Честный фишинг: предупреждение фальшивое, атака настоящая

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Что может побудить пользователя немедленно зайти в рабочую учетную запись электронной почты?

Разумеется, сообщение о том, что кто-то посторонний получил доступ к переписке. Первый порыв ответственного сотрудника, получившего извещение системы безопасности, — узнать подробности, сменить пароль и, может быть, оповестить всех, кого эта компрометация могла затронуть.

Но на самом деле, если после прочтения письма возникает желание сделать что-то немедленно, это как раз повод еще раз все перепроверить и обдумать. И вот неплохая иллюстрация этого тезиса.

honest-phishing-alert-featured.jpg

Фишинговое письмо

Письмо, с которого начинается недавно встреченная нами фишинговая атака, притворяется нотификацией от Office 365 и делает это весьма неплохо.



Тут есть к чему придраться. Логотип Microsoft великоват, и в данном случае он нелогично используется без названия компании. В нотификациях такого рода обычно стоит логотип Office 365. Немного бестолково объясняется, в чем суть предупреждения.

То есть, судя по второй строчке, кто-то создал правило пересылки письма, а судя по строке Details, предупреждения такого типа срабатывают, когда кто-то получает доступ к «почте вашего пользователя». Однако эти детали бросаются в глаза, если нотификации от Office 365 приходят часто, а при нормальной работе с почтой это все-таки не так.

Что в действительности должно броситься в глаза — так это адрес отправителя. Нотификации Office 365, подписанные «The Office 365 Team», все-таки приходят с почтовых серверов Microsoft, а не от администратора, имеющего почту на сервере совершенно другой компании.

Смешно также выглядит строка Severity. Традиционно оповещения класса Informational не требуют реакции пользователя.

DIY редирект

Получатели письма, которые действительно забеспокоятся, что кто-то получил доступ к их почте, и кликнут ссылку View alert details, попадают на страницу, имитирующую неработающий редирект.



На самом деле беглая проверка адресной строки браузера или даже только названия закладки в нем четко дают понять, что эта страница размещена в облаке «Документов Google». Если быть точным, это презентация с единственным слайдом и ссылкой на нем. Делается это для того, чтобы в изначальном фишинговом письме была исключительно ссылка на docs.google.com — сервис, имеющий по информации большинства антифишинговых движков, положительную репутацию.

А просьба самостоятельно перейти по ссылке нужна потому, что автоматизировать переход со слайда презентации просто не получится, а злоумышленнику нужно как-то заманить получателя на фишинговый сайт. Вот жертву и просят пройти в ловушку самостоятельно.

Все это явные признаки фишинга, на которые стоит обращать внимание каждый раз, когда вы переходите по ссылке из письма в корпоративной почте. Финал схемы очевиден: простенькая страничка для сбора учетных данных от Office 365. Выдает ее, конечно же, адрес.



Как уберечь сотрудников компании от фишинга

Мы рекомендуем периодически объяснять сотрудникам компании современные уловки злоумышленников. В идеале следует регулярно повышать их осведомленность о современных киберугрозах при помощи специализированной платформы.

А для верности следует обеспечивать корпоративных пользователей многослойной системой защиты от фишинга, способной как отфильтровывать массовые рассылки на уровне почтового шлюза, так и блокировать переходы на опасные страницы при помощи защитных решений на рабочих станциях.


 
  • Теги
    office 365 фишинг фишинговое письмо
  • Сверху Снизу