Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
Как выглядит атака при помощи GetShared
Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
Пример мошеннического письма, распространяемого через уведомление GetShared
В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
Зачем злоумышленникам нужен GetShared и другие сторонние сервисы?
Защитные механизмы отсеивают большую часть спама, фишинга, мошеннических писем и вредоносных вложений еще на уровне почтового шлюза. Один из самых популярных и эффективных способов обхода этих механизмов — отправка писем через легитимные сервисы, например Google Календарь или Dropbox. Разумеется, сервисам не очень нравится работать невольными пособниками киберпреступников, поэтому они совершенствуют свои собственные контрмеры, ужесточают правила регистрации и так далее. Поэтому злоумышленники постоянно ищут новые сервисы, которые можно проэксплуатировать. Очередным, подходящим для эксплуатации инструментом оказался GetShared — бесплатный сервис для отправки больших файлов.
Признаки того, что что-то не так
Давайте для начала отвлечемся от этого кейса и вообще от GetShared. Задумайтесь, нормально ли это вообще — посылать деловой запрос в виде сопроводительного текста от какого-то стороннего сервиса? Даже если у гипотетического заказчика есть какая-то бизнес-необходимость переслать файл через сторонний сервис (ну, например, чертежи необходимого заказа), то он, скорее всего, сначала договорится в нормальном письме и только потом начнет бомбардировать вас нотификациями. Это просто азы делового этикета.
А уж если вам предлагают посмотреть на документ на стороннем сервисе, то тому может быть только три объяснения:
- текст документа определяется защитным движком как спам, фишинг или мошенничество;
- документ содержит ссылки, ведущие на мошеннический, фишинговый или вредоносный сайт;
- документ заражен, или во вложении вместо документа находится исполняемый вредоносный файл.
В данном случае через сервис распространялся текстовый файл с достаточно нелепой просьбой связаться со злоумышленниками — так они пытаются завязать переписку, чтобы далее развить атаку при помощи уловок социальной инженерии.
Возвращаясь к нашей рассылке — данная конкретная нотификация выглядит вдвойне подозрительно хотя бы потому, что в ней бросается в глаза несоответствие названия отправляемого файла и сопроводительного текста. Сообщение намекает на какой-то список товаров, однако название файла скорее указывает на дизайнерский проект.
Кроме того, следует уделить внимание адресу отправителя, четко указанному в нотификации. Если вбить имя домена в поисковик, то сразу станет понятно, что этот почтовый адрес может использоваться мошенниками.
Как защититься от подобных атак
Чтобы защитить вашу компанию от мошеннических писем, рассылаемых как с помощью GetShared, так и любых других легитимных сервисов, мы рекомендуем следующее:
- Заниматься обучением сотрудников, чтобы они умели распознавать потенциальные угрозы. В этом поможет наша автоматизированная образовательная платформа Kaspersky Automated Security Awareness Platform.
- Установить надежную защиту на все корпоративные устройства — это, по крайней мере, не даст запустить вредоносный код или перейти на фишинговый сайт, в том случае если жертва все-таки скачает файл мошенников.
Бизнес — Блог Касперского
