Незаметные ловушки: как фишинговые письма обходят защиту почты

Об этом сообщает «Politexpert» со ссылкой на HackerNoon 

Несмотря на постоянное совершенствование систем кибербезопасности, фишинговые письма продолжают проникать в электронные почтовые ящики миллионов пользователей. Хакеры адаптируют свои методы и находят новые лазейки, обходя фильтры, которые должны останавливать подозрительные сообщения. Их сообщения маскируются под официальные уведомления, деловые письма или личную переписку, заставляя получателя действовать импульсивно.

Фишинг больше не выглядит как грубая подделка с орфографическими ошибками и яркими кнопками «нажми здесь». Современные атаки тонко подделывают стиль реальных писем, избегают «тревожных» слов и используют нейтральный тон, чтобы пройти сквозь фильтры. Без многоуровневой защиты и бдительности такие письма становятся невидимыми ловушками.

Использование социальной инженерии против получателя

Одним из самых действенных приёмов остаётся воздействие на эмоции получателя — это суть социальной инженерии. Хакеры создают ощущение срочности, страха или авторитета, чтобы жертва перешла по вредоносной ссылке или открыла заражённый файл. Например, письмо может имитировать сообщение от технической поддержки с угрозой блокировки аккаунта, что вызывает панику и мгновенную реакцию.

Такие письма часто обходят фильтры благодаря нейтральной формулировке и отсутствию характерных слов-маркеров. Некоторые злоумышленники выстраивают доверие, отправляя безвредные письма на протяжении нескольких дней, прежде чем развернуть атаку. Пока системы начинают реагировать, человек уже совершает ошибку.

Маскировка под настоящую переписку

Хакеры всё чаще прибегают к тактике клонирования писем, делая их практически неотличимыми от оригинальных. Они копируют внешний вид и форматирование писем известных организаций, подменяя лишь ссылки или вложения. Такие сообщения создаются с использованием фирменных логотипов, корректного языка и даже адресов, близких к настоящим.

Эта тактика, известная как clone phishing, легко обходит фильтры, особенно если письмо отправляется в продолжение реальной переписки. Получатель видит знакомый контекст, не замечая опасности. Такой подход опасен тем, что встроен в привычную коммуникацию и не вызывает подозрений у систем защиты.

Использование технических лазеек

Фишинг не ограничивается психологическим воздействием — он также активно использует технические уязвимости. Хакеры применяют трюки, которые сбивают фильтры с толку: это может быть подмена символов в доменах (гомографическая атака), использование редиректов или размещение вредоносных ссылок на облачных сервисах. Всё это делает ссылки визуально безопасными, хотя за ними скрывается угроза.

Ещё один популярный метод — манипуляции с URL, при которых фильтры анализируют только начальный адрес, не распознавая вредоносную переадресацию. В результате письмо проходит проверку, а пользователь переходит по ссылке, ведущей на фальшивый сайт.

Избежание срабатывания антиспам-фильтров

Чтобы пройти автоматическую фильтрацию, хакеры научились избегать слов и форматов, которые повышают «спам-рейтинг». Они убирают из текста ключевые слова вроде «click», «account», «urgent» или «login», а также пишут максимально обобщённо: «См. вложение» или «Можно поговорить?». Такие фразы не вызывают тревоги у систем и напоминают обычную деловую переписку.

Также меняется структура письма: хакеры убирают избыточное форматирование, не используют HTML-элементы, которые могут быть распознаны как подозрительные, и делают письмо внешне похожим на внутреннее сообщение от коллеги. Всё это помогает обойти как автоматическую, так и визуальную проверку.

Автоматизация фишинга как новый этап угроз

Современные хакеры используют автоматизированные инструменты для массовой генерации фишинговых писем. Такие системы создают тысячи вариантов одного и того же сообщения с незначительными отличиями — в теме, структуре или формулировках. Это позволяет избежать повторов и обойти системы, ориентирующиеся на шаблоны.

Кроме того, вредоносные скрипты могут сканировать уязвимые почтовые сервера и подбирать наименее защищённые цели. После успешного внедрения атаки фильтры оказываются беспомощны, ведь каждое письмо выглядит уникально и не соответствует известным паттернам.

Меры по снижению рисков фишинга

Для повышения устойчивости к фишингу необходимо использовать многослойную защиту и комбинировать технические решения с обучением персонала. Среди наиболее эффективных мер:

• Применение инструментов на базе языковых моделей (LLM), способных анализировать контекст писем с высокой точностью.
• Настройка и контроль протоколов SPF, DKIM и DMARC для защиты от подделки отправителя.
• Внедрение решений на основе блокчейна для проверки подлинности почтовых провайдеров.
• Ограничение возможности открытия ссылок и макросов из писем, особенно полученных от неизвестных источников.

Напомним, ранее мы писали о том, можно ли обеспечить безопасность данных с помощью федеративного обучения.