Ett säkerhetsteam på Barracuda Networks har identifierat tre nya metoder som cyberkriminella använder vid nätfiskeangrepp.
Attackerna sker med hjälp av länkar från Googles översättningsverktyg, helt bildbaserade mejl och en ny användning av specialtecken.
Alla tre greppen har visat sig vara effektiva för att undgå upptäckt och lura mottagarna.
Även om volymen av attacker fortfarande är låg är de utbredda. Varje attack drabbar upp till 15 procent av företagen och ofta upprepas angreppen flera gånger.
– Nätfiske är ett vanligt sätt att inleda många cyberattacker, inklusive ransomware, bedrägeri och identitetsstöld. Nu ser vi återigen hur cyberbrottslingar fortsätter att utveckla sina metoder för att lura oförsiktiga mottagare och undvika att bli upptäckta eller blockerade, säger Peter Graymon, ansvarig för Barracuda Networks i Norden.
Så här beskriver Barracudas säkerhetsteam de tre attackmetoderna i korthet:
Attacker med webblänkar från Googles översättningstjänst
I januari upptäcktes e-postattacker som använde Googles översättningstjänst för webbplatser för att dölja skadliga webbadresser (webbsidesadresser).
Taktiken fungerar så här: Angriparna använder dåligt utformade HTML-sidor eller ett språk som inte stöds för att hindra Google från att översätta webbsidan – och Google svarar genom att ge en länk tillbaka till den ursprungliga webbadressen som säger att den inte kan översätta den underliggande webbplatsen. Angriparna bäddar in den URL-länken i ett e-postmeddelande och om en mottagare klickar på den förs de till en falsk men autentisk webbplats som i själva verket är en webbplats för nätfiske som kontrolleras av angriparna.
Attackerna är svåra att upptäcka eftersom de innehåller en URL som pekar på en legitim webbplats. Som en följd kommer många filtreringstekniker tillåta att dessa attacker landar i mottagarnas inkorgar. Angriparna kan dessutom ändra de skadliga datapaketen vid tidpunkten för e-postleveransen, vilket gör attacken ännu svårare att upptäcka.
Barracudas data visar att knappt en av åtta (13 procent) av de undersökta organisationerna utsattes för den här typen av nätfiske-e-post i januari 2023.
Helt bildbaserade nätfiskeattacker
Bildbaserade attacker används ofta av spammare. Barracudas säkerhetsteam har nu funnit att angripare allt oftare använder bilder utan någon text i sina nätfiskeattacker. Bilderna som används kan vara falska formulär eller fakturor och innehåller en länk eller ett återuppringningsnummer som, när de följs upp, leder till nätfiske. Eftersom dessa attacker inte innehåller någon text alls kan traditionella säkerhetslösningar för e-post ha svårt att upptäcka dem.
I januari 2023 utsattes omkring en av tio (11 procent) av de undersökta organisationerna för den här typen av nätfiske. Barracudas forskare tror att bildbaserat nätfiske kommer att bli en allt populärare taktik för cyberbrottslingar i framtiden.
Användning av specialtecken i attacker
Hackare använder ofta specialtecken, som Unicode-kodpunkter med noll bredd, skiljetecken, icke-latinska skript eller mellanslag, för att undvika upptäckt. Taktiken används nu också vid URL-kapningar där webbadresser som stavats fel lurar in användaren på en annan webbsida. När specialtecknen används i ett nätfiskemeddelande är de inte synliga för mottagaren.
Taktiken kan fungera så här: En angripare infogar ett utrymme med noll bredd (inget) i den skadliga webbadressen som är inbäddad i ett e-postmeddelande för nätfiske. Det bryter URL-mönstret så att säkerhetslösningar inte identifierar det som skadligt. Att upptäcka den typen av attacker kan också vara svårt eftersom det kan finnas legitima syften med användningen av specialtecken, till exempel i e-postsignaturer. Barracudas säkerhetsteam fann att i januari 2023 fick fler än en av sju (15 procent) av de undersökta organisationerna e-postmeddelanden för nätfiske som använder specialtecken på detta sätt.