В последнее время киберпреступники активизировали фишинговую кампанию, основанную на использовании визуальных уловкок. Злоумышленники зарегистрировали доменное имя «rnicrosoft[.]com», заменив символ «m» на сочетание символов «r» и «n». Несмотря на то, что разница между оригинальным и поддельным доменом на первый взгляд едва заметна, именно на этом строится стратегия злоумышленников. Эксперты отмечают, что в веб-браузерах и почтовых клиентах символы «r» и «n», расположенные рядом, могут визуально сливаться, создавая иллюзию буквы «m». Это явление обусловлено особенностями восприятия, в результате чего большинство пользователей не замечают подмены, особенно при использовании мобильных устройств, где длина адресной строки ограничена и полное отображение домена затруднено.
Руководитель компании Anagram Харли Сугарман заявил, что злоумышленники не только фальсифицируют адрес отправителя, но и тщательно имитируют фирменный стиль Microsoft, включая логотип и стиль коммуникации. Эти меры делают поддельные письма более убедительными и повышают вероятность того, что пользователь перейдет по предоставленной ссылке или скачает вложение.
Основная угроза данного вида фишинга заключается в его неочевидности. На больших мониторах внимательный пользователь может обнаружить аномалии в написании, однако на мобильных устройствах идентификация подмены практически невозможна. Получив доверие жертвы, злоумышленники используют поддельные домены для хищения учетных данных, фальсификации счетов от поставщиков или отправки мошеннических писем от имени отдела кадров.
Подмена символа «n» на «rn» является лишь одной из множества техник, применяемых киберпреступниками. Злоумышленники также используют замену символа «o» на цифру «0» (например, «micros0ft.com»), добавление дефисов (например, «microsoft-support.com») или регистрацию доменов в альтернативных зонах (например, «microsoft.co»).
Для минимизации рисков фишинговых атак эксперты рекомендуют изменить поведенческие привычки пользователей. Необходимо всегда проверять полный адрес отправителя, анализировать URL при наведении курсора и использовать функцию предварительного просмотра ссылки на мобильных устройствах. Важно также игнорировать письма, содержащие подозрительные ссылки или уведомления о сбросе пароля, и обращаться к официальным сервисам через прямые входы, вводя URL вручную, пишет источник.