Злоумышленники постоянно ищут способы обойти традиционные средства защиты. Последние наблюдения специалистов по информационной безопасности показывают: фишинг переходит на принципиально новый технологический уровень. Вместо простого сбора данных через HTML-формы атакующие всё чаще применяют современные веб-архитектуры. Речь идёт о переходе от email-рассылок к Telegram, от технологии man-in-the-browser к более сложным решениям. Теперь исследователи зафиксировали фишинговую страницу, стилизованную под Gmail, которая использует GraphQL для отправки учётных данных жертвы на сервер.
Описание
Что делает эту атаку особенно опасной? Вся инфраструктура спрятана за сервисами Cloudflare. Это позволяет мошенникам маскировать вредоносный трафик под легитимные запросы и серьёзно затрудняет работу традиционных систем обнаружения угроз.
Разберём схему атаки по шагам. Всё начинается с письма, которое приходит на почту жертвы. Мошенники используют старую, но эффективную социальную инженерию. В последнем зафиксированном инциденте злоумышленники отправили письмо, якобы содержащее голосовое сообщение. Пользователь видит уведомление о новом сообщении на автоответчике и кнопку "Посмотреть сообщение".
Эта тема вызывает естественное любопытство. Жертва кликает на ссылку и попадает на страницу, которая якобы содержит голосовое сообщение. На ней есть кнопка "Воспроизвести". При нажатии запускается проверка reCAPTCHA. Это сделано не случайно: капча защищает мошенников от автоматизированных систем анализа, которые проверяют фишинговые сайты ботами.
После успешного прохождения проверки пользователь перенаправляется на страницу, которая до мельчайших деталей копирует интерфейс Gmail. Шрифты, расположение элементов, общая вёрстка - всё выглядит очень убедительно. На этом этапе жертва вводит адрес электронной почты. Затем страница запрашивает пароль. Казалось бы, стандартная фишинговая схема.
Но ключевое отличие этой кампании - способ передачи данных. Вместо привычного POST-запроса с парой логин-пароль информация уходит на сервер через GraphQL mutation. GraphQL - это язык запросов, который позволяет клиенту запрашивать с сервера только те данные, которые нужны. Mutation в данном контексте - это операция, которая изменяет данные на сервере. В нашем случае мошенническая страница отправляет введённые учётные данные именно через такой запрос. Сообщили исследователи, такая техника даёт злоумышленникам несколько серьёзных преимуществ.
Во-первых, отпадает необходимость проксировать живой целевой сайт. Традиционные фишинговые рамки, такие как Evilginx, работают по принципу обратного прокси. Они в реальном времени показывают жертве настоящий сайт, но перехватывают данные. Это создаёт большую уязвимость для обнаружения. Evilginx нужно подделывать SSL-сертификаты, поддерживать сессию с реальным сервером Google. При использовании GraphQL мошенники просто создают свою страницу, которая внешне копирует интерфейс Gmail. Никакого проксирования настоящего сайта не происходит. Это резко снижает заметность атаки для систем безопасности.
Во-вторых, GraphQL позволяет проверять учётные данные на стороне сервера в реальном времени. Сервер может подтвердить, правильный ли пароль ввёл пользователь, и либо запросить его повторно, либо симулировать ошибку. Клиентская сторона (браузер жертвы) не получает никакой значимой информации о том, прошла ли проверка успешно. Данные сессии и файлы cookie остаются на сервере. Это защищает мошенников от анализа трафика на стороне пользователя.
В-третьих, архитектура атаки становится более устойчивой к блокировкам. Бэкенд (серверная часть) отделён от интерфейсной страницы. Мошенники могут быстро менять домены фронтенда, оставляя один и тот же GraphQL endpoint на сервере нетронутым. По сути, они могут запускать десятки фишинговых страниц на разных адресах, а все данные будут стекаться на один центральный сервер.
Кроме того, GraphQL позволяет собирать структурированные данные в формате JSON. Это не просто логин и пароль. Мошенники могут легко расширить схему и начать собирать коды двухфакторной аутентификации, токены, данные об устройстве жертвы. Для этого не нужно менять серверную логику - достаточно дополнить запрос.
Инфраструктура этой кампании тоже продумана. Сервер GraphQL работает на платформе Nitro от компании Chili Cream. Эта платформа упрощает развёртывание и управление схемой GraphQL. Объединив всё вместе - реалистичную страницу входа, скрытую за Cloudflare защиту от обнаружения, использование reCAPTCHA для блокировки ботов и GraphQL для передачи данных, - злоумышленники создали инструмент, который практически не даёт традиционным средствам защиты шанса.
Какой вывод могут сделать специалисты по информационной безопасности? Опора только на внешние индикаторы, такие как вид страницы или известные вредоносные адреса, больше не работает. Необходимо внедрять поведенческий анализ трафика. Нужно смотреть, как данные передаются, а не только куда они уходят. Анализ на уровне API и мониторинг сессий становятся обязательными элементами защиты. Фишинг больше не ограничивается простыми формами. Он превращается в полноценные API-ориентированные атаки, которые маскируются под обычный трафик современных веб-приложений.
Индикаторы компрометации
URLs
- https://armeshuntfuneralhome.ac-page.com/okr
- https://arnco-est.com/voicemp3
- https://voicemsgirdhan170coj.gotech-ae.com/

