Исследование

Фишинг и различия в парсинге символов ASCII

С момента публикации моего прошлого постинга на тему фишинга в Нидерландах ничего не изменилось: атаки продолжаются, письма прибывают. Мы зафиксировали новые варианты писем в среду и четверг на прошлой неделе.

Интересной особенностью новых фишинг-писем стало использование в их текстах кодировки ASCII в расчете на обман антивирусных и антиспам-фильтров. Чаще всего этот прием приводил к полной нечитабельности текста письма, что показалось нам довольно странным: какой смысл рассылать фишинг-письма, которые не выглядят как письма от банка?

Но затем появились сообщения от пользователей, прояснившие эту загадку: оказывается, символы ASCII по-разному отображаются в разных почтовых клиентах.

Вот как выглядит одно и то же письма в Outlook Express и в Mozilla Thunderbird:

Заметная разница, не правда ли? Что интересно, если это письмо перенаправить на другой адрес при помощи OE, то получившееся письмо будет выглядеть в OE почти так же, как в Thunderbird.

В общем, это еще один пример опасности HTML-писем: из-за ошибок обработки кода в подобных письмах может содержаться совсем не та информация, которую вы видите.

Фишинг и различия в парсинге символов ASCII

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике