6 мая 2019

Пересылка чужого спама вредит бизнесу

SMB Бизнес

К нам за помощью в расследовании инцидента обратилась крупная бразильская компания государственного уровня. Суть проблемы заключалась в том, что злоумышленники каким-то образом начали рассылать спам через адреса сотрудников этой организации. То есть не имитировать легитимного отправителя, как это часто происходит, а именно пересылать письма через почтовый сервер компании. Мы провели тщательное расследование и смогли понять, как именно действуют злоумышленники.

Схема атаки на бизнес

Сначала мошенники рассылают фишинговые письма сотрудникам. В письмах они говорят, что почтовый ящик адресата будет заблокирован по тем или иным причинам. Чтобы избежать этого, они просят обновить данные учетной записи и услужливо предлагают перейти по ссылке. Разумеется, фишинговой. Она ведет на страницу с формой, где требуется ввести данные для авторизации в системе.

Перевод: Уважаемый пользователь, ваш почтовый ящик будет удален из-за множественного игнорирования писем. Чтобы избежать этого, кликните сюда для обновления учетной записи. Приносим извинения за доставленные неудобства. Системный администратор.

После того как жертва заполнит форму, мошенники получают полный доступ к ее почтовому аккаунту и теперь могут рассылать любые сообщения от ее имени. При этом им даже не приходится подделывать технические заголовки своих писем и пытаться сделать их похожими на легитимные. В результате письма, отправленные таким образом, не вызывают подозрений у спам-фильтров, ведь они отправлены через оригинальные и с репутационной точки зрения абсолютно чистые серверы.

Дальнейшие действия злоумышленников

Получив контроль над ящиками, злоумышленники приступали к следующей волне рассылок. В расследуемом нами инциденте мошенники рассылали «нигерийский спам» на разных языках. Однако в теории там может оказаться что угодно — от предложений теневой фармацевтики до вредоносов.

Анализ показал, что обратившаяся к нам организация не была единственной жертвой — тот же самый «нигерийский спам» рассылался также в большом количестве с адресов различных государственных, а также некоммерческих организаций, что добавляло еще больший репутационный вес отправляемым письмам.

Согласитесь, с репутационной точки зрения использование ваших серверов для рассылки мошеннических предложений выглядит не очень хорошо. А уж если они примутся за рассылку вредоносов, то это и вовсе выставит вашу компанию в негативном свете.

Но есть и еще более серьезные последствия. Нередко учетные данные для входа в почтовый ящик полностью совпадают с доменным логином и паролем сотрудника. А по ним можно получить доступ не только к почте, но и к другим сервисам компании.

Более того, воспользовавшись доступом к почтовому ящику сотрудника уважаемой организации, злоумышленники могут попробовать провернуть и целевую атаку на коллег, деловых партнеров или представителей государственной и бизнес-сферы. Да, такие атаки достаточно сложно реализовать, так как для этого нужно применить мастерство социальной инженерии и заставить получателя выполнить все необходимые действия. Однако и ущерб от подобных атак может быть непредсказуемо велик.

Такой тип мошенничества является разновидностью Business Email Compromise (BEC) и способен причинить немало головной боли компании жертвы. Суть его заключается в том, что поддельный отправитель вступает в переписку с целью получить данные счетов, финансовые документы и прочую конфиденциальную информацию.  И распознать в отправителе BEC сообщения мошенника при реальных технических заголовках, настоящем адресе и актуальной тематике контента очень сложно.

Как обезопасить компанию и сотрудников

Чтобы защитить репутацию компании и не стать злостным рассыльщиком спама, мы рекомендуем пользоваться надежными защитными решениями, которые отслеживают попытки фишинга как на стороне почтового сервера, так и на рабочих станциях сотрудников. И, разумеется, не пропускать обновления эвристических баз антиспам- и антифишинг-компонентов.