ссылкой. А если пользователь, не разобравшись, примет встречу, в дальнейшем он получит напоминание о ней уже от приложения календаря. В результате жертва рискует перейти на фишинговый сайт, даже если не станет открывать ссылку непосредственно в исходном сообщении.

В 2025 году фишеры снова начали использовать эту технику. При этом, если в конце 2010-х подобные рассылки были преимущественно массовыми, а встречи создавались из расчета на календарь Google, то сейчас они используются в B2B-фишинге и нацелены на офисных сотрудников.

Фишинговая форма входа в аккаунт Microsoft из «календарного» фишинга

Проверка существующих аккаунтов

Злоумышленники модернизируют не только способы доставки фишингового контента, но и сами фишинговые сайты. Зачастую даже в самых примитивных на первых взгляд рассылках распространяются ссылки на страницы с использованием новых техник.

Фишинг с «голосовыми сообщениями»

Например, мы видели минималистичную рассылку, стилизованную под уведомления об оставленных для пользователя голосовых сообщениях. В теле письма содержится всего пара предложений текста с пробелом в слове Voice и ссылка, которая ведет на минималистичный лендинг, предлагающий «послушать» само сообщение.

Лендинг по ссылке из фишингового письма

Но вот если пользователь нажмет на кнопку, он попадет не на одну, а на целую цепочку страниц верификации (CAPTCHA). Вероятно, таким образом злоумышленники пытаются с гарантией защититься от ботов защитных решений.

Цепочка страниц верификации с CAPTCHA

Несколько раз доказав, что он не робот, пользователь наконец-то окажется на сайте, имитирующем форму авторизации Google.

Фишинговая форма авторизации

Эта страница интересна тем, что проверяет адрес Gmail, который вводит пользователь, и, если он не зарегистрирован, выдает ошибку.

Сообщение об ошибке

Если жертва введет валидный адрес, то неважно, какой пароль она укажет: фишинговый сайт выдаст схожую страничку, только с сообщением об ошибке в пароле. В обоих случаях при нажатии кнопки Reset Session снова откроется форма ввода e-mail-адреса. Если невнимательный пользователь в попытках залогиниться будет перебирать разные аккаунты и пароли, они все попадут в руки злоумышленников.

Обход MFA

Поскольку многие пользователи защищают аккаунты при помощи многофакторной аутентификации, злоумышленники пытаются теми или иными способами получить не только пароли, но и одноразовые коды и иные данные, которые могут использоваться с этой целью. Если говорить о почтовом фишинге, рассылки, перенаправляющие пользователей на сайты с обходом многофакторной аутентификации (MFA), могут быть абсолютно разными — от примитивных до хорошо сверстанных писем, в которых с первого взгляда сложно распознать подделку. Рассмотрим письмо из второй категории.

Фишинговое письмо, имитирующее уведомление от сервиса pCloud

В отличие от большинства фишинговых писем, которые пытаются сразу запугать пользователя или иным способом привлечь его внимание , здесь мы видим весьма нейтральную тему — уведомление об обращении в техподдержку защищенного облачного хранилища pCloud с просьбой оценить качество проделанной работы. Никаких угроз или призывов что-то срочно сделать. При попытке перехода по ссылке пользователь попадает на фишинговую форму авторизации, внешне идентичную оригинальной, но с одним отличием — вместо pcloud.com злоумышленники используют аналогичный домен на другом TLD: p-cloud.online

Фишинговая форма авторизации

На каждом этапе взаимодействия пользователя с формой на сайте он связывается через API с настоящим pCloud. Таким образом, если ввести адрес, который не зарегистрирован в сервисе, то, как и в предыдущем примере, пользователь увидит ошибку. Если же ввести реальный адрес, то откроется форма ввода верификационного кода (OTP) — этот код при входе в аккаунт запрашивает и реальный pCloud.

Форма ввода кода верификации

Поскольку фишинговый сайт перенаправляет все введенные данные на настоящий, обмануть верификацию не получится: если указать случайную комбинацию, то сайт ответит ошибкой.

Попытка обойти верификацию

Реальный код верификации pCloud отправляет на адрес электронной почты, который пользователь указал на фишинговом сайте.

Письмо с кодом верификации

Уже после того как пользователь «верифицировал» аккаунт, он попадает на форму ввода пароля — его также запрашивает настоящий сервис. После этого на фишинговом сайте открывается копия сайта pCloud, а злоумышленники получают доступ к аккаунту жертвы. Стоит отметить, что копия сделана качественно, в ней даже присутствует дефолтная папка с дефолтной картинкой, идентичная оригинальной, и пользователю может потребоваться время, чтобы понять, что его обманули.

Форма ввода пароля

Заключение

Злоумышленники все чаще внедряют различные методы защиты от обнаружения как в свои рассылки, так и на фишинговые сайты. В почте к таким методам относятся, например, PDF-документы с QR-кодами, которые не так просто детектируются, как гиперссылки, или защищенные паролем вложения, причем в некоторых случаях пароль отправляется отдельным письмом, дополнительно затрудняя автоматический анализ. Веб-страницы злоумышленники защищают при помощи CAPTCHA, причем могут использовать более одной страницы верификации. При этом сами схемы выманивания учетных данных становятся более сложными и правдоподобными.

Чтобы не попасться на удочку фишеров, пользователям следует быть очень внимательными:

• с подозрением относиться к нестандартным вложениям, таким как запароленные PDF-файлы, документы с QR-кодом вместо ссылки на корпоративный ресурс и т. д.;
• прежде чем вводить свои данные на веб-странице, убедиться, что ее URL-адрес соответствует адресу легитимного ресурса.

Организациям стоит регулярно проводить среди сотрудников тренинги по безопасности, чтобы они оставались в курсе актуальных техник, которыми пользуются злоумышленники. Также рекомендуем использовать надежное решение для защиты серверов электронной почты. Например, Kaspersky Security для почтовых серверов детектирует и блокирует все описанные в статье приемы.