Перейти к содержанию

Фишинг через ESP-провайдеров

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Мы уже неоднократно рассказывали о различных уловках, которые мошенники используют для того, чтобы обойти антифишинговые технологии. Еще одна схема, которая позволяет с большой вероятностью доставить фишинговую ссылку к цели, это рассылка писем через сервисы e-mail рассылок (ESP). По статистике срабатываний наших решений видно, что сейчас этот метод набирает обороты.

Почему рассылка фишинга через ESP эффективна

Если вы серьезно относитесь к угрозам из электронной почты и своевременно приняли меры по ее защите, то прежде чем письмо попадает в почтовый ящик вашего сотрудника, оно тщательно проверяется антивирусными, антифишинговыми и антиспам-движками. Они проверяют не только содержимое письма, содержащиеся в нем ссылки и технические заголовки, но и репутацию отправителя и сайтов, на которые ссылаются авторы письма. Вердикт об опасности или безопасности письма выносится на основании совокупности различных факторов. Никому не известный отправитель массовой рассылки подозрителен: защитные алгоритмы воспринимают его как дополнительный повод вынести вердикт об опасности.

Поэтому злоумышленники решили рассылать свои письма так, чтобы отправителем был кто-то другой, не вызывающий подозрения. Под это описание идеально подходят ESP-сервисы —компании, которые специализируются на полном цикле доставки email-рассылок. Они широко известны, у многих вендоров защитных решений внесены в белые списки по IP-адресам, а некоторыми сервисами вообще не проверяются.

Как используют ESP

Основной метод использования ESP злоумышленниками очевиден — фишинг под видом легитимной рассылки. То есть киберпреступники становятся клиентом сервиса, оплачивают услуги (как правило, покупая минимальный срок подписки, потому что их все равно достаточно быстро вычисляют и блокируют).

Но есть и более экзотический вариант: использование ESP в качестве хостера URL. При такой схеме рассылка проводится через собственную инфраструктуру злоумышленников. Например, они могут создать тестовую кампанию, в которой будет указан фишинговый URL, и послать ее себе как превью. Затем они берут из нее запроксированный URL и уже его используют в фишинговой рассылке. Есть и другой вариант: мошенники могут создать под видом шаблона для рассылки фишинговый сайт и дать прямую ссылку на него. Но такое случается реже.

Как бы то ни было, в результате URL имеет положительную репутацию, его гарантированно не блокируют, а провайдер, через которого не идут никакие рассылки, не видит подвоха и не блокирует своего вредоносного «клиента». Иногда такие схемы применяются даже для целевого фишинга.

Как на это смотрят ESP-провайдеры?

Разумеется, ESP-провайдерам это все не очень нравится. Кому приятно быть инструментом в руках злоумышленников! У большинства из них работают собственные защитные технологии, которые тщательно проверяют контент и ссылки, рассылаемые через их серверы. Практически у каждого есть специальный раздел с информацией о том, куда обращаться, если вы столкнулись со случаем фишинга через их сайт.

Поэтому злоумышленники стараются усыпить бдительность и ESP-провайдеров. Например, если провайдер используется для проксирования, то фишинговая ссылка с большой долей вероятности оказывается «отложенной» — то есть в момент создания тестовой рассылки она будет казаться легитимной и только позже станет вредоносной.

И что делать?

Массовые рассылки часто приходят сотрудникам компаний, чьи адреса так или иначе попали в общий доступ. Случайно не заметить среди них вредоносную и попасться на нее может каждый. Чтобы защитить своих сотрудников от возможной фишинговой рассылки через ESP-провайдера, мы рекомендуем:

  • Объяснить сотрудникам, что не стоит открывать письма с пометкой «массовая рассылка», на которые они сознательно не подписывались. Ничего интересного там все равно не будет — в лучшем случае навязчивая реклама.
  • Использовать надежные защитные решения, которые тщательно проверяют всю входящую электронную почту эвристическими алгоритмами.

Среди наших решений есть Kaspersky Security для Microsoft Office 365 и решение Kaspersky Security для почтовых серверов, входящее в состав Kaspersky Total Security для бизнеса. Они позволят надежно защитить пользователей и от этой угрозы.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Фишинг через Google Ads: атаки на SEOшников и маркетологов
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Как рассылают фишинг с адреса no-reply@accounts.google.com | Блог Касперского
      Автор KL FC Bot
      Представьте — вам приходит письмо, оповещающее о том, что Google получила от правоохранительных органов судебную повестку с требованием предоставить содержимое вашего аккаунта. Письмо выглядит вполне «по-гугловски», да и адрес отправителя совершенно респектабельный — no—reply@accounts.google.com. Внутри сразу просыпается (как минимум) легкое ощущение паники, не правда ли?
      И вот какая удача — в письме содержится ссылка на страницу поддержки Google, перейдя по которой можно узнать все подробности о происходящем. Доменный адрес ссылки при этом также похож на официальный и, судя по всему, принадлежит настоящей Google…
      Постоянные читатели нашего блога уже наверняка догадались, что речь идет о новой схеме фишинга. В ней мошенники эксплуатируют сразу несколько сервисов настоящей Google, чтобы сбить своих жертв с толку и придать письмам максимальную правдоподобность. Рассказываем обо всем по порядку.
      Как фишинговое письмо маскируется под официальное уведомление Google
      Письмо, с которого начинается данная атака, вы можете видеть на скриншоте ниже — оно действительно вполне убедительно притворяется оповещением от системы безопасности Google. В письме пользователя информируют о том, что компании пришла судебная повестка на получение правоохранительными органами доступа к содержимому его Google-аккаунта.
      Мошенническое письмо от no-reply@accounts.google.com, маскирующееся под официальный запрос на выдачу правоохранительным органам данных Google-аккаунта пользователя. Источник
       
      View the full article
    • KL FC Bot
      Технология для проверки QR-кодов на фишинг | Блог Касперского
      Автор KL FC Bot
      В попытке обойти механизмы защитных решений злоумышленники все чаще прячут вредоносные и фишинговые ссылки внутрь QR-кодов. Поэтому в решение [KSMG placeholder] Kaspersky Secure Mail Gateway [/placeholder] мы добавили технологию, способную «читать» QR-коды (в том числе и спрятанные внутрь PDF-файлов), доставать из них ссылки и проверять их до того, как они окажутся в почтовом ящике сотрудника компании. Рассказываем, как это работает.
      Пример фишингового QR-кода внутри PDF-файла
       
      View the full article
    • KL FC Bot
      Как работает фишинг по подписке через бот в Telegram
      Автор KL FC Bot
      Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
      Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
      Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
      Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
      По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
       
      View the full article
×
×
  • Создать...