В дикой природе эволюция наградила разные виды животных способностью к мимикрии, проще говоря, маскировке. Киберпреступники взяли этот метод на вооружение, чтобы пустить своим жертвам цифровую пыль в глаза.
В современном цифровом мире, где онлайн-коммуникации стали неотъемлемой частью нашей жизни, безопасность электронной почты приобретает особую важность.
Каждая известная компания тратит немалые бюджеты на укрепление своего имиджа и доверия покупателей. У людей формируется чёткая уверенность в том, что большая известная компания не может обманывать своих потребителей или использовать данные пользователей в мошеннических целях.
Этим прекрасно пользуются фишеры, скамеры и другие более серьезные киберпреступники в своих целях. Они выдают себя за представителей известной компании, то есть говоря научным языком, мимикрируют, и пытаются получить необходимые им конфиденциальные данные, деньги, заразить устройства пользователей вредоносным ПО и т.д.
Как определять такую мимикрию и не попасться на удочку, рассказывает в этой статье Роман Лисин, разработчик отдела анализа сетевого трафика и машинного обучения компании F.A.C.C.T.
Что такое почтовая мимикрия?
Почтовая мимикрия — метод социальной инженерии, при котором киберпреступники используют поддельные электронные письма, чтобы обманом заставить жертв раскрыть конфиденциальную информацию, заставить расстаться с деньгами или незаметно для самого пользователя установить на его компьютер различные вредоносные программы — стиллеры, программы-шпионы, банковские трояны и т.д.
Например, киберпреступники могут отправить электронное письмо, в котором от имени авторитетного источника, например, сотрудника банка или служба безопасности, запрашивают конфиденциальную информацию (номер кредитной карты, логин и пароль, данные о банковских транзакциях и т. д.). Жертва, доверяя отправителю письма, может предоставить эту информацию, что позволит киберпреступникам получить доступ к аккаунтам или провернуть другую более серьезную кибератаку.
Под кого чаще всего мимикрируют?
По нашим данным и по информации из открытых источников, чаще всего фишинговые рассылки мимикрируют под известные международные бренды: DHL, Apple, Netflix, Google, Microsoft, Yahoo, WhatsApp, PayPal, Amazon, Facebook (принадлежит американской компании Meta Platforms Inc., признанной экстремистской на территории России).
Примеров мимикрии достаточно много — разберём несколько реальных фейковых писем, которые были перехвачены нашим решением для защиты корпоративной почты F.A.C.C.T. Business Email Protection.
С первого взгляда может показаться, что перед вами письмо от DHL. Выглядит достаточно правдоподобно. Но если приглядеться, то можно увидеть странный почтовый адрес отправителя.
Во-первых, бросается в глаза домен отправителя semldj.com. Если попробовать «загуглить» этот домен, то не получаем доступ ни к официальному сайту DHL, ни вообще к какому-либо сайту.
Во-вторых, почтовый логин у отправителя - dhl. Это достаточно странный логин, хотя бы потому, что до этого уже было название компании. Также это необычный почтовый логин для DHL. Отправитель письма как будто старается несколько раз употребить название компании, под которую пытается мимикрировать. Это нужно, чтобы вы поверили, что вам пишут из DHL.
Если бегло просматривать информацию об отправителе письма, то можно попасться на удочку фишера.
Но зачем фишеру нужно, чтобы вы ему поверили? И правда, если просмотреть текст самого письма, то ничего необычного в нём нет. Это стандартное письмо от DHL причем с официальными доменами компании.
Тут возникает вопрос, а в чём смысл мимикрии на DHL? Обратим внимание на вложения к письму.
Этот файл — троян. Фишер попытался втереться в доверие, чтобы получатель скачал этот архив и заразил свой компьютер вирусом. В данном случае мимикрия под известную компанию была сделана очень неплохо. Но мы в F.A.C.C.T. на чеку 😎
Достаточно частый пример — письма из банков. Например, такое письмо.
На первый взгляд, кажется, что пришло письмо из банка. Но если мы посмотрим на домен отправителя horoscopefree.com, то обнаружим сайт про... гороскопы.
Ссылка на оформление через редиректы ведёт на официальный сайт банка. Но мы не рекомендуем вам оформлять карту по ссылкам из таких писем, потому что ваши данные могут попасть к третьим лицам. Лучше воспользоваться официальными сайтами банков.
Следующий пример — письмо от Netflix.
Попробуем нажать на красную кнопку Update now и попадаем на такой сайт.
После такого предупреждения стоит остановиться, потому что подключение к сайту не защищено. Преследуя исследовательские цели, всё же перейдём на сам сайт.
Видим, что данный фишинговый ресурс совсем не похож на сайт Netflix, и есть логин-форма, в которую фишеры просят ввести ваши данные.
Резюме
Мимикрия позволяет злоумышленникам втираться в доверие пользователей, заставляя жертву поверить, что ей пишут из известной компании с хорошей репутацией. Мы, в F.A.C.C.T., успешно обнаруживаем мимикрию с помощью решения F.A.C.C.T. Business Email Protection и защищаем с его помощью наших клиентов.
Обычным пользователям, чтобы не попасться на мимикрию, необходимо выполнить следующие рекомендации:
- Сравнить домены из ссылок отправителя письма с официальными доменами компании, от имени которой вам пришло письмо.
- Обратить внимание на оформление письма, качество вёрстки, ошибки. Подходит ли данный стиль компании или выбирается из него?
- Прочитать содержимое письма. Могли ли вам на самом деле написать письмо из международной компании? Если вас торопят, заставляют быстро принять решение — это одна из причин усомниться в реальности сообщения.
Будьте бдительными и не ведитесь на мимикрию!
