«Что за ссылка на Google Translate?». Или как распознать фишинг в почте
Один из "красных флажков", сигнализирующих о фишинге в почте — ссылка на страницу, переведенную с помощью Google Translate. Если она содержится в деловом письме, можно подумать, что отправитель предлагает посетить сайт на другом языке и таким образом оказывает помощь получателю. Но в реальности чаще всего такой прием используют злоумышленники, чтобы обойти антифишинговые решения. Если вы перешли по такой ссылке из письма, а на сайте вас просят ввести какие-либо учетные данные — это повод закрыть окно браузера и удалить письмо.
Рассмотрим один из примеров подобного фишинга, который мы обнаружили. Ниже на картинке ― скриншот письма с фишинговой ссылкой.
Все выглядит так, как будто отправители прислали некий платежный документ, который доступен только получателю письма. В тексте сказано, что файл необходимо изучить для "презентации встречи по контракту и последующих выплат". Ссылка на кнопке "Open" ведет на сайт, переведенный Google Translate. Однако заметить это можно, только перейдя по ней, потому что в письме она выглядит следующим образом:
Также примечательны в этом письме две ссылки снизу ("Unsubscribe From This List" и "Manage Email Preferences") и домен sendgrid.net в ссылке. Это признаки того, что письмо было отправлено не вручную, а через легитимный сервис для рассылки почтовой корреспонденции ― SendGrid. Такие сервисы обычно заботятся о своей репутации и периодически удаляют фишинговые почтовые кампании и блокируют их авторов. Именно поэтому злоумышленники пропускают свои ссылки через Google Translate — защитные инструменты сервисов видят легитимный домен Google и не считают сайт подозрительным. Так что, используя переводчик, фишеры пытаются обмануть не только потенциальную жертву, но и сервис-посредника.
У Google Translate есть функция перевода сайтов целиком — для этого нужно выдать ему ссылку и выбрать языки. В результате сервис выдает ссылку на страницу, где домен оригинала написан через дефисы, к адресу добавлен домен translate.goog, а далее следует имя оригинальной страницы и ключи, показывающие с какого языка на какой был сделан перевод. Например, адрес перевода главной страницы английского блога "Лаборатории Касперского" https://www.kaspersky.com/blog/ на испанский язык будет выглядеть вот так: https://www-kaspersky-com.translate.goog/blog/?_x_tr_sl=auto&_x_tr_tl=es&_x_tr_hl=en&_x_tr_pto=wapp.
В фишинговом письме из нашего примера пользователя пытались заманить на сайт с формой ввода учетных данных. В адресной строке видно, что ссылка была переведена Google Translate.
Чтобы сотрудники не попадались на подобные уловки злоумышленников, важно повышать их осведомленность о современных киберугрозах и фишинговых уловках при помощи специализированных обучающих инструментов.