«В 2025 году офисного сотрудника сложно удивить фишинговым письмом, замаскированным под официальное сообщение от банка. Особенно, когда в письме содержится призыв к действию, в духе "обновить информацию о своих счетах". Однако при тщательном изучении одного из "двуликих" писем выявляется следующее: выявлено злоупотребление условными операторами HTML, посредством которых эксплуатируется пост-условное отображение контента в почтовых клиентах, отличных от Microsoft Outlook. Злоумышленники используют условные элементы в HTML, в частности <!--[if mso]> и <!--[if !mso]>, для отображения разных ссылок в зависимости от почтового клиента или браузера», — подчеркнула Дмитриева.
Так, в Microsoft Outlook в электронном письме отображается безобидная ссылка, ведущая на официальный банковский домен, что позволяет обойти блокировки при проверках на наличие вредоносных URL-адресов.
Однако, когда то же самое письмо открывается в другом почтовом клиенте или браузере, содержимое меняется. Вместо безопасной ссылки появляется вредоносный URL, который перенаправляет пользователя на поддельный сайт для кражи учетных данных.
«Злоумышленники рассчитывают, что такое фишинговое письмо из банка при проверке личной почты в других клиентах приведёт к открытию и успешному инфицированию хоста», — объясняет киберэксперт.
Эта техника была задокументирована в 2019 году, но её применение стало учащаться. Злоумышленники не вскрываются в излишне защищённых корпоративных средах, где Outlook проходит фильтрацию через шлюзы безопасности. Их основной интерес — открытие пользователем письма в браузер-клиенте почты, где песочница может не отработать. Многие организации и частные лица могут оказаться не подготовлены к таким угрозам.
«Подобная фишинговая кампания служит ярким напоминанием о растущей сложности ландшафта угроз. Важно сохранять бдительность даже в отношении малоизвестных и набирающих популярность методов атак. — подчёркивает Дмитриева. — Организациям следует совершенствовать подходы к обеспечению безопасности электронной почты, информировать сотрудников о признаках фишинга и внедрять передовые системы обнаружения угроз, способные анализировать HTML-контент на наличие аномалий во всём теле писем. Для high-level корпоративной защиты в частном секторе оптимально рассмотреть внедрение коммерческого SOC с высококвалифицированными специалистами широкого профиля знаний. Подобную услугу предоставляет компания "Газинформсервис" — аналитики GSOC обладают сертификатами CISSP, CISM, CEH, OSWE, OSCP и проведут расследование самых изощрённых атак».
