Перейти к содержанию

Трекинговый пиксель как орудие злоумышленников


Рекомендуемые сообщения

Когда злоумышленники пытаются провернуть атаку типа Business E-mail Compromise (BEC), они, как правило, проводят кропотливую подготовительную работу. Ведь для того, чтобы в переписке выдать себя за лицо, имеющее право санкционировать перевод денег или пересылку конфиденциальных материалов, им нужно как можно лучше замаскировать свое письмо под легитимное. И тут важна каждая мелочь.

Недавно нам в руки попался интересный образец письма, которое послали с целью завязать переписку с сотрудником компании.

Письмо злоумышленников

Текст достаточно стандартный для писем такого рода. Злоумышленники дают понять, что отправитель на встрече, а следовательно, недоступен по другим каналам связи (чтобы у получателя не возникло соблазна проверить, действительно ли он переписывается с тем, чье имя стоит в подписи). Судя по тому, что злоумышленники не пытались скрыть отправку письма с адреса на публичном сервисе, они либо знали, что человек, под которого они маскируются, пользуется этим сервисом, либо предполагали, что в компании вообще нормально использовать стороннюю почту для деловой переписки. Но наше внимание привлекло другое — надпись Sent from my iPhone.

Казалось бы, это стандартная надпись, возникающая при отправке письма через дефолтное почтовое приложение Mail под iOS. Вот только, судя по содержимому технических заголовков, это письмо было отправлено через веб-интерфейс из браузера Mozilla. Зачем же злоумышленники пытались имитировать отправку письма с телефона Apple? Возможно, такая автоподпись была проставлена «для солидности». Но это не самый удачный трюк. Если письмо имитирует послание от коллеги (а чаще всего BEC — это именно попытка выдать себя за сослуживца), то велика вероятность, что получатель знает, какой аппарат использует человек, якобы отправивший послание. Поэтому, скорее всего, преступники точно знали, что они делают.

Но как они могли это узнать? На самом деле это не так уж и сложно. Достаточно провести предварительную разведку с использованием так называемого трекингового пикселя, он же web beacon.

Что такое трекинговый пиксель и зачем он используется

Как правило, компании, которые рассылают электронные письма клиентам, партнерам, читателям (то есть практически все компании), хотят понимать, насколько их рассылка интересна получателям. Это позволяет проанализировать эффективность рассылки как маркетингового инструмента, изменить формат, тематику, подачу и так далее. В теории, в электронной почте есть встроенный механизм, позволяющий отправить уведомление о прочтении, вот только для того, чтобы он работал, получатель должен сознательно согласиться на это. Люди чаще всего не соглашаются. Поэтому хитрые маркетологи начали использовать так называемый трекинговый пиксель.

Он представляет собой незаметную глазу картинку размером 1×1 пиксель, подгружаемую со стороннего сайта. В момент, когда почтовый клиент обращается к этой картинке, отправителю поступает информация о том, что письмо открыли, а также IP-адрес устройства получателя, время открытия письма и сведения о программе, в которой письмо было открыто. Обращали когда-нибудь внимание, что почтовый клиент предлагает кликнуть по ссылке, чтобы скачать рисунки? Многие пользователи уверены, что этот механизм нужен для экономии трафика. Но на самом деле автоматическая загрузка картинок чаще всего отключается именно из соображений конфиденциальности.

Как киберпреступник может использовать трекинговый пиксель во зло?

Представьте себе ситуацию: вы уехали в заграничную командировку, а на рабочую почту приходит письмо, которое на первый взгляд относится к вашей работе. Скорее всего, вы его откроете, но поняв, что это попытка продать что-то ненужное, закроете и удалите. А тем временем злоумышленник узнает, что:

  • Судя по IP-адресу, вы находитесь в другой стране, а следовательно, личные контакты коллег с вами затруднены. Значит, письмо от вас безопаснее имитировать.
  • Судя по тому, что вы открыли письмо при помощи Mail под iOS, вы используете iPhone, а значит, подпись Sent from my iPhone придаст фальшивому письму дополнительную убедительность.
  • Вы прочитали письмо в 11 утра. Само по себе это не так уж и важно, но если письма такого рода будут приходить к вам периодически, то преступник сможет вычислить ваш график работы и запланировать атаку от вашего имени так, чтобы вы были максимально недоступны.

Что делать с этой ценной информацией?

Разумеется, полностью защититься от трекинга сложно, да и не факт, что это имеет смысл. Но это не значит, что вам следует облегчать задачу преступникам. Поэтому мы предлагаем придерживаться следующих советов:

  • Если почтовый клиент показывает вам сообщение «кликните сюда, чтобы загрузить картинки», это значит, что визуальный контент был заблокирован из соображений конфиденциальности. Подумайте, прежде чем разрешать. Пусть письмо выглядит не очень красиво, но разрешая подгрузку картинок, вы отдаете неизвестно кому информацию о себе и своем устройстве.
  • Не открывайте письма, которые попали в спам. Современные спам-фильтры ошибаются крайне редко. Особенно если ваш почтовый сервер защищен нашими технологиями.
  • Осторожно относитесь к массовым рассылкам. Одно дело, если вы сознательно подписывались на новости от компании, а другое — когда рассылка пришла неизвестно от кого и непонятно почему. В последнем случае письмо лучше не открывать.
  • Используйте надежные решения для защиты корпоративной почты.

В частности, наши технологии для защиты от спама и фишинга работают в продуктах Kaspersky Total Security для бизнеса (в компонентах Kaspersky Security для Microsoft Exchange Servers, Kaspersky Security для Linux Mail Server, Kaspersky Secure Mail Gateway) и в Kaspersky Security для Microsoft Office 365.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Международный женский день отмечают в разных странах мира по-разному, но в этот день к женщинам, вне зависимости от их происхождения, уровня заработка или политических убеждений, приковано внимание всего мира — и, разумеется, мошенников. Предпраздничная лихорадка для злоумышленников — отличный повод заработать, и вот они с утроенной скоростью отправляют ссылки на поддельные сайты, генерируют сотни тысяч фейковых промокодов и обещают ценные подарки за любую покупку.
      Сегодня расскажем, как женщинам не попасться на удочку мошенников накануне праздника.
      Фейковые подарки от маркетплейсов
      Согласно статистике, женщины куда чаще мужчин закупаются в онлайн-маркетплейсах: 43% против 32%. По той же причине женщины чаще становятся целью промокампаний, которых в преддверии любого праздника становится невероятно много. К сожалению, эти кампании далеко не всегда легальны и организованы теми брендами, от лица которых рассылаются предложения неслыханной щедрости.
      Уже несколько лет подряд накануне 8 Марта девушки получают сообщения в WhatsApp якобы от Amazon с предложением получить ценный подарок: «Розыгрыш призов от Amazon в честь праздника — более 10 000 бесплатных товаров!». Для участия в акции нужно пройти по ссылке и заполнить небольшой опрос, а после разослать сообщение нескольким десяткам друзей и подтвердить свою личность по электронной почте. Конечно же, заполнившие опрос не получают ни модных смартфонов, ни фенов для сушки волос, ни ноутбуков. Вместо этого, как отмечают исследователи, устройства жертв могли быть скомпрометированы: злоумышленники могли получить доступ к камере, микрофону, банковским приложениям, контактам и галерее.
      При этом многие бренды на самом деле активно используют мессенджеры и почту для распространения акционных предложений, и Amazon не исключение. Поэтому, если вам пришло подобное сообщение, сначала проверьте его: особенное щедрое предложение, наличие грамматических ошибок, странный адрес отправителя и призывы срочно перейти по ссылке, «пока все не закончилось», могут означать, что оно отправлено злоумышленниками. Помните правила безопасного онлайн-шопинга и используйте надежную защиту, чтобы быть уверенными, что вы действительно переходите на официальный сайт, а не на его подделку.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Для большинства пользователей пароль — всего лишь простейший способ войти в многочисленные сервисы. Но для киберпреступников он значит много больше: это открытая дверь в чужую жизнь, основной рабочий инструмент и товар, который можно продавать и покупать. Зная чужие пароли, злоумышленники могут не только получить доступ к аккаунтам, данным, деньгам и цифровой личности, но и использовать вас в качестве площадки для дальнейших атак на ваших друзей, родственников и даже на вашу компанию. Чтобы избежать этого, необходимо, прежде всего, понимать, как пароли вообще попадают к преступникам.
      Как пароли попадают в руки злоумышленников?
      Многие считают, что киберпреступники смогут заполучить пароль, только если пользователь совершит ошибку — скачает и запустит непроверенный файл, откроет документ от неизвестного отправителя или введет свои учетные данные на сомнительном сайте. Да, все это действительно упрощает жизнь злоумышленникам, но на самом деле в их арсенале гораздо больше способов для захвата учетных записей. Вот самые распространенные схемы.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Представьте: как только вы заходите в торговый центр, за вами по пятам начинает ходить незнакомый человек. Он тщательно конспектирует, в какие магазины вы заходите. Вам дают в руки рекламную листовку — он заглядывает через плечо и следит, внимательно ли вы ее прочитали. Когда вы в магазине, он с секундомером замеряет, сколько времени вы простояли возле каждой полки. Звучит нелепо и несколько неприятно, правда? К сожалению, примерно это и происходит каждый раз, когда вы посещаете крупные веб-сайты, читаете почтовые рассылки интернет-магазинов и онлайн-сервисов, а также пользуетесь их фирменными мобильными приложениями. «Человек с секундомером» на практике — это системы аналитики, которыми оснащены практически все сайты, приложения и даже почтовые рассылки.
      Зачем компаниям эта информация? Ответов несколько, и зачастую данные используются для всех целей одновременно.
      Чтобы лучше знать ваши предпочтения, предлагать товары и услуги, которые вы купите с наибольшей вероятностью. Сюда же отнесем назойливую рекламу велосипедов, которая будет вас преследовать еще два месяца после посещения сайта с велосипедами. Чтобы лучше подбирать тексты и изображения на сайтах и в письмах. Компания тестирует разные варианты описаний, заголовков и баннеров, а потом выбирает тот, который покупатели чаще и внимательней читают. Чтобы определять, какие разделы мобильного приложения или сайта пользуются наибольшей популярностью и как вы с ними взаимодействуете. Чтобы тестировать новые продукты, услуги, функции. Чтобы просто перепродавать данные о поведении и предпочтениях пользователей другим компаниям. В подробной статье на Securelist мы досконально рассмотрели статистику самых активных «шпионов», но, если вкратце, три самых жадных до ваших данных компании (с огромным отрывом от прочих) — это Google, Microsoft и Amazon.
       
      View the full article
×
×
  • Создать...