Новая фишинг-атака обходит основные протоколы безопасности электронной почты

Механизм атаки включает несколько этапов. Сначала злоумышленник регистрирует учетную запись в легитимном сервисе, например, Zoom, Google Docs или платформе для онлайн-встреч. В процессе регистрации он заполняет определенные текстовые поля, такие как имя документа, описание события или имя учетной записи, мошеннической информацией. Обычно это сообщение о необходимости срочно позвонить по указанному номеру телефона для решения некой проблемы с заказом или аккаунтом.

После этого система сервиса автоматически отправляет стандартное служебное письмо-уведомление на электронный адрес, контролируемый злоумышленником. Это письмо содержит в своем теле ранее введенный мошеннический текст. Затем атакующий использует функцию перенаправления (redirect) в своем почтовом клиенте или на сервере, чтобы переслать это письмо списку жертв. Критически важно, что в процессе перенаправления заголовок "From" («От кого») не изменяется и сохраняет оригинальный адрес доверенного сервиса, например, "noreply@zoom.us".

Поскольку письмо изначально было отправлено с авторизованных серверов легитимного сервиса, оно успешно проходит проверки SPF и DKIM. Протокол DMARC, который проверяет согласованность этих двух механизмов, также считает письмо аутентичным. В результате большинство систем Secure Email Gateway (SEG), включая Proofpoint, Microsoft ATP и Cisco IronPort, могут пропускать такие сообщения как безопасные.

Для получателя письмо выглядит крайне убедительно. Оно приходит с официального адреса известной компании, а основная часть текста, за исключением мошеннической вставки, является стандартной. Например, в рассмотренном исследователями случае письмо имитировало уведомление от Zoom. В поле имени отправителя было размещено сообщение: «Уважаемый клиент, ваш заказ в Zoom…», призывающее позвонить по указанному номеру. Остальная часть письма была полностью легитимной копией настоящего уведомления Zoom.

Главным техническим признаком подделки являются добавленные при перенаправлении заголовки "Resent-From" и "Resent-To". Они показывают первоначального адресата (контролируемый злоумышленником ящик) и промежуточный почтовый сервер. Однако не все почтовые клиенты отображают эти заголовки пользователю по умолчанию. Например, Apple Mail делает это наглядно, в то время как Microsoft Outlook в стандартном интерфейсе может показывать только оригинальное поле "To", которое также содержит адрес злоумышленника, а не реального получателя. Это позволяет атаке дольше оставаться незамеченной.

Подобная кампания демонстрирует растущую изощренность киберпреступников, использующих доверенную инфраструктуру и функции легальных сервисов в своих целях. Традиционные методы защиты, основанные исключительно на проверке заголовков и автоматической фильтрации, оказываются неэффективными. Эксперты подчеркивают, что в текущих условиях особую важность приобретает комбинация технологических решений и повышения осведомленности пользователей.

Организациям рекомендуется обращать внимание на комплексные платформы безопасности, которые сочетают расширенное обнаружение угроз с анализом данных, поступающих от самих пользователей (human-reported intelligence). Пользователям же необходимо тщательно проверять содержание любых писем, даже пришедших с доверенных адресов. Тревожными сигналами являются неожиданные просьбы позвонить по незнакомому номеру, несоответствие текста обычным коммуникациям от сервиса, а также странные адреса в полях «Кому» при детальном просмотре заголовков письма. Бдительность остается ключевым элементом защиты от подобных целевых атак.

Emails

• michele@arnilserver.com
• new_batch2@l873mye.onmicrosoft.com