Конверт со спуфингом: в 70% атак по электронной почте в 2023 году была подмена адреса отправителя
Эксперты компании F.A. С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, назвали спуфинг — технику подмены адреса отправителя — самой популярной для атак с отправкой вредоносных писем с целью заражения компьютера пользователя в первом квартале 2023 года. Чаще всего «на борту» опасных рассылок находились стилеры и программы-шпионы.
Специалисты компании F.A. С.С.T. проанализировали вредоносные рассылки, обнаруженные системой Managed XDR, предназначенной для предотвращения кибератак, в первом квартале 2023 года, и выявили, что спуфинг использовался злоумышленниками в 67,5% атак по электронной почте.
Эта популярная у киберпреступников техника эксплуатирует проблему почтового протокола SMTP, которая позволяет с помощью множества доступных инструментов — подходящего почтового клиента, скрипта или утилиты — подделать адрес отправителя. В итоге для ничего не подозревающего пользователя все выглядит так, будто письмо отправлено с легитимного адреса. Таким образом преступники быстро входят в доверие к получателям сообщений и убеждают открыть вложение или перейти по ссылке, тем самым загрузив на свое устройство вредоносное ПО.
Спуфинг использовался при точечных атаках на российские благотворительные фонды в 2020–2021 гг., когда сотрудники получили поддельные письма от руководства с просьбой перевести средства на указанные реквизиты. За прошедший год спуфинг был замечен в рассылках по российским компаниям шпионского ПО и стилеров — вредоносных программ для кражи данных (логины-пароли, данные банковских карт и криптокошельков) с зараженных компьютеров и смартфонов пользователей. В некоторых случаях злоумышленники подставляли в поле «отправитель» почтовые адреса компаний, в которых работали получатели.
Второй по популярности техникой при рассылке вредоносных писем (18,7% случаев) в начале 2023 года является регистрация почтовых доменов, похожих на адреса электронных ящиков реальных компаний (пример: hotemail[.]top вместо легитимного hotmail[.]com). Создание собственных доменных имен позволяет письмам злоумышленников обходить базовую проверку протоколов электронной почты.
Взломанные, то есть скомпрометированные почтовые учетные записи или доменные имена, были замечены в 8% атак по электронной почте. Этот способ, как правило, наиболее опасен для получателей писем, так как отправитель кажется абсолютно легитимным как для получателя, так и для большинства стандартных средств фильтрации электронной почты.
Наименее популярной у злоумышленников является рассылка писем с помощью бесплатных почтовых сервисов — в 5,8% обнаруженных писем с вредоносным содержанием. Чаще всего злоумышленники использовали сервисы: Gmail — 41,1% случаев, HotMail (28,8%) и Yahoo (9,9%).
«Электронная почта остается одним из основных векторов атак на компании, особенно когда речь идет о распространении программ-шпионов или стилеров. Изучив данные за первый квартал 2023 года, мы фиксируем, что злоумышленники стали тщательнее готовить рассылки, более внимательны к оформлению писем. При этом относительно простой спуфинг остается техникой номер один для маскировки вредоносных рассылок»
Ярослав Каргалев
Руководитель Security operations center (SOC) компании F.A. С.С.T.
Для защиты от атак по электронной почте нужны средства, способные обнаруживать, блокировать и анализировать все распространяемые угрозы: от спама и фишинга до вредоносного программного обеспечения и фишинговых атак с компрометацией деловой переписки (Business Email Compromise). Так, решение F.A. С.С.T. Business Email Protection (BEP) анализирует более 290 форматов файлов для обеспечения безопасности всех вложений в почте, а также осуществляет проверку всех ссылок в сообщении. Подозрительные ссылки и вложения анализируются в изолированных средах.
