Киберпреступники развернули новую изощренную фишинговую кампанию, нацеленную на клиентов Marriott International и Microsoft. Используя технику визуального подмены символов, злоумышленники регистрируют доменные имена, заменяя букву «m» на комбинацию «rn» (r + n). В результате возникают поддельные веб-сайты, почти неотличимые от настоящих.
Описание
Подобные атаки, известные как тайпосквоттинг или атака на основе гомоглифов, эксплуатируют особенности отображения текста в современных шрифтах. Во многих гарнитурах расположенные рядом буквы «r» и «n» визуально сливаются и воспринимаются как одна буква «m». Эта уловка обманывает естественную способность мозга быстро распознавать ошибки. При беглом взгляде на адрес, например, rnarriottinternational[.]com, сознание часто автоматически «исправляет» его на знакомое «marriott».
По данным компании Netcraft, специализирующейся на кибербезопасности, была выявлена серия вредоносных доменов, имитирующих сеть отелей Marriott. Основной целью атак, вероятно, является кража учетных данных программ лояльности или личных данных гостей. Главным доменом в этой кампании стал rnarriottinternational[.]com. Преступники также зарегистрировали вариации, такие как rnarriotthotels[.]com, чтобы более точно подделывать сайты конкретных брендов отелей. Параллельно развивается аналогичная кампания против пользователей Microsoft. Харли Шугарман, генеральный директор компании Anagram, обратил внимание на фишинговые письма, рассылаемые с домена rnicrosoft[.]com. Эти сообщения, маскирующиеся под уведомления о безопасности или инвойсы, точно копируют логотип, стиль и макет официальных писем Microsoft. Особую опасность такая атака представляет для пользователей мобильных устройств, поскольку на небольших экранах разницу между «rn» и «m» заметить практически невозможно.
В рамках кампании были зафиксированы и другие методы подмены. Например, домен micros0ft[.]com использует замену буквы «o» на цифру «0». Также эксперты отмечают использование домена microsoft-support[.]com, где злоумышленники применяют добавление дефиса и суффикса. Подобные техники повышают доверие жертв и усложняют обнаружение угрозы. Специалисты по информационной безопасности настоятельно рекомендуют блокировать указанные домены на уровне сетевых фильтров. В частности, домены rnarriottinternational[.]com и rnarriotthotels[.]com оцениваются как представляющие критическую угрозу. Риск от домена rnicrosoft[.]com определен как высокий, особенно в мобильной среде.
Для защиты от подобных атак пользователям следует придерживаться ряда простых правил. В мобильных почтовых приложениях необходимо нажимать на имя отправителя, чтобы развернуть полный адрес электронной почты и внимательно его проверить. На компьютерах перед кликом по любой ссылке стоит навести на нее курсор мыши, чтобы увидеть реальный адрес назначения во всплывающей подсказке. При получении срочных писем, связанных с бронированием отеля или восстановлением учетной записи, не следует переходить по встроенным ссылкам. Вместо этого безопаснее самостоятельно ввести известный адрес, например, marriott[.]com или microsoft[.]com, в адресную строку браузера. Кроме того, эффективным инструментом защиты являются менеджеры паролей. Они не станут автоматически заполнять учетные данные на поддельном сайте вроде rnicrosoft[.]com, так как корректно распознают разницу между доменами. Таким образом, сочетание технических средств и осознанного поведения пользователей остается ключевым фактором противодействия современным фишинговым угрозам.
Индикаторы компрометации
Domains
- micros0ft.com
- microsoft-support.com
- rnarriotthotels.com
- rnarriottinternational.com
- rnicrosoft.com
