Уеб-измамниците вече прикриват фишинг-атаките си като легитимно изглеждащи HTML файлове (снимка: CC0 Public Domain)
Потребителите на електронна поща отдавна смятат изпълнимите и .dll прикачени файлове като основен носител на потенциални кибератаки, но има и друг тип често използван файлов формат, за който трябва да се знае, че се използва злонамерено. Според констатациите на компанията за ИТ сигурност Barracuda Networks, HTML прикачените файлове се използват най-много от атакуващите. 21% от всички прикачени файлове във формат HTML, сканирани от компанията, са се оказало носители на нещо опасно.
„Тези атаки са трудни за откриване, тъй като самите HTML прикачени файлове не са злонамерени“, пише Олеся Клевчук, главен продуктов маркетинг мениджър за имейл сигурност в Barracuda Networks. „Нападателите не включват злонамерен софтуер в самия прикачен файл. Вместо това те използват множество пренасочвания с Java script библиотеки, поддържани другаде“.
Защо HTML прикачените файлове се използват за атаки?
HTML прикачените файлове се използват все по-масово за нападения, тъй като атаките са по-трудни за идентифициране както от потребителите, така и от системите за сигурност. В примера, предоставен от Barracuda, самият HTML прикачен файл не носи никаква вреда, не е злонамерен. Той обаче пренасочва потребителя към опасен сайт.
Прикачените HTML файлове са почти дваж по-често използвани за атаки от втория най-често срещан тип носител на атаки. Ето как изглежда своеобразната класация:
- HTML (21%)
- Текст (9%)
- XHTML (4%)
- Двоични файлове (0,3%)
- Скрипт (0,08%)
- Rtf (0,04%)
- MS Office (0,03%)
- PDF (0,009%)
Но как този толкова безобиден наглед файлов формат може да се окаже толкова опасен?
Как работят атаките
Хакерите вграждат злонамерени HTML файлове в електронни писма, които потребителите получават редовно, като например резюме на даден отчет с връзка за намиране на повече подробности. В действителност това е фишинг имейл с прикачен към него опасен URL адрес. Чрез този метод от киберпрестъпниците избягват вграждането на активни връзки в тялото на самото електронно писмо, защото системите за филтриране на електронната поща вече са научени да откриват такива злонамерени линкове. HTML методът позволява да се заобиколят анти-спам и антивирусните политики и системи.
Когато потребителите отворят прикачените „отчети“ или други подобни „важни документи“, HTML използва Java script, за да изпрати потребителя до външна система, която изисква от потребителя да въведе личните си идентификационни данни, за да влезе или да изтегли файл, който носи злонамерен софтуер. По този начин измамниците си спестяват и друга неприятна задача – да създават фалшив уебсайт, за да извърши атаката. Вместо това могат да създадат формуляр за фишинг, директно вграден в прикачения файл, изпращайки „въдицата“ като прикачен файл вместо като връзка към сайт.
„Потенциалната защита срещу тези атаки трябва да вземе предвид цял имейл с HTML прикачени файлове, като разглежда всички пренасочвания и анализира съдържанието на имейла за злонамерени намерения“, пише Клевчук.
Защита от HTML прикачени файлове
Експертите наблягат на три основни съвета, които да помогнат на потребителите да не станат жертва на тези видове атаки:
- Уверете се, че вашата имейл защита сканира и блокира злонамерени HTML прикачени файлове;
- Обучете потребителите си да идентифицират и докладват потенциално злонамерени HTML прикачени файлове;
- Ако злонамереният имейл е преминал, пригответе инструментите си за „поправяне“ на пощата.
И организациите, и отделните физически трябва да бъдат бдителни при получаването на писма с прикачени файлове, когато те са HTML. При положение, че една пета от прикачените HTML файлове са злонамерени, на всяко писмо с подобен „товар“ трябва да се гледа с подозрение и всички детайли да се изследват внимателно. Организациите, които имат автоматизирани системи за сигурност могат да инвестират в по-добро откриване и отговор на имейли, за да попречат на този злонамерен тип файлове изобщо да достигнат входящите кутии на потребителите.