Перейти к содержанию

Фишинг учетных данных к ESP-провайдеру через ESP-провайдера

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Базы электронных адресов, по которым компании рассылают письма своим клиентам, всегда были интересной добычей для злоумышленников. Их могут использовать и для спам-рассылок, и для фишинга, и для более сложных мошеннических схем. Если в придачу к базам атакующему удается получить доступ к легитимному инструменту для организации рассылки, то это значительно повышает шансы на успех любой атаки. Ведь люди, давшие согласие на получение писем и привыкшие потреблять информацию именно таким способом, с большей вероятностью откроют привычную рассылку от компании, чем какое-то постороннее послание. Поэтому злоумышленники периодически пытаются захватить доступ к личным кабинетам компаний в сервисах ESP-провайдеров. В очередной выявленной нами фишинговой кампании они усовершенствовали свой метод и охотятся на учетные данные на сайте ESP-провайдера SendGrid, рассылая фишинговые письма непосредственно через сам SendGrid.

Почему в данном случае фишинг через SendGrid более успешен?

Среди советов, которые мы обычно даем в постах про фишинг, мы чаще всего рекомендуем внимательно смотреть на домен сайта, куда вас пытаются послать при помощи кнопки или текстовой гиперссылки. ESP-провайдеры, как правило, не позволяют вставить в письмо прямую ссылку на сайт клиента, а служат своего рода посредником — получатель письма видит внутри ссылки домен ESP-провайдера, который далее редиректит кликнувшего уже на сайт, заданный при настройке кампании по рассылке. Это делается в том числе для корректного сбора аналитики.

В данном случае текст фишингового письма написан от имени ESP-провайдера SendGrid, который якобы очень беспокоится о безопасности своих клиентов и убеждает их включить двухфакторную аутентификацию, чтобы контроль над личным кабинетом не захватили посторонние. В письме объясняются преимущества метода 2FA и дана ссылка для обновления настроек безопасности. И ведет она, как вы, вероятно, уже догадались, на какой-то адрес в домене SendGrid (где, вероятно, должен был бы располагаться сайт с настройками, если бы это письмо действительно рассылала компания SendGrid).

При этом для всех почтовых сканеров данное фишинговое письмо выглядит как абсолютно легитимная рассылка, идущая с серверов SendGrid с корректными ссылками, ведущими на домен SendGrid. Единственное, что может насторожить получателя такого письма, — адрес отправителя. Дело в том, что ESP-провайдеры подставляют туда домен реального заказчика и идентификатор рассылки. Чаще всего для фишинга используется угнанная учетная запись (новых клиентов ESP-провайдеры проверяют более тщательно, а старые, сделавшие уже не одну рассылку, имеют накопленную репутацию надежных).

Письмо якобы от SendGrid

Письмо от имени SendGrid, присланное через SendGrid, для фишинга учетной записи для сервиса SendGrid

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • К Дмитрий
      Нет возможности управлять учетной записью
      От К Дмитрий
      Добрый день,
      Служба поддержки не отвечает на мой запрос INC000017019830:
      "Для Управление сведениями учетной записи пришло сообщение с инструкцией. К сожалению, нет никакой возможности войти в личный кабинет пользуясь https://shop.kaspersky.ru/enduser-portal/login, так как учетные данные не воспринимаются. При сбросе пароля на почту ничего не приходит. Прошу исправить ошибку. При этом вход через MyKaspersky выполняется без проблем с теми же данными." Есть ли возможность исправить ошибку? Может ли служба поддержки ответить на вопрос?
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • animewko25
      Перенос базы данных KSC на другой диск
      От animewko25
      Добрый день!
      Подскажите каким способом можно перенести базу данных SQL KSC на другой диск.
      Финт с заменой буквы не проходит,может быть есть какой нибудь мануал
    • KL FC Bot
      Уловки целевого фишинга в массовой рассылке | Блог Касперского
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • KL FC Bot
      Как работает фишинг по подписке через бот в Telegram
      От KL FC Bot
      Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
      Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
      Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
      Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
      По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
       
      View the full article
×
×
  • Создать...