Cisco против своих

Злоумышленники нашли новый изощренный способ обходить системы защиты. Они научились использовать против пользователей собственный защитный механизм Cisco — технологию Safe Links. Изначально созданная для анализа подозрительных ссылок в почте, она теперь превратилась в инструмент мошенников.

Идея атаки проста и коварна: все доверяют домену secure-web.cisco.com. Пользуясь этой безупречной репутацией, злоумышленники маскируют под него фишинговые ссылки. Почтовые фильтры, видя знакомый и проверенный адрес, автоматически пропускают опасные письма, а пользователи, теряя бдительность, переходят по ним. Для создания таких ссылок атакующие применяют разные тактики. Чаще всего они взламывают учетные записи в компаниях, где используется Cisco, и рассылают письма самим себе, чтобы генератор Safe Links создал нужную им ссылку. Иногда в ход идут сторонние сервисы, интегрированные с инфраструктурой Cisco, или даже старые, но еще рабочие ссылки.

Одно из последних писем было образцом фишингового искусства. Оно идеально имитировало запрос на подписание документа через известный сервис электронных подписей — выдержанный стиль, деловой язык. Ничто не вызывало подозрений, кроме мельчайших деталей: странных параметров в URL и небольших несоответствий в логике делового оборота.

Эта атака знаменует опасный поворот в киберпреступности. Теперь угроза скрыта не в коде, а в доверии. Злоумышленники атакуют не уязвимости софта, а психологию человека и слепые зоны систем защиты, настроенных на автоматическое доверие к крупным брендам. Это требует от нас быть внимательнее не только к адресу в строке, но и к контексту каждого письма.