e-mail
Таргетированные атаки через электронную почту не сводятся только лишь к целевому фишингу и business email compromise (BEC). Серьезную проблему представляет и такой вариант почтовой атаки, как перехват диалога (сonversation hijacking). Суть ее сводится к тому, что злоумышленники встраиваются в уже существующую деловую переписку и продолжают диалог, выдавая себя за одного из участников. В этом посте мы подробно расскажем, как проходит эта атака и что делать, чтобы минимизировать ее шансы на успех.
Как злоумышленники получают доступ к перепискам?
Для того чтобы встроиться в чужой диалог, надо каким-то образом получить доступ либо к почтовому ящику, либо хотя бы к архиву писем. У киберпреступников есть достаточно богатый набор уловок, позволяющих сделать это.
Самый очевидный способ — взлом почтового ящика. При использовании облачных сервисов это проворачивают перебором паролей — ищут в утечках из разных онлайн-сервисов пароли, связанные с определенным адресом e-mail, а потом пробуют их для доступа к рабочей почте. Вот почему важно, во-первых, не использовать одни и те же учетные данные в разных сервисах, а во-вторых, не указывать корпоративный адрес при регистрации на посторонних сайтах. Альтернативный метод — доступ к почте через уязвимости в серверном ПО.
Злоумышленники редко остаются контролировать рабочий адрес e-mail надолго, но архив писем, как правило, скачивают. Иногда оставляют в настройках правила пересылки, чтобы в реальном времени получать проходящую через ящик почту. То есть чаще всего они могут только читать послания, но не отправлять их — иначе скорее всего попытались бы провернуть BEC.
Еще один вариант — зловреды. Недавно наши коллеги выявили массовую рассылку писем с применением conversation hijacking, целью которых было заражение компьютеров трояном QBot. Почта, в которую преступники встраивали свою уловку, была, вероятнее всего, получена у предыдущих жертв того же зловреда QBot (он умеет получать доступ к локальному архиву почты).
Но далеко не всегда условные «взломщики» или операторы зловредов сами пытаются провернуть сonversation hijacking — иногда архивы переписки продаются в даркнете и используют их совсем другие скамеры.
Как происходит conversation hijacking?
В почтовых архивах преступники ищут письма, в которых идет общение между несколькими компаниями (партнерами, подрядчиками, поставщиками и так далее). Даты переписки не имеют значения — скамеры могут возобновить диалог многолетней давности. Найдя подходящий обмен письмами, они пишут одному из участников, выдавая себя за другого. Конечная цель — обмануть собеседника, заставив его совершить какое-то нужное преступнику действие. Иногда, прежде чем перейти непосредственно к обману, они обмениваются несколькими посланиями, усыпляя бдительность.
Поскольку conversation hijacking — таргетированная атака, часто ее проводят с look-alike домена, то есть домена, крайне похожего на адрес одного из партнеров, но имеющего ряд несоответствий, — другой домен верхнего уровня, присутствует лишняя буква или, например, один из символов в домене заменен на аналогично выглядящий.
Письмо злоумышленников: в домене адреса используется буква n вместо m.
Для чего конкретно используется conversation hijacking?
Цели, по большому счету, сводятся к нескольким довольно банальным вариантам: получить доступ к какому-то ресурсу, выманив пару логин-пароль; получить финансовые средства, заставив перевести их на счета злоумышленника; заставить открыть вложенный документ или перейти по ссылке на зараженный сайт.
Как защититься от conversation hijacking?
Основная опасность от атак при помощи conversation hijacking заключается в том, что письма такого рода достаточно сложно распознать автоматическими методами. Впрочем, в нашем арсенале есть Kaspersky Security for Microsoft Office 365, решение, способное выявлять попытки встроиться в чужой диалог. Кроме того, чтобы минимизировать риски как для себя, так и для своих контрагентов, мы рекомендуем:
- защищать устройства сотрудников, чтобы с них сложнее было украсть почтовый архив;
- не использовать пароль от почты для доступа к другим сервисам;
- минимизировать количество внешних сервисов, зарегистрированных на рабочий e-mail;
- после инцидента, связанного с почтой, не только менять пароль, но и проверять, не появились ли у вас в настройках посторонние правила пересылки.
Советы