Изследователският екип на Keep Aware разкри усъвършенствана фишинг атака, която комбинира злоупотреба с доверена инфраструктура, прецизна валидация на имейл адреси от страна на сървъра, и анализоустойчиви скриптове. Този инцидент подчертава нуждата от реално време, браузър-базирана защита срещу фишинг, дори и при използване на добре познати и „чисти“ домейни.

Какво се случи?

В реална работна среда, защитното разширение на Keep Aware е било конфигурирано в тих режим, за да следи поведението на потребителите и да засича заплахи, без да прекъсва сесията. Това позволило пълна видимост върху всяка фаза от фишинг атаката — от първоначалното кликване до въвеждането на идентификационни данни.

След като сигналите за фишинг с кражба на идентификационни данни се активират, екипът по сигурност установява, че служител е въвел корпоративен имейл адрес във фалшива форма на сайт, хостван на компрометиран, но доверен домейн.

Основни характеристики на атаката

1. Злоупотреба с легитимен домейн

Жертвата е посетила сайт с дългогодишна онлайн репутация, известен с продажбата на палатки. Въпреки това, URL адресът е водел до фалшива форма за въвеждане на имейл: https://trusted-domain.com/memo/home.html, с послание за „конфиденциален документ“ и приканване за изтегляне на PDF файл срещу въвеждане на имейл.

2. Базова защита срещу анализ

Зловредната страница съдържа JavaScript код, блокиращ десен клик и клавишни комбинации — стандартен трик за възпрепятстване на разследване от страна на потребители и анализатори.

3. Динамична обработка на имейл адреси

Фишинг системата е в състояние да извлече имейл адреса на жертвата директно от URL-а, ако той е включен след символа #, като автоматично го въвежда във формата. Това намалява съпротивлението на потребителя и повишава реалистичността на атаката.

4. Пренасочване и събиране на данни

След въвеждане на имейл, страницата извършва две действия:

• Пренасочва към друг зловреден поддомейн (напр. malicious.workers.dev) с имейла като параметър;

• Изпраща POST заявка до API, съдържаща имейла и времето на въвеждане.

5. CAPTCHA за заобикаляне на автоматизирани системи

Следващият етап включва реална CAPTCHA от Cloudflare, с цел:

• Избягване на сканиране от ботове;

• Забавяне на анализа;

• Засилване на легитимността на процеса.

6. Персонализирана фишинг страница според имейла

В зависимост от въведения имейл, системата реагира различно:

• @gmail.com или други лични имейли: Празна страница;

• Бизнес имейли извън целевия списък: Обикновена фалшива Microsoft login форма;

• Целеви имейли: Брандирана форма с фирмено лого и препратки към вътрешен helpdesk — доказателство за сървърна валидация на имейл адреси.

Какво е “Прецизно валидиран фишинг”?

Това е усъвършенствана фишинг техника, при която имейлите се валидират в реално време чрез бекенд API, а финалният фишинг payload се показва само на таргетирани потребители. Това прави атаката по-трудна за откриване и анализиране от традиционни инструменти за сигурност, които разчитат на статично сканиране.

Защо защита в браузъра е задължителна?

• Традиционните филтри за имейл нямат контрол върху случващото се в браузъра.

• Все повече атаки използват легитимни, но компрометирани домейни.

• Сценарии като този се развиват изцяло в браузъра, където се въвеждат данни и се активират скриптове.

Решението? Реална защита в реално време, в самия браузър. Keep Aware предоставя точно това — обработка на контекст, поведение и динамика, а не само URL анализ. Така дори zero-day фишинг страници могат да бъдат блокирани преди потребителят да въведе паролата си.

Извод

Съвременният фишинг не разчита на очевидни измами. Атаките са прецизни, таргетирани и технически усъвършенствани, като използват реални инфраструктури, CAPTCHA защити и динамична персонализация.

Без защита в браузъра, дори най-обученият служител е уязвим. Истинската сигурност започва оттам, където се случва фишингът — в браузъра.