Фишинг в облаке: кампания через SendGrid эксплуатирует доверие к сервисам электронной почты

Атака построена вокруг трех типов писем, каждый из которых создает у получателя ощущение срочности - как в теме сообщения, так и в его теле. Кроме того, злоумышленники применяют спуфинг адресов отправителя, что делает письма визуально неотличимыми от официальных уведомлений SendGrid.

Первый тип письма имеет тему «New Login Location» и призван немедленно привлечь внимание пользователя. Сообщение выглядит профессионально: в нем используются корректно подобранные логотипы и выдержанное форматирование. Текст упоминает о подозрительной попытке входа с незнакомого IP-адреса и местоположения, а затем следует фраза, снижающая бдительность: «Если это были вы, дальнейших действий не требуется». Основной элемент атаки - вредоносная ссылка, замаскированная под кнопку с предложением «access by clicking this link». Именно она ведет на фишинговую страницу.

Второй тип письма использует другую тактику - предложение бесплатного перехода на «Элитный тариф» с премиальными возможностями. Играя на желании пользователя получить выгоду, злоумышленники стимулируют его перейти по ссылке «Activate Elite Tier Benefits», которая также направляет на сайт для сбора credentials.

Третий вариант сообщения вызывает у получателя панику: в нем утверждается, что был изменен привязанный к аккаунту номер телефона. Это классический приём создания искусственной срочности, заставляющий пользователя действовать быстро и нераздумывая. Кнопка «Access Account Settings» скрывает за собой ту же схему перехода на поддельный ресурс.

Важной технической деталью кампании является использование открытого редиректа через домен destinpropertyexpert[.]com. Злоумышленники применяют его, чтобы замаскировать фишинговые ссылки под легитимные, используя доверие к известному домену. Это не только повышает вероятность клика, но и помогает обойти системы безопасности, поскольку трафик кажется исходящим из надёжного источника.

После перехода по ссылке пользователь попадает на тщательно сконструированную фишинговую страницу, которая визуально почти неотличима от настоящего сайта SendGrid. Однако ключевым индикатором мошенничества является домен loginportalsg[.]com, не имеющий отношения к официальному сервису. Специалисты PDC подчёркивают: необходимо всегда проверять URL в адресной строке перед вводом учётных данных.

Данная кампания наглядно демонстрирует, как современные злоумышленники комбинируют социальную инженерию и технические уловки для достижения своих целей. Использование имени reputable-сервиса, психологическое давление и качественная визуальная имитация делают такие атаки особенно опасными.

IPv4

• 104.21.85.103
• 172.67.204.116
• 18.224.219.179
• 185.208.156.46
• 3.20.194.73
• 3.20.87.51
• 3.220.122.174
• 3.231.179.208
• 54.158.174.185
• 69.7.174.162

URLs

• http://url1390.hilllogistics.com/ls/click?upn=u001.Yu9M7-2F-2FnrU2-2FRpzPaAEBgExVWKWoxNPKCFhhsWROf9XeYEMCh9e0QECnhcptrX2S2cV2aht923LdETaR5ijzYPlx9Y4mOQB-2BZCcetWLkr7d7I-2Faah37spQKY-2FEILc8FWRI62kYEJgL2tdy9pwwstWdtizVOhKOtwL-2FCshQKjTEx-2FeUXnmLIQH4HD04d3WJC5WbLQXbPUnEvSBa98L2b2xZRBpSFOQ1WlzpNZ54xH9x2s19bZS0kDcyfolo-2FvQ3Piyd0dHfVJJIivKm3th9BhFdklrRcTVQLjsqA333brunzirWty5u0MIHmODeVG4q8P47hYTNX6r-2FJZKG7QI-2FHnfmY8pr2Phj22w4DDacVRVU9L2X-2Bu4RipO-2FoFfJXX6Ke8fvAD2Aec2JHg-2BQp5-2Bb2YSDG-2BAETn5WcvkFH2yJEDsfzUBi1jHgQT4xtgNv1-2FSTtYoySAdLSE8I3Z-2FMAn5EQD7Cw4yxlgrvp3lz69oa7Mw0F92uoP4HQvDGHe5XC-2Fvt0yLuj-2FDq45cC38y3l7h4f7sw-3D-3DA9Ub_t7gAvOB6HMyU6RfuKePtJra5X2EdiORCrHyMQTm7hGCzxK-2BwJ7iZNyOIS5Ehbwru7yA5zp-2FMuYar-2Bdd7JeWa0HOD0acl5osm-2FGSW7-2B9n3xvRFx8KMgxocgt9jYT0H9OQJ6WnU2TAogxFDLsAnBvenVBN19-2BieBcDVPOMzvdyU8a3dUTjXhz0mposTjIGAncFGpwKwDjOhnq6ripN1i6reA-3D-3D
• http://url6849.destinpropertyexpert.com/ls/click?upn=u001.5kHtxVODF9oynRfMIg1bHYLnvZ4uwKfPxeqMAGcCyRwF7zVeV7TeWDa1YeA1WEqlv5YICvDuLTpVVcjWzC-2BpE3N6z8-2BMiEhT3YdSdYC7pqgGn8W6bMGma5T1-2Bo7ttkP28fXVNm3HnDZ3fjeOS43bzjsgM5ldRWhj-2FDC-2F7i-2Fi1XRXzWe97fQ0YU4rmyJ5J80HFkmcvSpfalp2UGySKiTGKWxSSDcZNkgIh1i6cyMmWyVY3s7Pq-2BZWA41gsjE07AjMIa9NkA-2BsiLL8KDyl45AivhbyAjaay5aHtPlIKmav-2B9fWBo-2Bx0VVcih-2BDr4xOAUXj-2FzUvJw5tfNOcpYzyt39b2EAjmnsJxMMTvUFglRunWcvMrNHy72p6nqjjEanWcg-2Btapgj7fNXAGTB8e0Yd2mgp4QuFoSke5t5UWJtaCWEYB2XjtNGqMKmxTT6MUnFOJnuoJW0yyIC4JrLaVhErDlKooiLUzo0o7rmMieLgOKU1khw8jBKzYlCUMt9qSnD16xxifB0qyozOGRg5x0aqN5qa5W-2Fw0awC1KLhH8Yk3Y9Lb-2FzR9q5OGzAkGZTefbGYcAydCj-2BC2v7K-2BfFR0f-2FfaEFdrCwor9fdbnRtYdFGMrlOlM-3DTHFf_t7gAvOB6HMyU6RfuKePtJra5X2EdiORCrHyMQTm7hGAyCjtWlUwJBEgDvmLVdQH7L49YrNvi8a3OdWrJrZLfy1KR4AG2-2BMHwSnB9PmT8O-2F7ye0Mj5LfQHrSKKtSYgEPz7sityaSg-2FCpNAWzmedfLOsg6oxAlY0erepcC9Y8gHooOB1BsoYcVn-2FbSMXP9uGkqEt5anzKss6wx-2FY2dpud6QQ-3D-3D
• https://loginportalsg.com/
• https://sendgrid.aws-us5.com/
• https://u42632394.ct.sendgrid.net/ls/click?upn=u001.RTyH5NZxNIUh-2Fr7uRoQ0-2FcekI92sgoZ43P3aqN5SYTzUsTOOgoEyfKKq0ybvWfymrg7bVKyaEAVaf74ERHdn0XxX3TQKihdCqpY8qHt8jZ59mMTJPEgLLFD8fHNnm4KSlNDym-2Fwe4gJkc9F2UsHXBADaaPs53n3mfb260UhRi5wn1Oon9AURLGC0WVGwJLdW9ZH6oav3sfc7QpuVPEWEM23VWNngl0inG2G-2BxlwP9F0dlmNUtQmiD4vBVf81U-2Bbc9tL-2FxGwxbR-2FMhMqhyc5y0tRT9KZeAIRH-2BEPRw1Utb3XBOAj1cqyuG5jJmgXp7cuTSRsCfszQw5xhJp5LYgOKefP8zfUd6F7qZ8xsHm1k2aUL9s0LRhBIhp1ShE-2BlILU0XRavzbw8eu64DGPOjonzbCDaT6LpCliWBSGWNCxNzTQS7exlRTsN8af9HVo8ehGC02UgJX7lHN5-2BzqQv2VOM0AVx3BfbKXhx4napyCgdHUwXH-2BjHhNSoAB2OnmMlLV4-2ByFKmbS8sWHi9ZWvknFBeYg-3D-3Dr2MN_t7gAvOB6HMyU6RfuKePtJra5X2EdiORCrHyMQTm7hGASLVLP4bxIlHGXc6MwwzctBJVZ2u6NNtSOwi31J6jzklKcTbU9AxBuggAE-2FHqbpTBwf6B8o8ud1SqVcpWBf5BD1zzkmjAuo-2BxsDpWPAPWLjhoTPsAI92nQFPAfuU0gnUVsMkbmuIhqMgHpJNvTiCq4vAlk9ryzOg3ETDViAJWlAQ-3D-3D