Алматы, ул. Курчатова 1"Б"
Интернет-магазин
IT-решений в Казахстане
0
Корзина
0 ₸

Фишинг, замаскированный под спам

19.11.2021

Злоумышленники пытаются украсть учетные данные из корпоративной почты, рассылая списки спам-писем, помещенных в карантин.

Что вы делаете, когда нежелательное электронное письмо попадает в ваш рабочий почтовый ящик? Если вы не являетесь специалистом по спам-анализу, то скорее всего, вы просто удалите его. Парадоксально, но именно этого и хотят некоторые фишеры, и в результате наши почтовые ловушки в последнее время получают все больше и больше электронных писем, которые выглядят как уведомления о явно нежелательных сообщениях.

Как это работает

Киберпреступники, полагаясь на неопытность пользователей в технологиях защиты от спама, рассылают сотрудникам компании уведомления об электронных письмах, которые якобы поступили на их адрес и были помещены в карантин. Такие сообщения выглядят примерно так:



Поддельное уведомление о сообщениях, помещенных в карантин.


Выбор темы, как правило, не важен - злоумышленники просто копируют стиль другой рекламы нежелательных товаров и услуг и предоставляют кнопки для удаления или сохранения каждого сообщения. Он также предоставляет возможность удалить все сообщения в карантине сразу или открыть настройки почтового ящика. Пользователи даже получают визуальные инструкции:


Визуальные инструкции, присланные мошенниками.


В чем подвох?

Загвоздка, конечно же, в том, что кнопки не такие, какими кажутся. За каждой кнопкой и гиперссылкой находится адрес, по которому человек попадает на поддельную страницу входа в систему, которая выглядит как веб-интерфейс почтовой службы:



Фишинговый сайт.


Сообщение «Session Expired» предназначено для того, чтобы убедить пользователя войти в систему. Конечно, страница служит одной цели: собирать учетные данные корпоративной почты.

Подсказки

В электронном письме первое, что должно вызвать сигнал тревоги, — это адрес отправителя. Если бы уведомление было настоящим, оно должно было бы прийти с вашего почтового сервера, домен которого совпадает с вашим почтовым адресом, а не от неизвестной компании, как в данном случае.

Прежде чем нажимать ссылки или кнопки в любом сообщении, проверьте, где они указывают, наведя на них курсор мыши. В этом случае одна и та же ссылка вставляется во все активные элементы и указывает на веб-сайт, который не имеет отношения ни к домену получателя, ни к венгерскому домену отправителя. Сюда входит кнопка, которая якобы отправляет «HTTP-запрос на удаление всех сообщений из карантина». Тот же адрес должен служить красным флажком на странице входа.