«Лаборатория Касперского» обнаружила новую технику корпоративного фишинга с использованием ИИ-платформы для веб-разработки

«Лаборатория Касперского» выявила, что злоумышленники начали использовать во вредоносных целях еще один легитимный сервис. На этот раз речь о платформе для создания и размещения веб-приложений Tencent EdgeOne Pages. Атакующие обращаются к ее возможностям, чтобы генерировать фишинговые письма, нацеленные на корпоративных пользователей. Об этом CNews сообщили представители «Лаборатории Касперского». В числе обнаруженных мишеней — сотрудники государственных предприятий, хотя потенциально получить такое письмо может работник любой отрасли. Цель атаки — кража учетных данных для входа на корпоративные ресурсы. За последние 30 дней эксперты компании обнаружили более 8 тысяч подобных писем, среди них есть сообщения и на русском языке. Как начинается атака. Пользователь получает письмо якобы от службы поддержки корпоративной почты. В сообщении говорится, что учетные данные для входа в аккаунт истекают через 48 часов, а если их не обновить, могут возникнуть проблемы с получением или отправкой писем. Чтобы избежать ограничений, пользователю предлагают перейти по ссылке и внести актуальную информацию. При этом внутри письма может быть не только эта легенда, а практически любая корпоративная повестка, например сообщение от отдела кадров или уведомление о полученном документе. Если перейти по ссылке из письма, откроется страница с формой ввода имени, почтового адреса и пароля. Выполнена она максимально просто, практически без дополнительных элементов оформления. После ввода пользователем логина и пароля данные передаются на сервер, контролируемый атакующими. Ф-ИИ-шинг за секунду. Эксперты отмечают, что основной интерес представляют не схема обмана или внешний вид фишинговой страницы, а сама техника атаки и используемая инфраструктура. Используемый злоумышленниками сервис Tencent EdgeOne Pages позиционируется как платформа для быстрого создания и развертывания веб-приложений с использованием ИИ. Это позволяет мошенникам за секунды генерировать и публиковать фишинговые страницы практически без навыков веб-разработки. Платформа дает возможность размещать мошеннические ресурсы в легитимной облачной инфраструктуре и использовать доверенные домены. В результате с точки зрения защитных технологий такие сайты могут выглядеть как давно работающие, безопасные ресурсы, что осложняет обнаружение подобных атак. «Мы видим продолжение тренда, когда злоумышленники начинают использовать ИИ- и no-code-платформы как часть фишинговой инфраструктуры. Ранее мы уже наблюдали похожую схему с применением платформы Bubble, а теперь видим новые примеры. Пока такие страницы могут выглядеть достаточно примитивно, однако сама техника проведения атаки значительно снижает порог входа для злоумышленников и ускоряет создание фишинговых ресурсов. Если раньше для этого требовались хотя бы базовые навыки веб-разработки, то теперь инфраструктуру для мошеннических рассылок можно организовать за минуты», — сказал Роман Деденок, эксперт по кибербезопасности в «Лаборатории Касперского». Для защиты от подобных атак «Лаборатория Касперского» рекомендует организациям: проводить тренинги для сотрудников, чтобы снизить вероятность успешных атак с использованием методов социальной инженерии, в том числе фишинга; использовать решение, которое будет автоматически блокировать подозрительные письма, проверять запароленные архивы и использовать технологию CDR; защищать конечные устройства с помощью решений вендора, эффективность технологий которого подтверждается независимыми тестами; более крупному бизнесу — применять комплексные решения, позволяющие выстроить гибкую и эффективную систему безопасности.