Хакеры заставили Cisco атаковать собственных клиентов

Cisco Raven Safe Links ИИ фишинг кибератака доверие
Хакеры заставили Cisco атаковать собственных клиентов
Cisco Raven Safe Links ИИ фишинг кибератака доверие

Чрезмерное доверие обернулось ловушкой. Традиционные методы обнаружения бессильны.

image

Киберпреступники нашли способ использовать защитные механизмы Cisco против самих пользователей. Исследователи Raven зафиксировали кампанию по краже учётных данных, в которой злоумышленники научились эксплуатировать технологию Cisco Safe Links. Этот инструмент встраивается в систему фильтрации почтового трафика и подменяет подозрительные ссылки, перенаправляя их через собственную инфраструктуру Cisco для анализа.

Идея атаки заключается в том, что пользователь или система безопасности по умолчанию доверяют домену «secure-web.cisco.com», считая его безопасным. Именно это доверие и превратилось в оружие: атакующие начали прикрываться ссылками с этим префиксом, чтобы обманывать фильтры и людей.

Эксперты Raven зафиксировали несколько техник злоумышленников по созданию легитимных Safe Links, пригодных для атак. Чаще всего они захватывают учётные записи внутри компаний, защищённых Cisco, и рассылают вредоносные письма сами себе, после чего используют сгенерированные ссылки в целевых кампаниях. Также встречается использование сторонних сервисов, отправляющих письма через инфраструктуру Cisco, и даже повторное применение ранее созданных работающих Safe Links.

Один из последних примеров представлял собой письмо с запросом на просмотр документа, замаскированное под сервис электронных подписей. Оно выглядело максимально профессионально, с фирменным стилем и деловой лексикой. При этом классические почтовые фильтры не сработали, так как видели перед собой адрес в домене Cisco. Только подробный анализ, учитывающий не только технические признаки, но и контекст деловой переписки, смог выявить несоответствия: подозрительные параметры в URL и аномалии в бизнес-процессах.

Опасность в том, что такие атаки выглядят безупречно с технической точки зрения. Всё зло скрыто в поведении и контексте, а не в привычных индикаторах вроде поддельных доменов. Большинство систем защиты сосредоточено именно на репутации адресов, поэтому домены Cisco пропускаются автоматически. Это говорит о качественном сдвиге в методах киберпреступников: они всё чаще эксплуатируют не уязвимости в коде, а доверие к известным брендам и привычным процессам.

Результаты исследования подчёркивают, что традиционные подходы — сигнатуры и репутационные базы — оказываются бессильны против атак, маскирующихся под законные бизнес-операции. Всё большее значение приобретает использование контекстно-ориентированных систем на базе искусственного интеллекта, способных распознавать поведенческие аномалии и проверять уместность писем в рамках деловой логики. Без подобных решений существует риск пропустить кампании, которые внешне выглядят совершенно легитимно, но в реальности ведут к краже учётных данных.