Что может побудить пользователя немедленно зайти в рабочую учетную запись электронной почты? Разумеется, сообщение о том, что кто-то посторонний получил доступ к переписке. Первый порыв ответственного сотрудника, получившего извещение системы безопасности, — узнать подробности, сменить пароль и, может быть, оповестить всех, кого эта компрометация могла затронуть. Но на самом деле, если после прочтения письма возникает желание сделать что-то немедленно, это как раз повод еще раз все перепроверить и обдумать. И вот неплохая иллюстрация этого тезиса.
Фишинговое письмо
Письмо, с которого начинается недавно встреченная нами фишинговая атака, притворяется нотификацией от Office 365 и делает это весьма неплохо.
Тут есть к чему придраться. Логотип Microsoft великоват, и в данном случае он нелогично используется без названия компании. В нотификациях такого рода обычно стоит логотип Office 365. Немного бестолково объясняется, в чем суть предупреждения. То есть, судя по второй строчке, кто-то создал правило пересылки письма, а судя по строке Details, предупреждения такого типа срабатывают, когда кто-то получает доступ к «почте вашего пользователя». Однако эти детали бросаются в глаза, если нотификации от Office 365 приходят часто, а при нормальной работе с почтой это все-таки не так.
Что в действительности должно броситься в глаза — так это адрес отправителя. Нотификации Office 365, подписанные «The Office 365 Team», все-таки приходят с почтовых серверов Microsoft, а не от администратора, имеющего почту на сервере совершенно другой компании.
Смешно также выглядит строка Severity. Традиционно оповещения класса Informational не требуют реакции пользователя.
DIY редирект
Получатели письма, которые действительно забеспокоятся, что кто-то получил доступ к их почте, и кликнут ссылку View alert details, попадают на страницу, имитирующую неработающий редирект.
На самом деле беглая проверка адресной строки браузера или даже только названия закладки в нем четко дают понять, что эта страница размещена в облаке «Документов Google». Если быть точным, это презентация с единственным слайдом и ссылкой на нем. Делается это для того, чтобы в изначальном фишинговом письме была исключительно ссылка на docs.google.com — сервис, имеющий по информации большинства антифишинговых движков, положительную репутацию. А просьба самостоятельно перейти по ссылке нужна потому, что автоматизировать переход со слайда презентации просто не получится, а злоумышленнику нужно как-то заманить получателя на фишинговый сайт. Вот жертву и просят пройти в ловушку самостоятельно.
Все это явные признаки фишинга, на которые стоит обращать внимание каждый раз, когда вы переходите по ссылке из письма в корпоративной почте. Финал схемы очевиден: простенькая страничка для сбора учетных данных от Office 365. Выдает ее, конечно же, адрес.
Как уберечь сотрудников компании от фишинга
Мы рекомендуем периодически объяснять сотрудникам компании современные уловки злоумышленников (например, показывая им наши публикации про признаки фишинга). В идеале следует регулярно повышать их осведомленность о современных киберугрозах при помощи специализированной платформы.
А для верности следует обеспечивать корпоративных пользователей многослойной системой защиты от фишинга, способной как отфильтровывать массовые рассылки на уровне почтового шлюза, так и блокировать переходы на опасные страницы при помощи защитных решений на рабочих станциях.
Бизнес — Блог Касперского