Автор
KL FC Bot
Базы электронных адресов, по которым компании рассылают письма своим клиентам, всегда были интересной добычей для злоумышленников. Их могут использовать и для спам-рассылок, и для фишинга, и для более сложных мошеннических схем. Если в придачу к базам атакующему удается получить доступ к легитимному инструменту для организации рассылки, то это значительно повышает шансы на успех любой атаки. Ведь люди, давшие согласие на получение писем и привыкшие потреблять информацию именно таким способом, с большей вероятностью откроют привычную рассылку от компании, чем какое-то постороннее послание. Поэтому злоумышленники периодически пытаются захватить доступ к личным кабинетам компаний в сервисах ESP-провайдеров. В очередной выявленной нами фишинговой кампании они усовершенствовали свой метод и охотятся на учетные данные на сайте ESP-провайдера SendGrid, рассылая фишинговые письма непосредственно через сам SendGrid.
Почему в данном случае фишинг через SendGrid более успешен?
Среди советов, которые мы обычно даем в постах про фишинг, мы чаще всего рекомендуем внимательно смотреть на домен сайта, куда вас пытаются послать при помощи кнопки или текстовой гиперссылки. ESP-провайдеры, как правило, не позволяют вставить в письмо прямую ссылку на сайт клиента, а служат своего рода посредником — получатель письма видит внутри ссылки домен ESP-провайдера, который далее редиректит кликнувшего уже на сайт, заданный при настройке кампании по рассылке. Это делается в том числе для корректного сбора аналитики.
В данном случае текст фишингового письма написан от имени ESP-провайдера SendGrid, который якобы очень беспокоится о безопасности своих клиентов и убеждает их включить двухфакторную аутентификацию, чтобы контроль над личным кабинетом не захватили посторонние. В письме объясняются преимущества метода 2FA и дана ссылка для обновления настроек безопасности. И ведет она, как вы, вероятно, уже догадались, на какой-то адрес в домене SendGrid (где, вероятно, должен был бы располагаться сайт с настройками, если бы это письмо действительно рассылала компания SendGrid).
При этом для всех почтовых сканеров данное фишинговое письмо выглядит как абсолютно легитимная рассылка, идущая с серверов SendGrid с корректными ссылками, ведущими на домен SendGrid. Единственное, что может насторожить получателя такого письма, — адрес отправителя. Дело в том, что ESP-провайдеры подставляют туда домен реального заказчика и идентификатор рассылки. Чаще всего для фишинга используется угнанная учетная запись (новых клиентов ESP-провайдеры проверяют более тщательно, а старые, сделавшие уже не одну рассылку, имеют накопленную репутацию надежных).
Письмо от имени SendGrid, присланное через SendGrid, для фишинга учетной записи для сервиса SendGrid
Посмотреть статью полностью
Автор Александр Панфилов
Автор Bercolitt
Автор Acteon_927
Автор KL FC Bot
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти