Перейти к содержанию

Фишинг через ESP-провайдеров


Рекомендуемые сообщения

Мы уже неоднократно рассказывали о различных уловках, которые мошенники используют для того, чтобы обойти антифишинговые технологии. Еще одна схема, которая позволяет с большой вероятностью доставить фишинговую ссылку к цели, это рассылка писем через сервисы e-mail рассылок (ESP). По статистике срабатываний наших решений видно, что сейчас этот метод набирает обороты.

Почему рассылка фишинга через ESP эффективна

Если вы серьезно относитесь к угрозам из электронной почты и своевременно приняли меры по ее защите, то прежде чем письмо попадает в почтовый ящик вашего сотрудника, оно тщательно проверяется антивирусными, антифишинговыми и антиспам-движками. Они проверяют не только содержимое письма, содержащиеся в нем ссылки и технические заголовки, но и репутацию отправителя и сайтов, на которые ссылаются авторы письма. Вердикт об опасности или безопасности письма выносится на основании совокупности различных факторов. Никому не известный отправитель массовой рассылки подозрителен: защитные алгоритмы воспринимают его как дополнительный повод вынести вердикт об опасности.

Поэтому злоумышленники решили рассылать свои письма так, чтобы отправителем был кто-то другой, не вызывающий подозрения. Под это описание идеально подходят ESP-сервисы —компании, которые специализируются на полном цикле доставки email-рассылок. Они широко известны, у многих вендоров защитных решений внесены в белые списки по IP-адресам, а некоторыми сервисами вообще не проверяются.

Как используют ESP

Основной метод использования ESP злоумышленниками очевиден — фишинг под видом легитимной рассылки. То есть киберпреступники становятся клиентом сервиса, оплачивают услуги (как правило, покупая минимальный срок подписки, потому что их все равно достаточно быстро вычисляют и блокируют).

Но есть и более экзотический вариант: использование ESP в качестве хостера URL. При такой схеме рассылка проводится через собственную инфраструктуру злоумышленников. Например, они могут создать тестовую кампанию, в которой будет указан фишинговый URL, и послать ее себе как превью. Затем они берут из нее запроксированный URL и уже его используют в фишинговой рассылке. Есть и другой вариант: мошенники могут создать под видом шаблона для рассылки фишинговый сайт и дать прямую ссылку на него. Но такое случается реже.

Как бы то ни было, в результате URL имеет положительную репутацию, его гарантированно не блокируют, а провайдер, через которого не идут никакие рассылки, не видит подвоха и не блокирует своего вредоносного «клиента». Иногда такие схемы применяются даже для целевого фишинга.

Как на это смотрят ESP-провайдеры?

Разумеется, ESP-провайдерам это все не очень нравится. Кому приятно быть инструментом в руках злоумышленников! У большинства из них работают собственные защитные технологии, которые тщательно проверяют контент и ссылки, рассылаемые через их серверы. Практически у каждого есть специальный раздел с информацией о том, куда обращаться, если вы столкнулись со случаем фишинга через их сайт.

Поэтому злоумышленники стараются усыпить бдительность и ESP-провайдеров. Например, если провайдер используется для проксирования, то фишинговая ссылка с большой долей вероятности оказывается «отложенной» — то есть в момент создания тестовой рассылки она будет казаться легитимной и только позже станет вредоносной.

И что делать?

Массовые рассылки часто приходят сотрудникам компаний, чьи адреса так или иначе попали в общий доступ. Случайно не заметить среди них вредоносную и попасться на нее может каждый. Чтобы защитить своих сотрудников от возможной фишинговой рассылки через ESP-провайдера, мы рекомендуем:

  • Объяснить сотрудникам, что не стоит открывать письма с пометкой «массовая рассылка», на которые они сознательно не подписывались. Ничего интересного там все равно не будет — в лучшем случае навязчивая реклама.
  • Использовать надежные защитные решения, которые тщательно проверяют всю входящую электронную почту эвристическими алгоритмами.

Среди наших решений есть Kaspersky Security для Microsoft Office 365 и решение Kaspersky Security для почтовых серверов, входящее в состав Kaspersky Total Security для бизнеса. Они позволят надежно защитить пользователей и от этой угрозы.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Исследователи обнаружили в Telegram фишинговый маркетплейс под названием ONNX, открывающий киберпреступникам доступ к инструментарию для угона аккаунтов Microsoft 365, в том числе и к методам обхода двухфакторной аутентификации. Благодаря этому злоумышленники могут поставить на поток фишинговые атаки на почтовые учетные записи Microsoft 365 и Office 365. Сотрудникам ИБ-отделов компаний стоит учитывать эту угрозу и уделять особенно пристальное внимание антифишинговой защите. Рассказываем о данной угрозе подробнее.
      Вредоносное вложение с QR-кодом и обход двухфакторной аутентификации
      Исследователи описали пример атаки с использованием инструментов фишингового маркетплейса ONNX, которая проводилась на сотрудников нескольких финансовых учреждений. Для начала жертвы получали электронные письма, якобы отправленные отделом кадров, а в качестве наживки использовалась тема зарплаты получателя.
      Письма содержали вложенные PDF-файлы, внутри которых содержится QR-код, который надо отсканировать, чтобы получить доступ к «защищенному документу» с заветной информацией о зарплате. Идея тут в том, чтобы заставить жертву открыть ссылку не на рабочем компьютере, на котором, скорее всего, работает антифишинговая защита, а на смартфоне, где такая защита вполне может и не быть.
      По ссылке открывается фишинговый сайт, который притворяется страницей входа в аккаунт Microsoft 365. Здесь жертву просят ввести сначала логин и пароль, а потом и одноразовый код двухфакторной аутентификации.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Распространение многофакторной аутентификации и популяризация облачных сервисов в организациях вынудили киберпреступников обновить свои тактики и инструменты. С одной стороны, для кражи информации и проведения мошеннических схем им даже необязательно проникать во внутреннюю сеть компании или распространять вредоносное ПО. Достаточно через легитимные учетные записи получить доступ к облачным сервисам, например к почте Microsoft 365 или файловым хранилищам MOVEit. С другой стороны, для этого не хватит украденной или подобранной пары логин-пароль и надо как-то обойти MFA. Большая серия кибератак на крупные организации, зарегистрированных за последнее время, затронувшая более 40 000 жертв, показывает, что злоумышленники освоились в новых условиях — применяют адаптированные к компании-жертве фишинговые техники и инструментарий Adversary-in-the-Middle в промышленных масштабах.
      Что такое Adversary-in-the-Middle
      Атака adversary-in-the-middle (AitM) является разновидностью известного класса атак Man-in-the-Middle. В коммуникации между легитимными участниками обмена информацией (клиентом и сервером) посередине встраивается атакующий, перехватывая запросы клиента и далее направляя их на сервер, а потом перехватывает ответы сервера и направляет их клиенту.  При этом злоумышленник не просто прослушивает чужие коммуникации, а активно в них вмешивается, модифицируя контент в своих интересах.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Не так давно мы писали о том, что злоумышленники научились использовать легитимную инфраструктуру социальной сети для доставки достаточно правдоподобных на вид предупреждений о блокировке бизнес-аккаунта — с последующим угоном паролей. Оказывается, уже несколько месяцев очень похожим образом атакуют аккаунты разработчиков на GitHub, что не может не волновать корпоративную службу информационной безопасности (особенно если разработчики имеют административный доступ к корпоративным репозиториям на GitHub). Рассказываем о том, как устроена эта атака.
      Угон аккаунтов на GitHub
      Жертвам этой атаки приходят письма, отправленные с настоящего почтового адреса GitHub. В письмах говорится, что команда GitHub ищет опытного разработчика, которому компания готова предложить привлекательные условия — зарплату $180 000 в год плюс щедрый соцпакет. В случае заинтересованности в этой вакансии получателю письма предлагается подать заявку по ссылке.
      Атака начинается с письма: GitHub якобы ищет разработчика на зарплату $180 000 в год. Источник
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Исследователь безопасности под ником mr.d0x опубликовал пост, описывающий новую методику, которая может быть использована для фишинга, а также, вероятно, и для другой вредоносной деятельности. Эта методика эксплуатирует так называемые прогрессивные веб-приложения (PWA, progressive web app). В этом посте мы разберемся, что же это за приложения, почему они могут быть опасны, как именно злоумышленники могут использовать их в своих целях и как от этой угрозы защититься.
      Что такое прогрессивные веб-приложения
      Прогрессивные веб-приложения — это один из способов разработки приложений с использованием веб-технологий. Грубо говоря, это веб-сайты, которые выглядят и работают совсем как нативные приложения, установленные у вас в операционной системе.
      Общий принцип похож на устройство приложений, использующих фреймворк Electron, но с важным отличием. Electron-приложения — это своего рода «бутерброд» из веб-сайта и браузера, в котором этот сайт открывается, — то есть в каждое Electron-приложение встроен свой собственный браузер. А PWA для отображения того же веб-сайта используют движок того браузера, который уже установлен у пользователя в системе.
      Поддержка прогрессивных веб-приложений есть во всех современных браузерах, но наиболее полно она реализована в Google Chrome и браузерах, построенных на проекте Chromium, — в том числе встроенном в Windows браузере Microsoft Edge.
      Установить прогрессивное веб-приложение (если сайт в принципе предусматривает такую возможность) очень просто. Для этого достаточно нажать на неприметную кнопку в адресной строке браузера и подтвердить установку. Вот как это делается на примере прогрессивного веб-приложения сервиса Google Drive.
        Посмотреть статью полностью
×
×
  • Создать...