YouTube как прикрытие
В некоторых экзотических странах водятся жуки, которые питаются муравьями, а из их экзоскелетов сооружают себе на спине камуфляж для маскировки. Что общего у насекомых Acanthaspis petax и операторов спам-рассылок? И те и другие прикрывают свою активность с помощью множества экзоскелетов или аккаунтов-пустышек для охоты и ухода от хищников либо антиспам-систем.
Мы рассказывали , как мошенники научились рассылать фишинговые сообщения, прикрываясь Google Looker Studio. И вот спустя несколько месяцев злоумышленникам удалось «приручить» еще один сервис Google — YouTube. Письма якобы от видеохостинга начали массово поступать на адреса сотрудников российских компаний. Внутри сообщений было обсуждение ролика с предложением мгновенного заработка через крупную инвестиционную платформу. Однако есть нюанс: отправители этих писем желают только нажиться на наиболее доверчивых получателях писем. Каким образом спамеры научились использовать популярный видеохостинг для распространения мошеннического контента, и какие существуют способы борьбы против нового приема злоумышленников рассказывает руководитель отдела анализа сетевого трафика и машинного обучения компании F.A. C.C.T. Антон Афонин.
Подозрительные письма от YouTube
В мае специалисты F.A. C.C.T. с помощью автоматизированной системы защиты электронной почты Business Email Protection зафиксировали массовые спам-рассылки якобы от имени YouTube на электронные почтовые ящики сотрудников крупных компаний в России. В письмах было сообщение от видеохостинга о том, что на один из комментариев к некоему ролику был оставлен ответ. Название видео в письмах сообщало о «новом проекте от именитого фин-бренда».
Рис. 1. Скриншот одного из таких писем
Получатель сообщения не имел никакого отношения ни к видеоролику из письма, ни к оставленному комментарию. Более того, имя, отображаемое в письме никак не соответствовало его имени получателя.
Такая несостыковка, с одной стороны, должна всерьез насторожить пользователя, получившего письмо. Однако эту деталь можно не заметить, либо любопытство может заставить потенциальную жертву перейти по ссылке и просмотреть отправленный контент. Именно жертву, ведь все это часть продуманной мошеннической схемы.
А точно ли это скам?
Перейдем по ссылке из описания к видео. В начале нас встречает незамысловатая капча, в которой необходимо вычислить простейшее арифметическое выражение.
Рис. 2. Капча на входе в ресурс
Да, это абсолютно нормальная практика — защищать свои ресурсы при помощи капчи. Однако если присмотреться к данной форме, можно заметить, что выражение не изменяется при обновлении страницы. А исходный код дает четкий и однозначный ответ на вопрос, почему же это происходит:
Рис. 3. Исходный код капчи
Выражение банально «захардкожено», а скрипт всегда проверяет, что в поле ввода введено »16». Капча нужна этому сайту не для защиты от атак, а для того, чтобы скрыть дальнейшее содержимое подальше от глаз систем информационной безопасности, автоматически анализирующих содержимое страниц по ссылкам, размещенным, например, в электронных письмах.
Дальше уже продолжается классический инфоскам. После капчи нас встретит скрипт с опросом, определяющим финансовое положение, который завершится формой ввода персональных данных. Через некоторое время после заполнения формы с потенциальным «клиентом» связывается «специалист», который представится персональным менеджером и помогает новому клиенту в открытии счета и первых шагах. Все деньги, которые клиент переводит на этот счет, чтобы «начать зарабатывать», окажутся в руках мошенников.
Рис. 4. Форма обратной связи на скам-ресурсе
Анализ механизма рассылки
Каким образом спамерам удалось прикрыться сервисом YouTube для рассылки потенциально опасного содержимого? Внимание: дальнейшее описание приводится исключительно в исследовательских целях.
На самом деле платформа даже не подозревает, что от ее имени рассылались представленные письма, а алгоритм действий злоумышленников был следующим:
Спамеры зарегистрировали новый YouTube-канал и разместили на нем несколько видео различной тематики. Это нужно для того, чтобы придать каналу естественный вид и вывести его из-под подозрений алгоритмов платформы. Помимо «подборок приколов» и видео с животными, авторы канала опубликовали видео «НОВЫЙ ПРОЕКТ …». Ссылка на этот ролик и была в одном из рассмотренных нами писем.
Рис. 5. YouTube-канал для распространения ссылок на сайт злоумышленников
Далее от другого аккаунта, назовем его Пользователь №2, они оставили комментарий под указанной видеозаписью.
Затем уже от третьего аккаунта, назовем его Пользователь №3, спамеры дали ответ на комментарий. Затем комментарии к видео ими были закрыты.
В результате Пользователь №2 получил от платформы YouTube письмо-уведомление, содержащее ссылку на ролик и информацию о том, что на оставленный им комментарий под видео был дан ответ. В рассмотренном нами письме Пользователь №2 носил имя Натальи Кожевниковой. Данное письмо действительно было сформировано YouTube и содержало корректную DKIM-подпись видео-хостинга:
Полученное таким образом письмо спамеры начали массово рассылать со своих серверов пользователям, чьи адреса оказались в списках массовой рассылки.
Рассылка не связана с какой-либо уязвимостью платформы YouTube или с какой-либо лазейкой в алгоритмах ее работы, как это было в случае с Looker Studio. В данном случае сервис обеспечил только получение одного подлинного письма, которое впоследствии массово рассылалось с собственных серверов спамеров.
Выявление рассылки.
Опасность рассылки заключается в том, что письмо содержит DKIM-подпись YouTube.com, которая позволяет подтвердить его оригинальность. Действительно, это подлинное письмо, составленное и отправленное алгоритмами YouTube, но его содержимое содержит ссылку на потенциально опасный контент.
Конечно, распознать такую рассылку возможно. Дело в том, что письма от YouTube могут быть отправлены с ограниченного количества серверов, принадлежащих компании Google. Email-адрес отправителя письма всегда должен на это указывать. В нашем примере email-адрес отправителя никакого отношения к YouTube не имел. Более того, свой ящик электронной почты злоумышленники пытались подменить с помощью спуфинга на электронный адрес известного издательства бизнес-литературы. Проверка репутации сервера отправителя в системе F.A. С.С.T. Business Email Protection показала, что его IP-адрес уже был замечен в спам-рассылках и содержится сразу в нескольких «черных списках».
Ну и последнее, но не менее важное условие. Каждое письмо содержит дату формирования (отправки). И это одно из полей, подписанных DKIM-подписью. Злоумышленники не могут изменить изначально проставленную в письме дату, так как после этого DKIM-подпись потребуется сформировать заново, чего они сделать не могут. Поэтому фактическая дата получения такого письма может сильно отличаться от даты его отправки. В приведенном примере «разрыв» составлял более суток.
Все эти признаки спам-рассылки выявляются системой защиты электронной почты F.A. C.C.T. BEP, не позволяя злоумышленникам доставлять письма с нежелательным контентом и защищая инфраструктуру от такого распространенного и актуального вектора атаки.
Но даже имея самые надежные и современные комплексы защиты электронной почты, всегда помните о правилах цифровой гигиены и не позволяйте ввести себя в заблуждение.