Большинство онлайновых сервисов имеет встроенную систему безопасности, которая умеет предупреждать, когда в вашем аккаунте начинается какая-то нездоровая активность. Например, сервисы рассылают нотификации о попытке смены привязанного к учетной записи телефона и почтового адреса или же пароля. Разумеется, как только сообщения такого рода стали обыденностью, нашлись предприимчивые злоумышленники, которые попытались имитировать этот механизм для атак на корпоративных пользователей.
Пример фальшивой нотификации
Разумеется, извещение может выглядеть абсолютно по-разному. Если речь идет об имитации какого-то публичного онлайн-сервиса, то злоумышленники могут приложить определенные усилия и сделать абсолютно точную копию реального письма. Когда же они охотятся за доступом к внутренней системе, им чаще всего приходится фантазировать.
Данное письмо выглядит откровенно нелепо, начиная от некорректного языка и заканчивая достаточно сомнительной логикой — вроде бы речь идет о привязке нового телефона, а вроде бы и уже об отсылке кода для смены пароля. Почтовый адрес «поддержки» также не добавляет письму убедительности — причин, по которым ящик службы поддержки может находиться на совершенно постороннем домене (тем более китайском), нет.
Рассчитывают злоумышленники на то, что жертва испугается за сохранность доступа к учетной записи и кликнет на красную кнопку DON’T SEND CODE. После этого ее перенаправят на сайт, имитирующий страницу входа в учетную запись, который, собственно, и служит для непосредственного похищения пользовательского пароля. Угнанную почту впоследствии преступники могут использовать для организации атак типа BEC или же в качестве источника информации для дальнейших атак с помощью методов социальной инженерии.
Что следует объяснить сотрудникам компании
Для того чтобы минимизировать шансы злоумышленников на получение учетных данных сотрудников, следует донести до них следующее:
- не стоит переходить по ссылкам из нотификаций автоматической системы безопасности — не важно, настоящее оно или нет;
- в случае получения нотификации можно проверить настройки безопасности и привязанные данные, но для этого следует зайти на страницу сервиса, самостоятельно открыв ее в браузере;
- откровенно топорно сделанную нотификацию (как в примере) лучше игнорировать;
- если нотификация похожа на настоящую, то стоит известить службу ИБ (или сотрудника, ответственного за безопасность) — это может быть признаком целевой атаки;
Как защитить сотрудников компании от фишинга
В целом лучше всего вообще не допускать лишние фишинговые письма до почтовых ящиков сотрудников. Их, равно как и всю нежелательную корреспонденцию, включая спам, послания с вредоносными вложениями и письма, являющиеся частью BEC-атак, хорошо бы останавливать еще на уровне почтового шлюза. Как раз для борьбы с этими угрозами и существует решение Kaspersky Secure Mail Gateway. Узнать о решении больше можно на странице нашего сайта.