Спам и фишинг

Персонифицированный спам и фишинг

Большинство спам-рассылок, особенно рассылаемых от имени организаций, имеет довольно обезличенный формат: спамеры создают шаблон письма под конкретную рассылку, часто сильно варьируя его содержимое. Как правило, они не используют индивидуальное обращение к получателю, а ограничиваются общими фразами, наподобие «Dear client». Максимум использования персональных данных — подстановка имени почтового ящика (или его части) из имеющегося в наличии у спамера электронного адреса. Какая-либо конкретика, благодаря которой получатель может удостовериться, что письмо предназначено лично ему, например, реальный номер счета, договора или дата его заключения, в письме отсутствует. Такая обезличенность свидетельствует, как правило, о попытке фишинга.

Однако в последнее время мы часто замечаем противоположную тенденцию: мошенничество становится персонифицированным, а спамеры придумывают новые способы убедить получателя в том, что письмо адресовано ему лично. Так, в обнаруженной нами в прошлом месяце вредоносной рассылке спамеры использовали в теле сообщения реальные почтовые адреса получателей, чтобы придать письму максимум правдоподобности. Эта информация приобретается злоумышленниками в виде готовых баз физических адресов (их нередко предлагают купить в спам-рассылках), собирается из открытых источников или добывается посредством взлома, например, почтовых аккаунтов. Понятно, что таких адресов в распоряжении киберпреступников будет не очень много (по сравнению со сгенерированными), но зато они представляют гораздо большую ценность.

Персонифицированный спам и фишинг

Важную роль играет и то, как спамеры организуют персонифицированные атаки: рассылка осуществляется, как правило, от имени реальной организации, а в технических заголовках поддельных писем используются ее реальные данные.

Вариантов использования валидных данных может быть несколько. Самый простой — спуфинг, то есть подмена технических заголовков сообщений, которые легко можно проставить с помощью любой программы для осуществления массовых рассылок. В частности, при спуфинге в поле From подставляется имеющийся в наличии у мошенников реальный адрес отправителя. Спам-рассылка в таком случае осуществляется от имени компании-жертвы спуфинга, что способно изрядно подмочить ее репутацию. Однако далеко не все технические заголовки можно подменить при спуфинге, поэтому такие письма не пройдут серьезные антиспам-фильтры.

Персонифицированный спам и фишинг

Еще один способ подразумевает рассылку спама с так называемой hijacked-инфраструктуры, что гораздо сложнее в техническом плане, так как для этого необходимо взломать почтовый сервер компании-жертвы. После того, как контроль над ним получен, злоумышленник может инициировать рассылку писем с легитимными техническими заголовками с любого электронного ящика компании и от имени любого её сотрудника. Поддельное письмо при этом выглядит очень правдоподобно для антиспам-фильтров и свободно проходит между серверами, так как все необходимые сертификаты и электронные подписи в заголовках соответствуют настоящим. Убытки несет как получатель, попавшийся на удочку мошенников (заражение сети, кража личных данных или бизнес-информации), так и компания, чью инфраструктуру используют злоумышленники.

Как правило, киберпреступники выбирают в качестве жертвы взлома небольшие организации (численностью до нескольких десятков человек). Особенный интерес представляют владельцы так называемых «припаркованных доменов», то есть использующихся организацией без создания сайта на домене.

В обнаруженных нами образцах персонифицированная вредоносная рассылка осуществлялась от имени реальной организации — небольшой компании, специализирующейся на подборе персонала. Сообщения содержали типичное для вредоносного спама уведомление о доставке заказа, но при этом в них указывался реальный почтовый адрес получателя. Сообщения также содержали ссылки, которые были расположены на легитимных доменах и постоянно менялись в рамках рассылки. В результате перехода по такой ссылке на компьютер пользователя загружалось вредоносное ПО.

Таким образом, можно утверждать, что спам становится все более персонифицированным, а рассылки — таргетированными. В условиях роста цифровой грамотности пользователей именно на это делают ставку злоумышленники: не так-то просто помнить все, на что вы подписывались, что заказывали через Интернет и где оставляли свои личные данные, в том числе и адреса. При такой информационной нагрузке просто необходимо заботиться о безопасности своей «информационной личности» и использовать интеллектуальные защитные решения.

Персонифицированный спам и фишинг

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике