Электронная почта часто является первым выбором для киберпреступников, когда они запускают, потому что ее так легко использовать. В отличие от атак с применением грубой силы, требующих больших вычислительных мощностей, или более изощренных методов, требующих высокого уровня мастерства, подделка домена может быть такой же простой, как написание электронного письма, выдающего себя за кого-то другого. Во многих случаях этот "кто-то другой" является основной программной сервисной платформой, на которую люди полагаются при выполнении своей работы.

Именно это и произошло в период с 15 по 30 апреля 2020 года, когда наши аналитики по безопасности из PowerDMARC обнаружили новую волну фишинговых писем, направленных на ведущие страховые компании Ближнего Востока. Эта атака стала лишь одной из многих других в связи с участившимися в последнее время случаями фишинга и спуфинга во время кризиса Covid-19. Еще в феврале 2020 года другая крупная фишинговая атака выдавала себя за Всемирную организацию здравоохранения и рассылала тысячам людей электронные письма с просьбой о пожертвованиях на борьбу с коронавирусом.

страховые компании

В этой недавней серии инцидентов пользователи службы Microsoft Office 365 получали, казалось бы, обычные сообщения с обновлениями, касающимися состояния их пользовательских учетных записей. Эти сообщения приходили с собственных доменов организаций, предлагая пользователям сбросить свои пароли или переходить по ссылкам для просмотра ожидающих обновления уведомлений.

Мы составили список некоторых почтовых заголовков, которые мы наблюдали:

необычные действия при входе в систему Microsoft
У вас есть (3) сообщения, ожидающие доставки на вашу электронную почту [email protected]* Портал!
user@domain You Have Pending Microsoft Office UNSYNC Messages
Повторная активация Сводное уведомление для [email protected].

* данные аккаунта изменены для обеспечения конфиденциальности пользователей

Вы также можете просмотреть образец почтового заголовка, используемого в поддельном письме, отправленном в страховую компанию:

Получено: из [вредоносный_ип(привет= злоумышленное_домен)

id 1jK7RC-000uju-6x

для [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-подпись: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Получено: из [xxxxx] (порт=58502 helo=xxxxx)

по адресу злоумышленное_домен с esmtpsa (TLSv1.2:ECDHE-RSA-AES2) 56-ГКМ-ША384:256)

От: "Команда по работе с учетными записями Microsoft"

За: [email protected]

Объект: Уведомление Microsoft Office для [email protected] по телефону 4/1/2020 23:46.

Дата: 2 апреля 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

символ="utf-8″

Контент-трансфер-Обновление: цитируемый текст для печати

X-AntiAbuse: Этот заголовок был добавлен для отслеживания злоупотреблений, пожалуйста, включите его в любое сообщение о злоупотреблениях.

X-AntiAbuse: Имя основного хоста - злоумышленное_домен

X-AntiAbuse: Original Domain - домен.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Адрес отправителя Домен - domain.com

X-Get-Message-Sender-Via: злоумышленный_домен: authenticated_id: admin@malicious_domain

Аутентифицированный отправитель: malicious_domain: admin@malicious_domain

Икс-источник:

X-Source-Args:

X-Source-Dir:

Received-SPF: fail ( домен domain.com не обозначает вредоносный_ip_адрес как разрешенный отправитель) клиент-ip= вредоносный_ip_адрес конверт от=[email protected]аллозлоумышленное_домен;

X-SPF-Result: домен domain.com не обозначает вредоносный_ip_адрес разрешённый отправитель

X-Sender-Warning: Обратный просмотр DNS не удался для вредоносный_ip_адрес (не удалось)

X-DKIM-статус: нет / / домен.com / / /

X-DKIM-статус: проездной / / злоумышленное_домен / злоумышленное_домен / / по умолчанию

Наш центр управления безопасностью отследил ссылки электронной почты на фишинговые URL-адреса, предназначенные для пользователей Microsoft Office 365. Эти URL-адреса были перенаправлены на зараженные сайты в различных местах по всему миру.

Просто посмотрев на эти почтовые заголовки, невозможно будет сказать, что их отправил кто-то, подделывающий домен вашей организации. Мы привыкли к постоянному потоку рабочих или связанных с учетными записями писем, предлагающих нам войти в различные онлайн-сервисы, такие как Office 365. Подделка домена использует это, делая их фальшивые, вредоносные электронные письма неотличимыми от подлинных. Практически невозможно узнать, без тщательного анализа электронной почты, поступает ли она из доверенного источника. А с десятками писем, приходящих каждый день, ни у кого нет времени на тщательный анализ каждого из них. Единственным решением будет использование механизма аутентификации, который будет проверять все письма, отправленные с вашего домена, и блокировать только те письма, которые были отправлены кем-то, кто отправил их без авторизации.

Этот механизм аутентификации называется DMARC. Являясь одним из ведущих мировых поставщиков решений для обеспечения безопасности электронной почты, мы в PowerDMARC поставили перед собой задачу заставить вас понять важность защиты домена вашей организации. Не только для себя, но и для всех тех, кто доверяет вам и зависит от вас в плане доставки безопасных и надежных электронных писем в почтовый ящик каждый раз.

О рисках спуфинга можно прочитать здесь: https://powerdmarc.com/stop-email-spoofing/.

Узнайте, как защитить свой домен от подделок и повысить бренд, здесь: https://powerdmarc.com/what-is-dmarc/.

О сайте
Последние сообщения

Ахона Рудра

Менеджер по цифровому маркетингу и написанию контента в PowerDMARC

Ахона работает менеджером по цифровому маркетингу и контент-писателем в PowerDMARC. Она страстный писатель, блогер и специалист по маркетингу в области кибербезопасности и информационных технологий.

Последние сообщения Ахона Рудра (см. все)