Масштабная атака с использованием поддельных страниц входа в Microsoft 365
Современные киберпреступники внедрили новую мощную платформу, направленную на пользователей Microsoft 365. Эта атака охватывает огромный масштаб и становится всё более опасной для информационной безопасности.
Что такое Quantum Route Redirect (QRR) и как он работает
Исследователи безопасности обнаружили, что за ростом числа поддельных страниц входа стоит phishing-платформа под названием Quantum Route Redirect, или QRR. Эта платформа создает около 1000 доменов, на которых размещаются реалистичные фальшивые страницы, имитирующие официальный вход в Microsoft 365. Эти страницы выглядят настолько правдоподобно, что многие пользователи даже не подозревают о мошенничестве, а автоматические системы защиты иногда их пропускают.
Механизм обмана: заманивание и сбор учетных данных
QRR использует тщательно подготовленные электронные письма, которые выглядят как запросы DocuSign, уведомления о платежах, голосовые оповещения или QR-коды. Каждое сообщение перенаправляет жертв на фальшивую страницу входа, где злоумышленники собирают логины и пароли. Многие из этих поддельных страниц размещены на зарегистрированных или скомпрометированных настоящих доменах, что создает ложное ощущение надежности и безопасности.
География и масштабы распространения
Исследователи зафиксировали активность QRR в 90 странах мира. Наиболее пострадавшими оказались пользователи из США — около 76% атак. Такой масштаб делает QRR одной из крупнейших фишинговых операций в настоящее время.
Истоки и развитие: связь с прошлогодними атаками
Появление QRR связано с блокировкой крупной фишинговой сети RaccoonO365, которая продавала готовые копии логинов для Microsoft, похищая более 5000 учетных записей, включая данные американских медицинских учреждений. После этого Microsoft и другие правоохранительные органы пресекли деятельность сети, закрыв сотни сайтов и арестовав подозреваемых.
Современные инструменты злоумышленников
Современные фишинговые наборы, такие как VoidProxy, Darcula, Morphing Meerkat и Tycoon2FA, постоянно совершенствуются. QRR использует автоматизацию, фильтрацию ботов и удобную панель управления, что позволяет злоумышленникам запускать масштабные кампании без глубоких технических знаний.
Технические особенности: домены, автоматизация и обход защиты
Платформа использует около 1000 доменов, многие из которых являются легальными сайтами, ранее зарегистрированными или взломанными, что помогает страницам выглядеть надежно. URLs следуют предсказуемой схеме, что усложняет их обнаружение. Внутри системы реализована автоматическая фильтрация, которая различает ботов и настоящих пользователей, перенаправляя людей на страницы сбора данных, а ботов — на безопасные сайты для проверки.
Что могут сделать организации и пользователи для защиты
Эксперты советуют не полагаться только на проверку URL. Внедрение многоуровневых систем защиты и анализ поведения пользователей являются ключевыми для обнаружения подобных угроз. Важно также использовать расширенные настройки безопасности, такие как двухфакторная аутентификация и оповещения о входе в аккаунт.
Профилактика и рекомендации для пользователей
- Всегда внимательно проверяйте отправителя письма — даже небольшие орфографические ошибки или необычные фразы могут свидетельствовать о мошенничестве.
- Перед переходом по ссылке наведите курсор, чтобы увидеть реальный URL. Если он не совпадает с официальным сайтом Microsoft или выглядит подозрительно, лучше не открывать его.
- Включайте двухфакторную аутентификацию, используя приложения или аппаратные ключи, что значительно усложнит злоумышленникам доступ к вашему аккаунту.
- Используйте сервисы для удаления личных данных из интернета, чтобы снизить вероятность целенаправленных атак и фишинга.
- Обновляйте системы и антивирусное ПО — это поможет закрыть уязвимости, используемые при создании фишинговых кампаний.
Постоянное повышение уровня цифровой грамотности и использование современных методов защиты позволяют снизить риск стать жертвой мошенников, использующих поддельные страницы входа и фальшивые сообщения.
Обеспечение безопасности с помощью настроек и уведомлений
Чтобы повысить уровень защиты, рекомендуется включить уведомления о входе в учетную запись Microsoft. Это даст возможность своевременно реагировать на подозрительную активность. Также важно настроить самые строгие фильтры электронной почты, чтобы блокировать вредоносные сообщения до того, как они достигнут вашего ящика.
Постоянное развитие методов злоумышленников и важность бдительности
Технологии мошенников быстро совершенствуются, поэтому важно оставаться в курсе новых методов защиты и быть внимательными к признакам поддельных страниц и сообщений. Чем больше вы будете знать и применять современные меры безопасности, тем труднее злоумышленникам добиться успеха в своих кибератаках.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.