• Nadużywanie legalnej infrastruktury: technika phishingowa pozwalająca ominąć uwierzytelnianie poczty elektronicznej

Nadużywanie legalnej infrastruktury: technika phishingowa pozwalająca ominąć uwierzytelnianie poczty elektronicznej

Blog

Nowa klasa ataków phishingowych nie wykorzystuje fałszywych domen ani podejrzanych nadawców — opiera się na nadużyciu infrastruktury poczty elektronicznej w chmurze, której Twoje filtry już ufają. Dowiedz się, na czym polega nadużycie legalnej infrastruktury i w jaki sposób monitorowanie DMARC pomaga je wykrywać.

Milena Baghdasaryan

Ostatnia aktualizacja:
8 czas czytania: 2 minuty
Nadużywanie legalnej infrastruktury: technika phishingowa pozwalająca ominąć uwierzytelnianie poczty elektronicznej

Kluczowe wnioski

  • Nadużywanie legalnej infrastruktury to technika phishingowa, w ramach której atakujący kierują złośliwe wiadomości e-mail przez zaufane platformy chmurowe do wysyłania wiadomości, aby przejąć ich nienaganną reputację nadawcy.
  • Ponieważ wykorzystywana infrastruktura posiada odpowiednie zezwolenia techniczne, te zaawansowane kampanie phishingowe rutynowo bez problemu przechodzą kontrole SPF, DKIM i DMARC.
  • Tradycyjne bramy zabezpieczające pocztę elektroniczną nie wykrywają tych zagrożeń, ponieważ nie są w stanie blokować głównych adresów IP usług w chmurze bez powodowania katastrofalnie wysokiego wskaźnika fałszywych alarmów w przypadku legalnego ruchu.
  • Sprawcy ataków podsycają ten rodzaj ataków, kupując skradzione klucze API platform chmurowych na forach poświęconych cyberprzestępczości już za 15 dolarów.
  • Chociaż egzekwowanie standardu DMARC nie blokuje tych ataków wprost, ciągłe monitorowanie DMARC pełni rolę systemu wczesnego ostrzegania, sygnalizując nieoczekiwane anomalie w natężeniu ruchu wychodzącego.

Wyobraź sobie następującą sytuację: wiadomość phishingowa trafia prosto do firmowej skrzynki odbiorczej. Bramka bezpieczeństwa skanuje ją i wydaje jej znakomitą ocenę. Sender Policy Framework (SPF): pozytywny wynik. DomainKeys Identified Mail (DKIM): pozytywny wynik. Domain-based Message Authentication, Reporting, and Conformance (DMARC): pozytywny wynik. Wiadomość ta jest wysoce złośliwa, a mimo to bez trudu ominęła każdą warstwę zabezpieczeń. Dlaczego? Ponieważ została wysłana za pośrednictwem renomowanej infrastruktury chmurowej, której narzędzia zabezpieczające pocztę elektroniczną już ślepo ufają.

Strategia ta znana jest jako nadużywanie infrastruktury lub, w kontekście phishingu e-mailowego, jako „living off the land”. Zamiast zakładać podejrzane, krótkotrwałe domeny, cyberprzestępcy kierują swoje kampanie za pośrednictwem uznanych, cieszących się dobrą reputacją platform chmurowych do wysyłania wiadomości e-mail.

To ogromny trend. Raport Cloudflare dotyczący zagrożeń z 2026 r. wskazuje platformy poczty elektronicznej w chmurze jako często wykorzystywane wektory zaawansowanego phishingu i dystrybucji złośliwego oprogramowania oraz zwraca uwagę, że podmioty państwowe aktywnie włączają tę technikę do swoich strategii działania. Badacze ds. bezpieczeństwa z firmy Kaspersky odnotowali również utrzymujący się, znaczny wzrost liczby ataków phishingowych wysyłanych za pośrednictwem głównych infrastruktur chmurowych, począwszy od stycznia 2026 r.

Czym jest uzasadnione nadużycie infrastruktury?

Nadużywanie legalnej infrastruktury to praktyka polegająca na kierowaniu kampanii phishingowych za pośrednictwem uznanych, renomowanych platform chmurowych do wysyłania wiadomości e-mail, a nie poprzez infrastrukturę stworzoną specjalnie przez atakujących. W świecie zabezpieczeń punktów końcowych termin „living off the land” oznacza, że hakerzy wykorzystują natywne, zaufane narzędzia systemowe, takie jak PowerShell, do przeprowadzania ataków, zamiast instalować oczywiste złośliwe oprogramowanie. Sprawia to, że wykrycie ataku jest niezwykle trudne, ponieważ samo narzędzie jest tam na swoim miejscu. Nadużywanie legalnej infrastruktury opiera się na dokładnie tej samej logice w przypadku dostarczania wiadomości e-mail.

Zamiast kupować domenę z błędem ortograficznym lub uruchamiać dedykowany serwer poczty przeznaczony do złośliwych celów, oszuści przejmują kontrolę nad istniejącymi platformami chmurowymi do obsługi poczty transakcyjnej lub wynajmują na nich miejsce. Platformy takie jak Amazon SES, SendGrid i Mailjet są często celem ataków nie dlatego, że ich wewnętrzne zabezpieczenia są słabe, ale dlatego, że ich nienaganna reputacja nadawcy stanowi dla atakującego największy atut.

Osoby stanowiące zagrożenie zazwyczaj uzyskują dostęp na dwa główne sposoby:

  • Kradzież danych uwierzytelniających i kluczy API: Atakujący kradną lub kupują legalne klucze API oraz dane uwierzytelniające do istniejących kont poczty elektronicznej w chmurze. Według firmy Abnormal AI są one rutynowo sprzedawane na forach poświęconych cyberprzestępczości już za 15 dolarów.
  • Wykorzystane domeny nadawcze: Atakujący przejmują kontrolę nad istniejącą domeną firmową, dla której dostawca usług poczty elektronicznej w chmurze (ESP) jest już skonfigurowany jako autoryzowany nadawca, czerpiąc korzyści z reputacji nadawcy budowanej przez lata.

Czym jest nadużycie infrastruktury?

Dlaczego uwierzytelnianie wiadomości e-mail tego nie powstrzymuje

Luka w uwierzytelnianiu

Protokoły takie jak SPF, DKIM i DMARC zostały stworzone, aby odpowiedzieć na jedno zasadnicze pytanie: czy ta wiadomość e-mail pochodzi od autoryzowanego nadawcy dla tej domeny? Gdy osoba atakująca przejmuje kontrolę nad legalnym kontem w chmurze lub wykorzystuje autoryzowaną konfigurację dostawcy usług e-mail (ESP) danej domeny, odpowiedź techniczna brzmi: zdecydowanie tak.

Wiadomość e-mail przechodzi weryfikację SPF, ponieważ adres IP dostawcy usług w chmurze jest wyraźnie wymieniony w rekordzie SPF domeny. Przechodzi również weryfikację DKIM, ponieważ platforma podpisuje wiadomość odpowiednim kluczem kryptograficznym domeny. Wreszcie, weryfikacja DMARC przebiega pomyślnie, ponieważ oba protokoły są ze sobą idealnie zsynchronizowane.

Nie jest to błąd ani wada protokołu DMARC. Protokoły działają dokładnie tak, jak zostały zaprojektowane. Problem polega na tym, że sprawdzenie, czy nadawca jest uprawniony, to zupełnie co innego niż sprawdzenie, czy konto nadal znajduje się pod kontrolą faktycznego właściciela domeny.

Dlaczego blokowanie na podstawie reputacji adresów IP nie działa

Tradycyjne narzędzia zabezpieczające w dużym stopniu opierają się na ocenach reputacji adresów IP. Jeśli adres IP wysyła spam, zostaje zablokowany. Jednak w przypadku nadużyć związanych z infrastrukturą podejście to całkowicie zawodzi.

Adresy IP nadawców należą do wielkich dostawców usług w chmurze, którzy codziennie obsługują miliardy legalnych wiadomości e-mailowych firm. Gdyby brama Secure Email Gateway (SEG) zablokowała te zakresy adresów IP w celu powstrzymania kampanii phishingowej, spowodowałoby to katastrofalny wzrost odsetka fałszywych alarmów i zablokowanie ważnych wiadomości biznesowych w tysiącach niepowiązanych ze sobą firm. Atakujący ukrywa się w ogromnej, budzącej zaufanie grupie.

Dlaczego bramy bezpieczeństwa poczty elektronicznej nie radzą sobie z tym problemem

Większość systemów SEG analizuje przychodzącą pocztę pod kątem wieku domeny, znanych złośliwych linków oraz sygnatur załączników. W przypadku tych ataków domena nadawcy jest czysta, jej reputacja jest nienaganna, a wynik uwierzytelnienia wynosi idealne 100%.

Ponadto cyberprzestępcy unieszkodliwiają skanery linków, wykorzystując techniki phishingu oparte na otwartym przekierowaniu, wbudowane w same platformy ESP. Korzystają oni z natywnych adresów URL służących do śledzenia kliknięć, które są powszechnie umieszczane na białej liście przez bramy pocztowe. Brama skanuje ten cieszący się dużym zaufaniem link śledzący i przepuszcza wiadomość; złośliwy adres docelowy jest uruchamiany dopiero poprzez przekierowanie dokładnie w momencie, gdy użytkownik kliknie link.

W innych wariantach oszuści całkowicie omijają skanowanie adresów URL, wysyłając wiadomości typu Business Email Compromise (BEC) bez linków. Dołączają do nich „czyste” pliki PDF zawierające dane dotyczące płatności lub wstawiają sfałszowane wątki e-mailowe dotyczące zmian w fakturach, wykorzystując techniki inżynierii społecznej ukryte w uwierzytelnionej wiadomości e-mail.

Jak w praktyce wygląda nadużywanie legalnej infrastruktury

W praktyce kampanie te opierają się na bardzo pilnych i budzących duże zaufanie przynętach. Typowe zabiegi to fałszywe powiadomienia o podpisach elektronicznych, podszywające się pod platformy takie jak DocuSign, pilne alerty dotyczące bezpieczeństwa kont oraz oszustwa związane z fakturami, skierowane do działów księgowości.

Źródłem tych ataków jest przede wszystkim nieodpowiednia higiena zarządzania danymi uwierzytelniającymi. Hakerzy rutynowo pozyskują klucze API z niechronionych konfiguracji usługi AWS Identity and Access Management (IAM) w publicznych repozytoriach GitHub lub z plików .env, które zostały przypadkowo dodane do kodu źródłowego.

Kiedy wszystko się zgadza, wyniki są zaskakujące. Prawdziwy incydent udokumentowany przez IRONSCALES w kwietniu 2026 r. dotyczył wiadomości phishingowej, która uzyskała idealny wynik w testach uwierzytelniania kompozytowego firmy Microsoft – 100 na 100 punktów. Wiadomość ta podszywała się pod popularne narzędzie do zarządzania projektami i bezbłędnie przeszła weryfikację SPF, DKIM oraz DMARC, ponieważ została wysłana za pośrednictwem legalnej konfiguracji dostawcy usług e-mail w chmurze (ESP) należącej do przejętej domeny.

Wiadomość przychodząca: Wyniki uwierzytelniania

Sprawdzenie autentyczności / WskaźnikStatus / WynikWynik i werdykt
SPF (Sender Policy Framework)PASSAutoryzowane
DKIM (DomainKeys Identified Mail)PASSAutoryzowane
DMARC (Domain-based Message Authentication)PASSZgodne i autoryzowane
Wynik złożonego uwierzytelniania firmy Microsoft100 / 100Idealny wynik zaufania

Główny wniosek: Zweryfikowane, ale nieprawdziwe. (Na podstawie incydentu udokumentowanego przez IRONSCALES, kwiecień 2026 r.).

Co naprawdę pomaga: realistyczna obrona

Mówiąc wprost: żadne pojedyncze narzędzie nie jest w stanie całkowicie powstrzymać tego rodzaju ataków. Każdy, kto twierdzi, że sam DMARC może automatycznie zapobiegać nadużyciom w infrastrukturze, obiecuje zbyt wiele. Jednak wielopoziomowe, realistyczne podejście pozwala znacznie ograniczyć ryzyko.

1. Monitorowanie DMARC: Twój system wczesnego ostrzegania

Chociaż uwierzytelniona wiadomość phishingowa przejdzie proces walidacji, zbiorcze raporty DMARC (RUA) zapewniają pełny wgląd w ekosystem wiadomości wychodzących. Jeśli cyberprzestępca wykradnie klucze API i zacznie kierować spam przez platformę chmurową, wykorzystując Twoją domenę, ten ogromny wzrost liczby wiadomości natychmiast pojawi się w Twoich raportach.

Regularne przeglądanie raportów DMARC (RUA) pozwala wcześnie wykryć nieautoryzowane wykorzystanie infrastruktury, zanim dojdzie do poważnego uszczerbku na reputacji. Zespołom, które chcą korzystać z automatycznego wykrywania, narzędzie PowerDMARC DMARC Analyzer zapewnia ciągłe monitorowanie oraz alerty o anomaliach w czasie rzeczywistym, sygnalizujące nieoczekiwane źródła wysyłki natychmiast po ich pojawieniu się.

2. Egzekwowanie standardu DMARC: Chroń ruch wychodzący ze swojej domeny

Ustawienie polityki DMARC na wartość p=reject gwarantuje, że w przypadku próby sfałszowania Twojej domeny przez atakującego za pośrednictwem nieautoryzowanych kanałów spoza zatwierdzonej infrastruktury chmurowej, wiadomości zostaną natychmiast zablokowane. Ponadto rygorystyczne egzekwowanie tej polityki sprawia, że Twoja domena staje się znacznie trudniejszym celem. Oszuści poszukujący łatwych sposobów na nadużycie infrastruktury preferują łatwiejsze cele, w których stosowana jest słabsza polityka p=none.

3. Bezpieczeństwo certyfikatów ESP: Zamknij punkt wejścia

Najbardziej bezpośrednią strategią zapobiegania phishingowi związanemu z danymi uwierzytelniającymi jest ochrona kluczy do infrastruktury wysyłkowej.

  • Należy wprowadzić uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont administratorów ESP.
  • Należy stosować klucze API o ściśle określonym zakresie, ograniczone do minimalnych wymaganych uprawnień.
  • Należy regularnie zmieniać klucze API związane z produkcją.
  • Wprowadź automatyczne skanowanie kodu, aby zagwarantować, że dane poufne nigdy nie zostaną umieszczone w repozytoriach publicznych.
  • Co tydzień sprawdzaj pulpity nawigacyjne dotyczące korzystania z usług ESP pod kątem nietypowych skoków natężenia ruchu lub nieznanych konfiguracji nadawców.

4. Bezpieczeństwo poczty elektronicznej oparte na analizie zachowań

Ponieważ tradycyjne bramy zabezpieczające zawodzą w obliczu zaufanej infrastruktury, potrzebna jest zintegrowana warstwa zabezpieczeń poczty elektronicznej w chmurze (ICES). Oparte na sztucznej inteligencji narzędzia zabezpieczeń behawioralnych analizują kontekst, a nie tylko reputację. Biorą pod uwagę historię komunikacji, typowe wolumeny wysyłanych wiadomości oraz wzorce językowe. Jeśli w pełni uwierzytelnione konto nagle wyśle nietypowe zapytanie o fakturę do nietypowego odbiorcy, narzędzia behawioralne mogą je oznaczyć i poddać kwarantannie.

5. Ukierunkowane szkolenie z zakresu świadomości użytkowników

Jeśli wiadomość phishingowa przejdzie wszystkie techniczne testy weryfikacyjne, wszystko sprowadza się do ludzkiej czujności. Pracownicy muszą zostać przeszkoleni, aby potrafili rozpoznać, że wiadomość e-mail z idealnym brandingiem, poprawnym adresem nadawcy i brakiem ostrzeżeń technicznych może nadal stanowić pułapkę, jeśli konto, z którego została wysłana, zostało przejęte.

Należy nauczyć swój zespół, aby samodzielnie weryfikował wszelkie nagłe polecenia płatnicze lub zmiany dotyczące konta za pośrednictwem dodatkowego, pozakanalowego kanału komunikacji (np. krótkiej rozmowy telefonicznej). Pracownicy powinni również dokładnie sprawdzać docelowe strony przeglądarki przed wprowadzeniem danych logowania, niezależnie od tego, jak bezpieczny wydawał się początkowy link zawarty w wiadomości e-mail.

Co nie mniej ważne, pracownicy mogą po prostu skorzystać z narzędzia do sprawdzania wiadomości phishingowych, aby uzyskać natychmiastową analizę zagrożeń. Wystarczy, że wkleją pełną treść wiadomości e-mail, łącznie z nagłówkami, aby sprawdzić dane uwierzytelniające, sygnały dotyczące nadawcy, podejrzane linki, wzorce sugerujące pilność i inne elementy.

Narzędzie do sprawdzania wiadomości phishingowych

Słowa końcowe

Model zagrożeń korporacyjnych uległ zasadniczej zmianie. Nowoczesne, zaawansowane ataki phishingowe nie opierają się już na źle sformatowanych wiadomościach e-mail wysyłanych z przypadkowych, podejrzanych domen. Wykorzystując nadużycia w ramach legalnej infrastruktury, atakujący aktywnie czerpią korzyści z usług w chmurze, z których korzystamy i którym ufamy na co dzień, wykorzystując lukę między autoryzacją nadawcy a rzeczywistą kontrolą tożsamości.

Strategia obrony musi być dostosowana do tej rzeczywistości. Chociaż same protokoły uwierzytelniające nie rozwiążą tego problemu, ścisłe monitorowanie środowiska całkowicie zmienia sytuację.

Zabezpiecz swój ekosystem poczty elektronicznej już dziś: chcesz dowiedzieć się, kto dokładnie wysyła wiadomości w imieniu Twojej marki? Przejmij kontrolę nad swoim systemem i otrzymuj powiadomienia w czasie rzeczywistym o nietypowych zachowaniach związanych z wysyłaniem wiadomości dzięki narzędziu PowerDMARC DMARC Analyzer.

Najczęściej zadawane pytania

Jeśli wiadomość e-mail spełnia wymagania SPF, DKIM i DMARC, dlaczego moja brama bezpieczeństwa nadal ją przepuszcza?

Ponieważ bramy bezpieczeństwa są zaprogramowane tak, by ufać właśnie tym protokołom. Gdy wiadomość e-mail spełnia wszystkie trzy kryteria, brama uznaje, że ma do czynienia z legalną, autoryzowaną komunikacją od właściciela domeny. Bramy sprawdzają, czy infrastruktura ma uprawnienia do wysyłania wiadomości, a nie to, kto siedzi za klawiaturą i ją pisze.

Czy to oznacza, że DMARC nie działa prawidłowo lub jest bezużyteczny?

Wcale nie. DMARC działa dokładnie tak, jak to zaplanowaliśmy: uniemożliwia przypadkowym przestępcom fałszowanie nazwy Twojej domeny z niczego. Nie jest w stanie stwierdzić, czy atakujący kupił skradziony klucz API, czy też przejął Twoje prawdziwe konto w chmurze. Pomyśl o DMARC jak o zaawansowanym technologicznie zamku: działa idealnie, chyba że włamywacz ukradnie Twoje prawdziwe klucze do domu.

Dlaczego nie możemy po prostu zablokować adresów IP, z których wysyłane są te wiadomości phishingowe?

Ponieważ te adresy IP należą do ogromnych, legalnych serwisów, takich jak Amazon SES czy SendGrid. Każdego dnia przez te same adresy IP przepływają miliony zwykłych, bezpiecznych wiadomości biznesowych (takich jak potwierdzenia zakupów, potwierdzenia lotów i wiadomości dotyczące resetowania haseł). Blokując ten zakres adresów IP, blokujesz zarówno prawidłowy ruch, jak i ten niepożądany.

W jaki sposób hakerzy zdobywają dane uwierzytelniające do tych platform poczty elektronicznej w chmurze?

Zazwyczaj przyczyną są zwykłe ludzkie błędy. Programiści czasami przypadkowo pozostawiają klucze API w publicznie dostępnych repozytoriach GitHub lub zatwierdzają pliki, takie jak .env, zawierające niezaszyfrowane dane logowania. W innych przypadkach cyberprzestępcy po prostu kupują wyciekłe, ważne dane uwierzytelniające na forach poświęconych cyberprzestępczości za grosze, często już za 15 dolarów.

Czy szkolenia podnoszące świadomość użytkowników mogą faktycznie pomóc, jeśli zawiodą filtry techniczne?

Tak, ale trzeba zmienić sposób szkolenia pracowników. Tradycyjne szkolenia uczą użytkowników, by zwracali uwagę na „sygnały ostrzegawcze”, takie jak podejrzanie wyglądające adresy e-mail czy nieprawidłowe wskaźniki uwierzytelniania. W przypadku nadużyć związanych z infrastrukturą takie sygnały ostrzegawcze nie występują. Szkolenia muszą skupiać się na punktach kontrolnych dotyczących zachowań, takich jak kontakt telefoniczny w celu zweryfikowania każdej nagłej, pozaprogramowej prośby o pieniądze lub aktualizacji wrażliwych danych konta, niezależnie od tego, jak wiarygodny wygląda e-mail.

Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)
Ostatnia aktualizacja:
Studium przypadku DMARC MSP: Firma The Great Geek rozszerza ofertę usług w zakresie bezpieczeństwa poczty elektronicznej dla małych i średnich przedsiębiorstw dzięki...Artykuł „The Great Geek”Bezpieczeństwo poczty elektronicznej w Ameryce Łacińskiej: Stan wdrożenia protokołu DMARC i uwierzytelniania wiadomości e-mail w...