фишинг
Что делает пользователь, когда на его рабочий адрес электронной почты приходит нежелательная корреспонденция? Если он не спам-аналитик, то в большинстве случаев удаляет. Как ни парадоксально, но именно на это и рассчитывают злоумышленники, специализирующиеся на рассылке фишинга. В наши почтовые ловушки все чаще стали попадать письма, имитирующие нотификации о получении явно нежелательной корреспонденции.
Как работает фишинговая схема
Злоумышленники рассчитывают на то, что пользователь не знает, как именно работают технологии антиспама. Они присылают сотруднику компании извещения о письмах, якобы пришедших на его адрес и находящихся в карантине. Выглядят их послания примерно так:
Письмо, имитирующее нотификацию о почтовом карантине.
Выбор тем, по большому счету, не имеет значения: злоумышленники просто имитируют стандартную рекламу нежелательных товаров и услуг. Получателю предлагают сделать выбор — удалить каждое письмо или допустить его до почтового ящика. Также есть возможность удалить сразу все письма в карантине или же зайти в настройки почтового ящика. Пользователю даже предлагают наглядную инструкцию:
Присланная злоумышленниками инструкция.
В чем подвох
Подвох, разумеется, в том, что ни на одну из кнопок кликать не надо. Под всеми кнопками и гиперссылками зашит один и тот же адрес, который отправляет кликнувшего на стандартную страницу, имитирующую страницу входа в веб-интерфейс почтового сервиса:
Фишинговый сайт.
Надпись Session Expired должна обосновать необходимость логина в почту. Ну а в целом вся эта страница служит одной цели: собирать учетные данные от корпоративной почты.
На что нужно было обратить внимание
В самом письме первое, что должно насторожить, это адрес отправителя. Даже если бы извещение было реальным, оно должно было бы прийти с вашего почтового сервера, домен которого совпадает с доменом вашего почтового адреса. А не с адреса посторонней венгерской компании, как в данном случае.
Прежде чем переходить по ссылкам из письма или кликать по кнопкам, полезно подвести к ним мышку и внимательно изучить, куда же они ведут. В данном случае во все активные элементы зашита одна и та же ссылка, ведущая на сайт, не имеющий отношения ни к домену получателя, ни к венгерскому домену отправителя. Даже кнопка, которая в теории должна отправлять какой-то «HTTPs-запрос на удаление всех сообщений из карантина». Тот же адрес должен послужить стоп-сигналом и на странице с логином.
Как избежать встречи со спамом и фишингом
Чтобы не попасться на удочку фишеров, корпоративным пользователям нужно объяснять стандартные уловки злоумышленников. Сделать это можно, например, при помощи онлайновой платформы для повышения осведомленности о киберугрозах.
Но в идеале лучше вообще не допускать контакта конечного пользователя с опасной корреспонденцией и фишинговыми сайтами. Для этого следует применять решения для защиты от фишинга как на уровне почтового сервера, так и на компьютерах пользователей.
Советы