Фишинг под видом спама

Злоумышленники пытаются выведать учетные данные от корпоративной почты, присылая списки спам-писем, попавших в карантин.

Что делает пользователь, когда на его рабочий адрес электронной почты приходит нежелательная корреспонденция? Если он не спам-аналитик, то в большинстве случаев удаляет. Как ни парадоксально, но именно на это и рассчитывают злоумышленники, специализирующиеся на рассылке фишинга. В наши почтовые ловушки все чаще стали попадать письма, имитирующие нотификации о получении явно нежелательной корреспонденции.

Как работает фишинговая схема

Злоумышленники рассчитывают на то, что пользователь не знает, как именно работают технологии антиспама. Они присылают сотруднику компании извещения о письмах, якобы пришедших на его адрес и находящихся в карантине. Выглядят их послания примерно так:

Письмо, имитирующее нотификацию о почтовом карантине.

Письмо, имитирующее нотификацию о почтовом карантине.

Выбор тем, по большому счету, не имеет значения: злоумышленники просто имитируют стандартную рекламу нежелательных товаров и услуг. Получателю предлагают сделать выбор — удалить каждое письмо или допустить его до почтового ящика. Также есть возможность удалить сразу все письма в карантине или же зайти в настройки почтового ящика. Пользователю даже предлагают наглядную инструкцию:

Присланная злоумышленниками инструкция.

Присланная злоумышленниками инструкция.

В чем подвох

Подвох, разумеется, в том, что ни на одну из кнопок кликать не надо. Под всеми кнопками и гиперссылками зашит один и тот же адрес, который отправляет кликнувшего на стандартную страницу, имитирующую страницу входа в веб-интерфейс почтового сервиса:

Фишинговый сайт.

Фишинговый сайт.

Надпись Session Expired должна обосновать необходимость логина в почту. Ну а в целом вся эта страница служит одной цели: собирать учетные данные от корпоративной почты.

На что нужно было обратить внимание

В самом письме первое, что должно насторожить, это адрес отправителя. Даже если бы извещение было реальным, оно должно было бы прийти с вашего почтового сервера, домен которого совпадает с доменом вашего почтового адреса. А не с адреса посторонней венгерской компании, как в данном случае.

Прежде чем переходить по ссылкам из письма или кликать по кнопкам, полезно подвести к ним мышку и внимательно изучить, куда же они ведут. В данном случае во все активные элементы зашита одна и та же ссылка, ведущая на сайт, не имеющий отношения ни к домену получателя, ни к венгерскому домену отправителя. Даже кнопка, которая в теории должна отправлять какой-то «HTTPs-запрос на удаление всех сообщений из карантина». Тот же адрес должен послужить стоп-сигналом и на странице с логином.

Как избежать встречи со спамом и фишингом

Чтобы не попасться на удочку фишеров, корпоративным пользователям нужно объяснять стандартные уловки злоумышленников. Сделать это можно, например, при помощи онлайновой платформы для повышения осведомленности о киберугрозах.

Но в идеале лучше вообще не допускать контакта конечного пользователя с опасной корреспонденцией и фишинговыми сайтами. Для этого следует применять решения для защиты от фишинга как на уровне почтового сервера, так и на компьютерах пользователей.

Советы

Школа и киберугрозы

Почему в сфере образования следует внимательно относиться к кибербезопасности и как правильно защитить школу от возможных атак.

Как путешествовать безопасно

Собираетесь в отпуск? Мы разработали руководство для путешественников, которое поможет провести время с удовольствием, безопасно и полностью отвлечься от рутины.