Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
Фишинг через ESP-провайдеров
Для обхода антифишинговых технологий злоумышленники могут прибегать к помощи легитимных сервисов по рассылке. Но их все равно можно вычислить.
Мы уже неоднократно рассказывали о различных уловках, которые мошенники используют для того, чтобы обойти антифишинговые технологии. Еще одна схема, которая позволяет с большой вероятностью доставить фишинговую ссылку к цели, это рассылка писем через сервисы e-mail рассылок (ESP). По статистике срабатываний наших решений видно, что сейчас этот метод набирает обороты.
Почему рассылка фишинга через ESP эффективна
Если вы серьезно относитесь к угрозам из электронной почты и своевременно приняли меры по ее защите, то прежде чем письмо попадает в почтовый ящик вашего сотрудника, оно тщательно проверяется антивирусными, антифишинговыми и антиспам-движками. Они проверяют не только содержимое письма, содержащиеся в нем ссылки и технические заголовки, но и репутацию отправителя и сайтов, на которые ссылаются авторы письма. Вердикт об опасности или безопасности письма выносится на основании совокупности различных факторов. Никому не известный отправитель массовой рассылки подозрителен: защитные алгоритмы воспринимают его как дополнительный повод вынести вердикт об опасности.
Поэтому злоумышленники решили рассылать свои письма так, чтобы отправителем был кто-то другой, не вызывающий подозрения. Под это описание идеально подходят ESP-сервисы —компании, которые специализируются на полном цикле доставки email-рассылок. Они широко известны, у многих вендоров защитных решений внесены в белые списки по IP-адресам, а некоторыми сервисами вообще не проверяются.
Как используют ESP
Основной метод использования ESP злоумышленниками очевиден — фишинг под видом легитимной рассылки. То есть киберпреступники становятся клиентом сервиса, оплачивают услуги (как правило, покупая минимальный срок подписки, потому что их все равно достаточно быстро вычисляют и блокируют).
Но есть и более экзотический вариант: использование ESP в качестве хостера URL. При такой схеме рассылка проводится через собственную инфраструктуру злоумышленников. Например, они могут создать тестовую кампанию, в которой будет указан фишинговый URL, и послать ее себе как превью. Затем они берут из нее запроксированный URL и уже его используют в фишинговой рассылке. Есть и другой вариант: мошенники могут создать под видом шаблона для рассылки фишинговый сайт и дать прямую ссылку на него. Но такое случается реже.
Как бы то ни было, в результате URL имеет положительную репутацию, его гарантированно не блокируют, а провайдер, через которого не идут никакие рассылки, не видит подвоха и не блокирует своего вредоносного «клиента». Иногда такие схемы применяются даже для целевого фишинга.
Как на это смотрят ESP-провайдеры?
Разумеется, ESP-провайдерам это все не очень нравится. Кому приятно быть инструментом в руках злоумышленников! У большинства из них работают собственные защитные технологии, которые тщательно проверяют контент и ссылки, рассылаемые через их серверы. Практически у каждого есть специальный раздел с информацией о том, куда обращаться, если вы столкнулись со случаем фишинга через их сайт.
Поэтому злоумышленники стараются усыпить бдительность и ESP-провайдеров. Например, если провайдер используется для проксирования, то фишинговая ссылка с большой долей вероятности оказывается «отложенной» — то есть в момент создания тестовой рассылки она будет казаться легитимной и только позже станет вредоносной.
И что делать?
Массовые рассылки часто приходят сотрудникам компаний, чьи адреса так или иначе попали в общий доступ. Случайно не заметить среди них вредоносную и попасться на нее может каждый. Чтобы защитить своих сотрудников от возможной фишинговой рассылки через ESP-провайдера, мы рекомендуем:
- Объяснить сотрудникам, что не стоит открывать письма с пометкой «массовая рассылка», на которые они сознательно не подписывались. Ничего интересного там все равно не будет — в лучшем случае навязчивая реклама.
- Использовать надежные защитные решения, которые тщательно проверяют всю входящую электронную почту эвристическими алгоритмами.
Среди наших решений есть Kaspersky Security для Microsoft Office 365 и решение Kaspersky Security для почтовых серверов, входящее в состав Kaspersky Total Security для бизнеса. Они позволят надежно защитить пользователей и от этой угрозы.
Источник: Лаборатория Касперского
28.10.2020