F.A.С.С.T.

Специалисты компании F.A.С.С.T. проанализировали вредоносные рассылки, обнаруженные системой Managed XDR, предназначенной для предотвращения кибератак, в 1-м квартале 2023 г., и выявили, что спуфинг — техника подмены адреса отправителя использовался злоумышленниками в 67,5% атак по электронной почте. Чаще всего «на борту» опасных рассылок находились стилеры и программы-шпионы.

Эта популярная у киберпреступников техника эксплуатирует проблему почтового протокола SMTP, которая позволяет с помощью множества доступных инструментов — подходящего почтового клиента, скрипта или утилиты — подделать адрес отправителя. В итоге для ничего не подозревающего пользователя все выглядит так, будто письмо отправлено с легитимного адреса. Таким образом преступники быстро входят в доверие к получателям сообщений и убеждают открыть вложение или перейти по ссылке, тем самым загрузив на свое устройство вредоносное ПО.

Спуфинг использовался при точечных атаках на российские благотворительные фонды в 2020-2021 гг., когда сотрудники получили поддельные письма от руководства с просьбой перевести средства на указанные реквизиты. За прошедший год спуфинг был замечен в рассылках по российским компаниям шпионского ПО и стилеров — вредоносных программ для кражи данных (логины-пароли, данные банковских карт и криптокошельков) с зараженных компьютеров и смартфонов пользователей. В некоторых случаях злоумышленники подставляли в поле «отправитель» почтовые адреса компаний, в которых работали получатели.

Второй по популярности техникой при рассылке вредоносных писем (18,7% случаев) в начале 2023 г. была регистрация почтовых доменов, похожих на адреса электронных ящиков реальных компаний (пример: hotemail[.]top вместо легитимного hotmail[.]com). Создание собственных доменных имен позволяет письмам злоумышленников обходить базовую проверку протоколов электронной почты.

Взломанные, т. е скомпрометированные почтовые учетные записи или доменные имена, были замечены в 8% атак по электронной почте. Этот способ, как правило, наиболее опасен для получателей писем, так как отправитель кажется абсолютно легитимным как для получателя, так и для большинства стандартных средств фильтрации электронной почты.

Наименее популярной у злоумышленников является рассылка писем с помощью бесплатных почтовых сервисов — в 5,8% обнаруженных писем с вредоносным содержанием. Чаще всего злоумышленники использовали следующие сервисы: Gmail — 41,1% случаев, HotMail (28,8%) и Yahoo (9,9%).

Электронная почта остается одним из основных векторов атак на компании, особенно когда речь идет о распространении программ-шпионов или стилеров. Изучив данные за первый квартал 2023 г., компания фиксирует, что злоумышленники стали тщательнее готовить рассылки, более внимательны к оформлению писем. При этом относительно простой спуфинг остается техникой номер один для маскировки вредоносных рассылок.

Для защиты от атак по электронной почте нужны средства, способные обнаруживать, блокировать и анализировать все распространяемые угрозы: от спама и фишинга до вредоносного ПО и фишинговых атак с компрометацией деловой переписки (Business Email Compromise), констатируют эксперты компании.