Спам-рассылки через SMS раздражают почти всех. Однако проблема не только в их назойливости, но и в том, что они часто являются инструментом мошенников. Фишинг якобы от имени крупных брендов остается действенным инструментом киберпреступников, с помощью которого они похищают персональные данные и деньги пользователей, параллельно нанося репутационный ущерб самим брендам.
Существует ряд методов противодействия таким атакам, но в этой «борьбе брони и снаряда» пока выигрывают киберпреступники. Я Никита Котиков, руководитель направления пресейла в компании CICADA8, и в этой статье я опишу, в чем проблема традиционных методов защиты, и расскажу, как можно было бы эффективнее блокировать мошеннические ресурсы.
Традиционные методы борьбы с SMS-мошенничеством опираются на ряд проверенных технологий:
Статический анализ URL, позволяющий идентифицировать подозрительные паттерны в элементах ссылки, подмены символов и иные нестандартные конструкции;
Контентный анализ ресурса, отвечающий за выявление определенных сигнатур, свойственных мошенническим схемам, таким как: «срочно», «аккаунт заблокирован», «выигрыш», «код из смс» и подобные;
Таргетированный анализ «свежих» доменов посредством интеграции с ICANN и иными агрегаторами;
Использование фидов публичных черных списков и репутационных баз для ограничения доступа к ресурсам, имеющим проблемы с легитимностью.
Однако эти методы проактивного анализа и идентификации вредоносного контента зачастую крайне неэффективны против современных сценариев. Мошеннические сценарии с использованием SMS все чаще похожи на головоломку, особенно в сфере страхования и инвестиций, где инструменты киберпреступников достигли крайне высокого уровня сложности. Это требует принципиально новых подходов к анализу киберугроз.
Итак, почему же традиционные методы не работают?
Статический анализ URL
Злоумышленники генерируют уникальные одноразовые URL с использованием случайных поддоменов или параметров (hxxps://rand12345[.]trusted-brand[.]com/...). Статический анализ URL бессилен против параметризированных конструкций, где свыше 90% пути генерируется автоматически - scamdomain[.]com/data/load2/ref=7x3b&id=Uk53L, а использование обфусцированных доменов (xn--80a[.]xyz) еще больше усложняет задачу по определению конечного URL, где содержится вредоносный контент.
Также злоумышленники активно применяют каскадные редиректы через N легитимных сервисов (Google Forms, облака и промежуточные «пустые» домены), что позволяет скрыть конечный адрес.
Таргетированный анализ «свежих» доменов посредством интеграции с ICANN и иными агрегаторами
По данным исследования ProofPoint, порядка 89% атак в 2024 году использовали динамические идентификаторы и составные части url, обладающие относительно скромным временем жизни. Домены со сроком жизни от 12 часов до суток не позволяют произвести своевременную обработку и детектирование штатными средствами превентивного анализа в отношении «свежих» ресурсов. Чаще всего информация о новом домене попадает в ICANN и подобные базы лишь спустя сутки. То есть в данном случае они бесполезны – к моменту попадания в эти агрегаторы домен уже самоуничтожится.
Использование фидов и репутационных баз
Главной проблемой здесь является временной лаг с момента старта кампании и SMS-рассылки до момента анализа целевого URL и обновления информации в репутационных системах. Обычно он составляет от 12 до 48 часов. Согласно исследованию Kaspersky Lab, 78% блокировок происходят постфактум – уже по завершении мошеннической кампании, что особенно критично в случае короткого срока жизни вредоносных ресурсов.
Что же делать?
Очевидно, что эффективное противостояние современным сценариям мошенничества требует перехода от реагирования на уже завершившуюся кампанию к анализу в реальном времени. На мой взгляд, здесь могут помочь следующие инструменты:
Отслеживание динамических частей в URL
Лингвистический анализ
Сбор и обогащение систем анализа актуальной информацией
Динамическое раскрытие перенаправлений
Чтобы определить конечный URL, можно реализовать автоматизированный обход ссылок с эмуляцией мобильного устройства посредством использования headless-браузеров. Используя, например, заголовок User-Agent (Mozilla/5.0 (Android 12; Mobile; rv:136.0) Gecko/136.0 Firefox/136.0) и параметр viewport, характерные для мобильных устройств Android/iOS, можно идентифицировать вредоносный контент, предназначенный преимущественно для телефонов.
Фиксируя все перенаправления, в конечном итоге получаем цепочку и целевой контент: bit.ly/abc123 → tracking-domain.com → scam-site.org → финальный-фишинг.com.
Лингвистический анализ с уникальными правилами (ключевыми словами)
Для реализации данной задачи потребуется морфологически чувствительный словарь для дальнейшего контекстного анализа триггерных конструкций и фраз, например:
Base = {
"займы": ["срочный займ", "одобрение онлайн", "без отказа", "под %"],
"казино": ["бонус за регистрацию", "фриспины", "выигрыш гарантирован"],
"трейдинг": ["сигналы Binance", "стратегия x100", "инсайдерская информация"],
"BRAND": ["Brand_name", "ФИО ГД", "скидки до 50%", "ликвидация"]
}
Advance= {
"займы": [(?i)\b((копи(ю|я) паспорта|документ(а|ов))|(деньги (за|под) расписку))\b.?\b((с низкой ставкой)|онлайн|срочн(ый|о)|анонимн(ый|о)|мгновенн(ый|о)|(без юридических последствий))\b], "страховые": [(?i)\b((вам)|(доступен)|(бонус))\b.?\b((как)|(страхов(ому|ому))|(клиенту))\b.*?\b((активируйте)|(в личном кабинете))\b]
}
Этот метод хорош тем, что позволяет обнаружить свыше 80% целевых атак на этапе анализа ссылок, расположенных в SMS-сообщениях.
Обнаружение генераторов случайных URL
При помощи энтропии Шеннона можно измерить математическую сложность последовательности символов (в битах на символ).
Высокая энтропия (> 7,2 бит) указывает на высокую степень случайности:
случайные строки - aB3!fG7@kL1%
криптографические хеши, части MD5, SHA-1 - d41d8cd98f00b204…
UUID/GUID - 550e8400-e29b-41d4-a716-446655440000
Низкая энтропия же более характерна для осмысленного текста:
слова - user-profile, promo2024, login
даты - 2023-11-15
человеко-понятные URL - /category/product-name
Система оперативных фидов
Для многоуровневого сбора данных потребуется интеграция с SMS-шлюзами провайдеров, сбор информации из теневых сегментов Интернет (Threat Intelligence) на предмет распространения сопутствующей информации. Но это: конечно, требует сотрудничества операторов связи с участниками рынка кибербезопасности, которые обладают соответствующей экспертизой.
