Киберпреступники все больше используют метод доставки жертвам фишинговых писем через сервисы e-mail рассылок (ESP), сообщает «Лаборатория Касперского». 

 

«Если организация заботится о своей кибербезопасности, то прежде чем письмо попадает в почтовый ящик сотрудника, оно тщательно проверяется антивирусными, антифишинговыми и антиспам-программами. Они проверяют не только содержимое письма, содержащиеся в нем ссылки и технические заголовки, но и репутацию отправителя и сайтов, на которые ссылаются авторы письма. Никому не известный отправитель массовой рассылки подозрителен: защитные алгоритмы воспринимают его как дополнительный повод вынести вердикт об опасности», - поясняют эксперты компании.

 

Поэтому злоумышленники решили рассылать свои письма так, чтобы отправителем был кто-то другой, не вызывающий подозрения. Под это описание идеально подходят ESP-сервисы —компании, которые специализируются на полном цикле доставки email-рассылок. У многих вендоров защитных решений они внесены в белые списки по IP-адресам, а некоторыми сервисами вообще не проверяются.

 

Для обхода защиты киберпреступники становятся клиентом сервиса, оплачивают услуги (как правило, покупая минимальный срок подписки, потому что их все равно достаточно быстро вычисляют и блокируют). Они также используют ESP в качестве хостера URL. При такой схеме рассылка проводится через собственную инфраструктуру злоумышленников. Например, они могут создать тестовую кампанию, в которой будет указан фишинговый URL, и послать ее себе как превью. Затем они берут из нее запроксированный URL и уже его используют в фишинговой рассылке. Есть и другой вариант: мошенники могут создать под видом шаблона для рассылки фишинговый сайт и дать прямую ссылку на него. В результате URL имеет положительную репутацию, его гарантированно не блокируют, а провайдер, через которого не идут никакие рассылки, не видит подвоха и не блокирует своего вредоносного «клиента». Злоумышленники стараются усыпить бдительность и ESP-провайдеров. Например, если провайдер используется для проксирования, то фишинговая ссылка с большой долей вероятности оказывается «отложенной» — то есть в момент создания тестовой рассылки она будет казаться легитимной и только позже станет вредоносной.

 

Массовые рассылки часто приходят сотрудникам компаний, чьи адреса так или иначе попали в общий доступ. Случайно не заметить среди них вредоносную и попасться на нее может каждый. Поэтому эксперты рекомендуют объяснить сотрудникам, что не стоит открывать письма с пометкой «массовая рассылка», на которые они сознательно не подписывались. Также необходимо использовать надежные защитные решения, которые тщательно проверяют всю входящую электронную почту эвристическими алгоритмами.

 

Представительство компании «Лаборатория Касперского» в Армении

 

  -   Организации