Электронная почта часто является первым выбором для киберпреступников, когда они запускают, потому что ее так легко использовать. В отличие от атак с применением грубой силы, требующих больших вычислительных мощностей, или более изощренных методов, требующих высокого уровня мастерства, подделка домена может быть такой же простой, как написание электронного письма, выдающего себя за кого-то другого. Во многих случаях этот "кто-то другой" является основной программной сервисной платформой, на которую люди полагаются при выполнении своей работы.
Именно это и произошло в период с 15 по 30 апреля 2020 года, когда наши аналитики по безопасности из PowerDMARC обнаружили новую волну фишинговых писем, направленных на ведущие страховые компании на Ближнем Востоке. Эта атака стала лишь одной из многих других в связи с участившимися случаями фишинга и спуфинга во время кризиса Covid-19. Еще в феврале 2020 года другая крупная фишинговая афера дошла до того, что выдавала себя за Всемирную организацию здравоохранения, рассылая электронные письма тысячам людей с просьбой о пожертвованиях на помощь жертвам коронавируса.
В этой недавней серии инцидентов пользователи службы Microsoft Office 365 получали, казалось бы, обычные сообщения с обновлениями, касающимися состояния их пользовательских учетных записей. Эти сообщения приходили с собственных доменов организаций, предлагая пользователям сбросить свои пароли или переходить по ссылкам для просмотра ожидающих обновления уведомлений.
Мы составили список некоторых почтовых заголовков, которые мы наблюдали:
- необычные действия при входе в систему Microsoft
- У вас есть (3) сообщения, ожидающие доставки на вашу электронную почту [email protected]* Портал!
- user@domain You Have Pending Microsoft Office UNSYNC Messages
- Повторная активация Сводное уведомление для [email protected].
* данные аккаунта изменены для обеспечения конфиденциальности пользователей
Вы также можете просмотреть образец почтового заголовка, используемого в поддельном письме, отправленном в страховую компанию:
Наш центр управления безопасностью отследил ссылки электронной почты на фишинговые URL-адреса, предназначенные для пользователей Microsoft Office 365. Эти URL-адреса были перенаправлены на зараженные сайты в различных местах по всему миру.
Просто посмотрев на эти почтовые заголовки, невозможно будет сказать, что их отправил кто-то, подделывающий домен вашей организации. Мы привыкли к постоянному потоку рабочих или связанных с учетными записями писем, предлагающих нам войти в различные онлайн-сервисы, такие как Office 365. Подделка домена использует это, делая их фальшивые, вредоносные электронные письма неотличимыми от подлинных. Практически невозможно узнать, без тщательного анализа электронной почты, поступает ли она из доверенного источника. А с десятками писем, приходящих каждый день, ни у кого нет времени на тщательный анализ каждого из них. Единственным решением будет использование механизма аутентификации, который будет проверять все письма, отправленные с вашего домена, и блокировать только те письма, которые были отправлены кем-то, кто отправил их без авторизации.
Этот механизм аутентификации называется DMARC. Являясь одним из ведущих мировых поставщиков решений для обеспечения безопасности электронной почты, мы в PowerDMARC поставили перед собой задачу заставить вас понять важность защиты домена вашей организации. Не только для себя, но и для всех тех, кто доверяет вам и зависит от вас в плане доставки безопасных и надежных электронных писем в почтовый ящик каждый раз.
О рисках спуфинга можно прочитать здесь: https://powerdmarc.com/stop-email-spoofing/.
Узнайте, как защитить свой домен от подделок и повысить бренд, здесь: https://powerdmarc.com/what-is-dmarc/.
- DMARC MSP Case Study: CloudTech24 упрощает управление безопасностью домена для клиентов с помощью PowerDMARC - 24 октября 2024 г.
- Риски, связанные с безопасностью при отправке конфиденциальной информации по электронной почте - 23 октября 2024 г.
- 5 видов мошенничества с электронной почтой службы социального обеспечения и способы их предотвращения - 3 октября 2024 г.