Занимающиеся фишингом киберпреступники все чаще отдают предпочтение сложным целевым атакам. Помимо использования для своих нужд разнообразных легитимных онлайн-сервисов, они применяют и методы социальной инженерии, чтобы убедить жертву перейти по ссылке. Недавно мы обнаружили очередную нестандартную многоступенчатую фишинговую схему, о которой стоит как минимум предупредить сотрудников, работающих с финансовой документацией.
Первое письмо
Начинается атака с того, что на почтовый адрес жертвы падает письмо от имени реально существующей аудиторской фирмы. В нем сообщается, что отправитель пытался прислать аудированный финансовый отчет (то есть отчет с результатами финансовой проверки), но он оказался слишком большим для почты и потому его пришлось загрузить в Dropbox. Следует отметить, что письмо отправляется с реального адреса на почтовом сервере компании (скорее всего, доступ к ящику захвачен атакующими).
С точки зрения любой системы защиты почты это письмо является абсолютно легитимным — оно ничем не отличается от обычной бизнес-переписки. В нем нет никаких ссылок, и отправлено оно легальной компанией. Бухгалтер из него узнает, что некая компания провела аудит и выслала его результаты. Как правило, такая новость привлекает внимание специалиста. В письме имеется дисклеймер о пересылке конфиденциальной информации и о том, что она предназначена исключительно адресату, а компания-отправитель легко находится в Интернете, так что письмо может показаться достаточно убедительным.
Единственное, на что можно обратить внимание, это информация о том, что отчет пришлось выслать еще раз при помощи Dropbox Application Secured Upload. Это вымышленная сущность. Загруженный в Dropbox файл можно защитить паролем, но не более того. По всей видимости, истинная цель этой фразы — подготовить получателя письма к тому, что для скачивания отчета ему придется как-то аутентифицироваться.
Второе письмо
Далее приходит нотификация непосредственно от сервиса Dropbox. В ней написано, что аудитор из прошлого письма поделился файлом с названием «результаты аудиторской проверки», просит просмотреть его, подписать и вернуть для обработки.
Это также совершенно не вызывающее подозрений письмо. В нем есть ссылка, но она ведет на абсолютно легитимный онлайн-сервис для хранения данных (именно для этого они и используют Dropbox). Если бы нотификация пришла без аккомпанирующего послания, то ее бы, скорее всего, проигнорировали. Но поскольку получатель «прогрет», он с большей вероятностью перейдет на сайт Dropbox и попытается ознакомиться с документом.
Файл на сервисе Dropbox
Перейдя по ссылке, жертва увидит размытый документ, поверх которого открыто окно с требованием аутентифицироваться при помощи офисных учетных данных. Вот только в этом месте мы бы рекомендовали не верить своим глазам. Потому что все это — и размытый фон, и окно с кнопкой — единая картинка, вставленная в файл PDF.
Причем жертве даже не надо нажимать на кнопку VIEW DOCUMENT — вся поверхность картинки по сути является одной большой кнопкой. Ссылка под ней окольными путями (то есть через промежуточный сайт с редиректом) ведет на некий скрипт, запускающий форму для ввода логина и пароля. Которые, собственно, и нужны злоумышленникам.
Вообще, всем сотрудникам компаний следует помнить, что рабочий пароль можно вводить только на сайтах, однозначно принадлежащих их организации. Ни Dropbox, ни внешние аудиторы не могут знать вашего рабочего пароля, а следовательно, не могут проверить его подлинность.
Как оставаться в безопасности
Поскольку злоумышленники постоянно изобретают все более изощренные схемы для похищения корпоративных учетных данных, мы рекомендуем применять решения, обеспечивающие информационную безопасность на нескольких уровнях. Во-первых, использовать систему защиты корпоративного почтового сервера, а во-вторых, установить защитный продукт с надежными антифишинговыми технологиями на все рабочие устройства, имеющие доступ к Интернету.