Как хакеры получают фишинговые электронные письма прошлых фильтров?
14 июня 2025 г.Со всеми достижениями в области безопасности электронной почты было бы легко предположить, что фишинговые электронные письма являются реликвией прошлого. Тем не менее, они продолжают приземлиться в почтовых ящиках каждый день. Среди законных сообщений скрыты фальшивые счета, запросы на сброс пароля и срочные предупреждения, которые каким -то образом проскользнули.
Фишинг превратился из старой тактики распыления и добычи до более методичных способов обхода фильтров. В то время как различные методы для их удержания существуют, киберпреступники постоянно адаптируются. Многие системы безопасности еще предстоит продвинуться вперед и оставаться таким, поэтому реализация нескольких защитных средств остается критической для всех пользователей электронной почты. Вот что делают хакеры, чтобы проникнуть в почтовые ящики и как пользователи могут остановить их в своих треках.
1. Использование социальной инженерии
Одним из оружия, которые хакеры использовали годами, является психология. Это одна из самых популярных форм фишинга, причем исследования показывают, что вокруг90% этих инцидентоввключать в себя какую -то форму социальной инженерии. Вместо того, чтобы использовать меры грубой силы, злоумышленники манипулируют поведением человека, чтобы открыть для них дверь.
Эта тактика работает так хорошо, потому что она часто опирается на срочность или страх. Фишинговое письмо может выглядеть так, как будто это из ИТ -отделения, и предупредить получателя чего -то вроде приостановленной учетной записи. Это заставляет людей действовать быстро, заставляя их отвечать без паузы.
Как он обходит фильтры контента в первую очередь? Короткий ответ - адаптивность. Некоторые хакеры отправят несколько электронных писем, чтобы установить авторитет, прежде чем совершить атаку. К тому времени, когда системы безопасности обнаруживают угрозу, человеческий элемент уже был скомпрометирован.
2. имитируйте реальные электронные письма
Фишинговые атаки наиболее эффективны, когда они вообще не выглядят подозрительно. Одна из сложных стратегий - имитировать законное электронное письмо, которое выглядит так, будто оно исходит от организации или коллеги. Хакеры даже будут использовать правильное форматирование, логотипы, язык и тон. Эти электронные письма практически неразличимы от реальной сделки.
Кибер -эксперты называют эту тактику фишингом клонов. Этот метод включает в себя копирование электронной почты и замену ссылки или вложения на злонамеренное. Иногда киберпреступники выполняют эту атаку через ответы по электронной почте. Злоумышленники возьмут сообщение от общеизвестного субъекта и отправят его в свою цель. Когда это происходит из того, что кажется известным контактом или брендом, вероятность того, что он проскальзывает мимо фильтров безопасности резко возрастает.
Что делает этот метод особенно опасным, так это то, насколько плавно он вписывается в нормальные модели общения. Исследование находит этоОколо 94% вредоносных программПоступает из электронных писем, в основном потому, что фишинговые сообщения часто ничего не подозревают. Регулярное электронное письмо не поднимает красные флаги-ему нужно только чувствовать себя достаточно знакомым, чтобы опустить охрану получателя.
3. Используйте технические лазейки
Фишинговые электронные письма делают больше, чем обманывают людей - они также опираются на системы обмана. В то время как фильтры безопасности электронной почты стали более изощренными, злоумышленники знают, как использовать существующие технические пробелы. Эти лазейки часто невелики, например, в том, как браузеры интерпретируют URL -адреса или фильтры, анализируют метаданные. Этих случаев достаточно, чтобы получить злонамеренное электронное письмо через ворота.
Распространенным трюком является подделка гомографии, в которой используются символы Unicode, чтобы злонамеренные URL -адреса выглядели невинными. Например, кириллическое «А» может заменить латынь «А» в «Amazon.com» - визуально идентично человеческому глазу, но приводя к тому, что где -то совершенно другое. Фильтры, которые неправильно нормализуют эти символы, могут полностью пропустить обман.
Злоумышленники также злоупотребляют открытыми перенаправлениями, где ссылка указывает на законную домен, которая перенаправляет пользователя на вредный. Фильтры могут отсканировать первоначальный URL и считать его безопасным, не осознавая, что будет дальше. Аналогичным образом, встраивание полезных нагрузок в облачные платформы помогает полностью обходить доменную фильтрацию на основе доменов. В конце концов, большинству систем безопасности не хватает конфигураций, чтобы блокировать ссылки из Trusted Cloud Services.
4. Избегайте триггеров спама.
Фишинговые электронные письма выросли далеко за пределами неуклюжих сообщений с яркими опечатками и подозрительными ссылками «нажмите здесь». Сегодня многие скользят под радаром с тактикой, которая разделяет электронные письма всего, что может вызвать автоматическое обнаружение.
Злоумышленники достигают этого, включив конкретный язык, чтобы убедиться, что они оставляют ключевые слова, которые система находит спам. Например, хакер оставит такие слова, как «Нажмите», «Аккаунт», «срочный», или «Microsoft», чтобы сохранить низкие оценки спама. Они также намеренно выберут язык, который кажется нейтральным или рутиной.
Содержание электронной почты также минимально. Сообщение, отправленное с чем -то смутным, например, «Пожалуйста, см. Прилагаемый файл» или «Можем ли мы поговорить?» полностью избегает фильтрации на основе ключевых слов. Этот метод также копирует формулировку внутренних записок или запросов на собрания, что делает системы безопасности менее склонны поднимать флаги.
5. Уклониться от линии темы и фильтрации контента
Фильтры по электронной почте часто зависят от распознавания шаблонов, чтобы пометить подозрительные строки темы, фразы или форматирование, которые соответствуют известным фишинговым шаблонам. Тем не менее, сегодняшние нападавшие больше не работают вручную. Они используют автоматизацию для создания и тестирования фишинговых кампаний в масштабе, что затрудняет фильтры не отставать.
Инструменты, которые обычно используют хакеры, включают сценарии, которыеможет сканировать тысячи системВ минуты определение известных уязвимостей или неправильных почтовых серверов. Как только они найдут цель, они могут генерировать пользовательские фишинговые сообщения, которые обходят общие фильтры. Настройка для этих электронных писем включает в себя:
- Рандомизированные предметные линии
- Слегка измененная фраза в каждой версии
- Скорректированное форматирование сообщений, чтобы избежать повторения
Почему фильтры терпят неудачу
Фильтры электронной почты могут обеспечить защиту от фишинга, но они далеки от надежных. Они используют правила, эвристику, базы данных угроз и машинное обучение для оценки риска. В то время как они ловят много злонамеренных электронных писем, злоумышленникам нужен только один, чтобы пройти. Когда это происходит, последствия вытекают из технического недостатка и ложного чувства безопасности.
Недавнее исследование показало, что пользователи, которые полагали, что их фильтры по электронной почте были весьма надежными, быливероятность снижения своей охраныи влюбиться в попытки фишинга. Предположение о том, что что -то злонамеренное будет автоматически удалено, привело к тому, что некоторые из предупреждающих знаков. Чем больше людей доверяют автоматизированной защите, тем менее критически они склонны оценивать, что земли в их почтовом ящике.
Чрезмерность опасна, потому что фильтры не идеальны. Они часто пропускают совершенно новые фишинговые домены или ссылки, размещенные на доверенных платформах. Чтобы избежать ложных срабатываний, фильтры могут склоняться к осторожности, предоставляя сомнительный контент в результате.
Даже со всей технической защитой, эти инструменты являются лишь частью решения. Остальное зависит от поведения человека.
Что делать, чтобы смягчить фишинговые риски
Хотя ни одна система не является непроницаемой, есть несколько способов снизить шансы на фишинговые атаки проскользнуть:
- Развернуть инструменты обнаружения большой языковой модели (LLM):В одном исследовании представил Chatspamdetector, в котором используются LLMS для анализа содержимого электронной почты. АСистема достигла точности 99,70%в определении попыток фишинга. Интеграция LLM в рабочие процессы безопасности становится главным методом определения обмана, особенно с тем, насколько быстро и более продвинуты эти системы сравниваются с традиционной фильтрацией.
- Усилить протоколы аутентификации домена:Убедитесь, что структура политики отправителя (SPF), доменную аутентификацию сообщений, отчетность и соответствие (DMARC), а домены, идентифицированные Mail (DKIM), имеют надлежащие конфигурации. Эти протоколы проверяют сообщения с утвержденных серверов для предотвращения подделки.
- Используйте блокчейн для проверки электронной почты:Технология блокчейна может подтвердить, являются ли поставщики услуг электронной почты реальны. Это работаетСоединение расширений проверки через децентрализованные бухгалтерские книги, позволяя поставщикам аутентифицировать сообщение и обнаружить аномалии.
- Ограничить доступ к ссылке и макросы:Ограничьте использование ссылок и макросов в электронных письмах, особенно из неизвестных источников. Песочничество подозрительных вложений перед их открытием может еще больше уменьшить экспозицию.
Защита электронных писем за пределами фильтрации
Фишинговые атаки становятся все более распространенными и продвинутыми. В то время как фильтры по электронной почте могут справиться с большинством попыток, они все еще могут проскользнуть. Вот почему важно использовать стратегии профилактики за пределами программного обеспечения, используя инструменты следующего поколения и переосмысливая доверие к автоматизации. Включая следующий уровень защиты, пользователи электронной почты с большей вероятностью обнаруживают, что пропускают фильтры.
Оригинал