фишинг
Мы уже неоднократно писали о том, как в фишинговых схемах применяются QR-коды. В решении для защиты почтовых шлюзов мы даже реализовали технологию, позволяющую считывать эти коды (причем не только из писем, но и вложений) и проверять зашитые в них ссылки. Но злоумышленники не оставляют попыток прислать жертве QR-код. В последнее время мы все чаще видим, как они используют для этого ASCII-графику — изображения, составленные из текстовых символов. Это кажется особенно смешным с учетом того, что когда-то фишеры пытались избежать сканирования ссылок, пряча их в картинке, а теперь пытаются спрятаться от сканирования ссылок в картинках, вновь используя текст. Но с некоторыми нюансами.
Что такое ASCII-графика и как ее используют злоумышленники
Сейчас в это нелегко поверить, но когда-то компьютеры не умели отображать графику. Поэтому самые первые компьютерные изображения складывались из текстовых символов. После принятия стандарта в 1963 году для такой графики использовались именно символы из таблицы ASCII (American Standard Code for Information Interchange) — это гарантировало одинаковое отображение картинки на разных компьютерах. Со временем, для создания изображений стали применять и другие текстовые символы (например, из расширенного набора Unicode), но название «ASCII-графика» так и осталось термином для обозначения этого вида искусства в целом. Существовали вполне серьезные художники, работавшие в этой технике, первые интернет-сайты оформлялись именно при помощи ASCII-графики, и даже первая компьютерная порнография рисовалась именно текстовыми символами.
С развитием технологий отображения картинок ASCII-графика начала выходить из моды. Активно вспомнили ее в нулевых, в период расцвета спам-рассылок. Тогда спамеры применяли ее преимущественно потому, что она, с одной стороны, позволяла замаскировать откровенно спамерские ключевые слова, по которым нежелательная почта фильтровалась, а с другой, ее рассылка создавала меньшую, чем картинки, нагрузку на почтовые серверы. Ну и вдобавок в то время многие платили за трафик, а потому отключали загрузку картинок в почте. Разумеется, тогда мы добавили в решения для защиты почты технологии, блокирующие ASCII-графику.
И вот о существовании ASCII-графики вновь вспомнили — на этот раз желающие обойти технологии распознавания QR-кодов на картинках.
Как выглядит фишинг с использованием ASCII-графики
Вот один из недавних примеров. Сама по себе фишинговая схема весьма стандартна: якобы кто-то прислал конфиденциальный документ на подпись через сервис Docusign, для получения доступа надо перейти по присланному в письме QR-коду на сайт и ввести на нем рабочие учетные данные.
QR-код, нарисованный при помощи текстовых символов. Мы закрасили часть, чтобы ссылка на вредоносный сайт не считывалась
Конечно, код выглядит странно. Преимущественно потому, что он нарисован символами псевдографики посимвольно, можно даже разглядеть промежутки между строчками. На самом деле в коде письма никакой картинки нет, этот QR-код выглядит там примерно следующим образом:
ASCII-графика в коде письма
В итоге сканирование ссылок не видит ссылки, анализ картинок не находит скрытый в QR-коде URL и злоумышленникам кажется, что все в порядке и жертва получит фишинговое письмо. Спойлер: нет, мы не разучились блокировать ASCII-графику.
QR-код в письме — нормально ли это вообще
В принципе, есть ситуации, в которых использование QR-кода обосновано: это достаточно удобный способ переслать контакты, ссылку на мобильное приложение, точку на карте, параметры настроек. То есть в сценариях, когда информацию нужно передать по электронной почте не просто адресату, а на его мобильное устройство.
Но любой случай, когда при помощи QR-кода кто-то вынуждает ввести на мобильном устройстве рабочие учетные данные, — должен вызывать подозрения. А уж когда QR-код сформирован при помощи ASCII-графики — это стопроцентный фишинг, то есть попытка заманить на вредоносный URL. Потому что у этого трюка может быть только одна цель: попытаться обойти защитные технологии.
Как оставаться в безопасности
Для того чтобы фишинговое письмо (не важно, с ASCII-графикой или без нее) не дошло до почтовых ящиков сотрудников, мы рекомендуем использовать решение с продвинутыми антифишинговыми технологиями на уровне почтового шлюза. А в качестве дополнительного слоя защиты — установить защитные решения на все рабочие устройства, используемые для выхода в Интернет.
Дополнительно мы рекомендуем регулярно повышать осведомленность сотрудников о современных уловках фишеров. В частности, объяснять, что ASCII-графика в современных письмах может свидетельствовать о попытке фишинговой атаки.
