Фальшивый сканер для почты

Подробный разбор попытки заманить сотрудника на фишинговый сайт, имитирующий сканер для проверки электронной почты.

Новости о заражении корпоративных сетей через электронную почту в последние годы появляются достаточно часто (как правило, в связи шифровальщиками-вымогателями). Поэтому неудивительно, что мошенники периодически пытаются воспользоваться этой темой, чтобы добыть данные для входа в корпоративную почту. Злоумышленники убеждают сотрудников компаний просканировать почтовый ящик, для чего просят ввести пароль от учетной записи.

Эта уловка нацелена на людей, которые знают о потенциальной угрозе вредоносного ПО в почте, но не до конца понимают, как с ней бороться. Мы решили, что на примере этого трюка безопасникам может быть удобно объяснять сотрудникам, что должно настораживать в таких сообщениях и на какие детали стоит обращать внимание, чтобы не стать жертвой злоумышленников.

Фишинговое письмо

В мошенническом сообщении используется одна из самых эффективных тактик злоумышленников — запугивание. Поэтому в заголовке они не просто написали Virus Alert, но и добавили три восклицательных знака. Казалось бы, мелочь, но это первое, что должно насторожить получателя. Лишние знаки препинания в рабочем письме — признак либо эмоциональности, либо непрофессионализма. Тем более они неуместны в уведомлении, которое должно четко донести информацию об угрозе.

Фишинговое письмо с призывом просканировать почтовый ящик

Главный вопрос, который должен задать себе получатель такого письма: от кого оно пришло? Отправители требуют предпринять какие-то действия, а в противном случае угрожают блокировкой учетной записи. Логично предположить, что уведомление пришло либо от лица представителей IT-службы, которые занимаются поддержкой корпоративного почтового сервера, либо от имени сотрудников провайдера, предоставляющего доступ к почтовым сервисам.

Следует понимать, что в реальности ни провайдеру, ни внутренней службе не требуется содействие пользователя, чтобы просканировать содержимое его почтового ящика. Проверка проводится в автоматическом режиме на почтовом сервере. Кроме того, вирусная активность крайне редко происходит в учетной записи. Даже если кто-то прислал пользователю вирус, то для того, чтобы он активизировался, его нужно скачать и запустить. Это происходит на компьютере, а не в почтовом аккаунте.

Кроме того, в глаза бросаются еще две нестыковки. Во-первых, письмо отправлено с адреса, зарегистрированного на бесплатном сервисе Hotmail, тогда как легитимное уведомление пришло бы с адреса в домене компании или провайдера. Во-вторых, в качестве источника указывается Email Security Team. Если компания получателя пользуется услугами сторонних провайдеров почтовых услуг, то в подавляющем большинстве случаев в подписи будет указано название такого провайдера. А если почтовый сервер работает в инфраструктуре, то извещение придет либо от IT-службы, либо от ИБ-отдела. Вероятность наличия целой команды, отвечающей за безопасность почты, минимальна.

Следующее, на что нужно обратить внимание — ссылка. Большинство современных почтовых клиентов показывают URL, спрятанный под гиперссылкой. Если кто-то убеждает получателя письма перейти на сайт сканера, который расположен на постороннем домене, не принадлежащем ни вашей компании, ни почтовому провайдеру, то это наверняка фишинг.

Фишинговый сайт

Сайт злоумышленников имитирует некий онлайн-сканер для электронной почты. Для убедительности на нем размещены эмблемы множества антивирусных вендоров. В заголовке стоит название компании получателя, что уже не должно оставлять вопросов относительно того, чей это инструмент. Сайт сначала имитирует сканирование, а потом прерывает его и требует «подтвердить учетную запись для завершения». Разумеется, для этого нужно ввести пароль от учетной записи.

Фишинговый сайт, имитирующий сканер для почты

Чтобы убедиться, что это фишинговый сайт, для начала нужно изучить содержимое адресной строки браузера. Во-первых, как мы уже писали выше, он расположен в постороннем домене. Во-вторых, в URL наверняка содержится почтовый адрес получателя. Само по себе это нормально — идентификатор пользователя может передаваться через метку в URL. Но если у получателя возникли сомнения в легитимности сайта, то он может заменить свой адрес на произвольные символы. Главное, чтобы они имитировали почтовый адрес — содержали символ @.

Дело в том, что сайты такого типа подставляют адрес, переданный ссылкой из фишингового письма, на отображаемую страницу. В данном случае мы ради эксперимента использовали несуществующий адрес victim@yourcompany.org. Сайт поставил «yourcompany» в название сканера, адрес целиком — в название аккаунта, и начал сканировать несуществующие вложения в несуществующих письмах. Если повторить эксперимент с другим адресом, то станет очевидно, что названия вложений для каждого «сканирования» одинаковы.

Имитация процесса сканирования

Еще одна нестыковка заключается в том, что псевдосканер успешно проверяет содержимое ящика и без аутентификации. Тогда зачем ему пароль?

Как защитить сотрудников от фишинга

Мы подробно разобрали все признаки фишинга, обнаруженные как в письме, так и на сайте фальшивого сканера. Покажите этот пост сотрудникам, чтобы у них сложилось представление о том, на что следует обращать внимание. Однако это только вершина айсберга. Некоторые злоумышленники подходят к созданию фишинговых писем гораздо тщательнее, и их уловки распознать сложнее.

Поэтому мы рекомендуем периодически повышать осведомленность сотрудников о современных киберугрозах. Например, при помощи нашей платформы Kaspersky Automated Security Awareness Platform.

Кроме того, лучше использовать защитные решения, способные выявлять мошеннические письма еще на почтовом сервере, а также блокировать переходы на фишинговые сайты непосредственно на рабочих станциях. Обе задачи помогает решить Kaspersky Security для бизнеса. Кроме того, у нас есть решение, усиливающее встроенные защитные механизмы Microsoft Office 365.

Советы