Wyjątkowa oferta karty podarunkowej o wartości 1000 dolarów na przeloty? To prawdopodobnie scam, którego celem jest przejęcie danych. Niektóre systemy bezpieczeństwa poczty elektronicznej mogą mieć problem z wykryciem złośliwych łączy zaszytych w… obrazach, a cyberprzestępcy chcą wykorzystać ten fakt – ostrzegają specjaliści Check Pointa.
Ostatnia kampania przeanalizowana przez firmę Check Point Software pokazała, w jaki sposób cyberprzestępcy ukrywają złośliwe linki za przekonującymi obrazkami prezentującymi karty podarunkowe i programy lojalnościowe zaufanych marek. To trend polegający na aktualizowaniu przez cyberprzestępców starych taktyk za pomocą nowych narzędzi — takich jak sztuczna inteligencja — co sprawia, że phishing staje się bardziej przekonujący.
Badacze Check Pointa, którzy nazwali technikę „obrazem w obrazie” (Picture in Picture, PiP) zauważyli, że cyberprzestępcy stojący za atakami po prostu łączą zdjęcia marketingowe ze złośliwymi adresami URL. Nie należy tego mylić ze steganografią, która koduje złośliwe ładunki na poziomie piksela w obrazie.
Prosta metoda też może być skuteczna
Jeremy Fuchs, badacz i analityk cyberbezpieczeństwa w firmie Check Point Software zauważa, że steganografia jest często bardzo skomplikowana, natomiast są prostsze sposoby wpływania na użytkowników – taką techniką jest właśnie „obraz w obrazie” (PiP). Chociaż jest to stosunkowo proste rozwiązanie to utrudnia filtrom adresów URL wykrycie zagrożenia stojącego za złośliwą wiadomością…
– Często hakerzy z radością łączą plik, obraz lub kod QR z czymś złośliwym. Konsekwencje kliknięcia w łącze lub skanowania kodów można poznać używając OCR do konwersji obrazów na tekst lub analizując kody QR i dekodując je. Jednak wiele usług bezpieczeństwa nie potrafi tego dokonać – wyjaśnia ekspert Check Pointa.
Obrazek: Przykład złośliwej wiadomości podszywającej się pod ofertę linii Delta
– Łącząc socjotechnikę z zaciemnianiem, haker może zaprezentować użytkownikom końcowym coś bardzo kuszącego, co zachęca do podjęcia działania. Jednocześnie, jeśli użytkownik najedzie kursorem na obraz, link URL okaże się niepowiązany ze sfałszowana marka – dodaje Fuchs. Tak właśnie wyglądały kampanie PiP wykryte przez analityków Check Pointa, które podszywały się pod linie lotnicze Delta oraz amerykańską sieć sklepów detalicznych Kohl’s.
Wpisują się one w jeden z trendów obserwowanych w świecie phishingu: fałszywki, które są prawie nie do odróżnienia od legalnych wersji wiadomości. Idąc dalej, wykorzystanie generatywnej sztucznej inteligencji (takiej jak ChatGPT) do wspomagania taktyki zaciemniania ataków phishingowych opartych na obrazach tylko utrudni ich wykrycie,
Potencjalnymi konsekwencjami ataku dla użytkowników i firm są straty finansowe i utrata danych. Aby się bronić, organizacje powinny przede wszystkim edukować użytkowników na temat tego typu ataków, podkreślając znaczenie sprawdzania adresów URL i przeglądania pełnego łącza przed kliknięciem. Rozsądnym rozwiązaniem jest również inwestycja w systemy ochrony adresów URL oraz oprogramowanie antyphishingowe oparte na sztucznej inteligencji.