спам
К нам за помощью в расследовании инцидента обратилась крупная бразильская компания государственного уровня. Суть проблемы заключалась в том, что злоумышленники каким-то образом начали рассылать спам через адреса сотрудников этой организации. То есть не имитировать легитимного отправителя, как это часто происходит, а именно пересылать письма через почтовый сервер компании. Мы провели тщательное расследование и смогли понять, как именно действуют злоумышленники.
Схема атаки на бизнес
Сначала мошенники рассылают фишинговые письма сотрудникам. В письмах они говорят, что почтовый ящик адресата будет заблокирован по тем или иным причинам. Чтобы избежать этого, они просят обновить данные учетной записи и услужливо предлагают перейти по ссылке. Разумеется, фишинговой. Она ведет на страницу с формой, где требуется ввести данные для авторизации в системе.
Перевод: Уважаемый пользователь, ваш почтовый ящик будет удален из-за множественного игнорирования писем. Чтобы избежать этого, кликните сюда для обновления учетной записи. Приносим извинения за доставленные неудобства. Системный администратор.
После того как жертва заполнит форму, мошенники получают полный доступ к ее почтовому аккаунту и теперь могут рассылать любые сообщения от ее имени. При этом им даже не приходится подделывать технические заголовки своих писем и пытаться сделать их похожими на легитимные. В результате письма, отправленные таким образом, не вызывают подозрений у спам-фильтров, ведь они отправлены через оригинальные и с репутационной точки зрения абсолютно чистые серверы.
Дальнейшие действия злоумышленников
Получив контроль над ящиками, злоумышленники приступали к следующей волне рассылок. В расследуемом нами инциденте мошенники рассылали «нигерийский спам» на разных языках. Однако в теории там может оказаться что угодно — от предложений теневой фармацевтики до вредоносов.
Анализ показал, что обратившаяся к нам организация не была единственной жертвой — тот же самый «нигерийский спам» рассылался также в большом количестве с адресов различных государственных, а также некоммерческих организаций, что добавляло еще больший репутационный вес отправляемым письмам.
Согласитесь, с репутационной точки зрения использование ваших серверов для рассылки мошеннических предложений выглядит не очень хорошо. А уж если они примутся за рассылку вредоносов, то это и вовсе выставит вашу компанию в негативном свете.
Но есть и еще более серьезные последствия. Нередко учетные данные для входа в почтовый ящик полностью совпадают с доменным логином и паролем сотрудника. А по ним можно получить доступ не только к почте, но и к другим сервисам компании.
Более того, воспользовавшись доступом к почтовому ящику сотрудника уважаемой организации, злоумышленники могут попробовать провернуть и целевую атаку на коллег, деловых партнеров или представителей государственной и бизнес-сферы. Да, такие атаки достаточно сложно реализовать, так как для этого нужно применить мастерство социальной инженерии и заставить получателя выполнить все необходимые действия. Однако и ущерб от подобных атак может быть непредсказуемо велик.
Такой тип мошенничества является разновидностью Business Email Compromise (BEC) и способен причинить немало головной боли компании жертвы. Суть его заключается в том, что поддельный отправитель вступает в переписку с целью получить данные счетов, финансовые документы и прочую конфиденциальную информацию. И распознать в отправителе BEC сообщения мошенника при реальных технических заголовках, настоящем адресе и актуальной тематике контента очень сложно.
Как обезопасить компанию и сотрудников
Чтобы защитить репутацию компании и не стать злостным рассыльщиком спама, мы рекомендуем пользоваться надежными защитными решениями, которые отслеживают попытки фишинга как на стороне почтового сервера, так и на рабочих станциях сотрудников. И, разумеется, не пропускать обновления эвристических баз антиспам- и антифишинг-компонентов.
