ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Фишинг учетных данных к ESP-провайдеру через ESP-провайдера

Базы электронных адресов, по которым компании рассылают письма своим клиентам, всегда были интересной добычей для злоумышленников. Их могут использовать и для спам-рассылок, и для фишинга, и для более сложных мошеннических схем. Если в придачу к базам атакующему удается получить доступ к легитимному инструменту для организации рассылки, то это значительно повышает шансы на успех любой атаки. Ведь люди, давшие согласие на получение писем и привыкшие потреблять информацию именно таким способом, с большей вероятностью откроют привычную рассылку от компании, чем какое-то постороннее послание. Поэтому злоумышленники периодически пытаются захватить доступ к личным кабинетам компаний в сервисах ESP-провайдеров. В очередной выявленной нами фишинговой кампании они усовершенствовали свой метод и охотятся на учетные данные на сайте ESP-провайдера SendGrid, рассылая фишинговые письма непосредственно через сам SendGrid.

Почему в данном случае фишинг через SendGrid более успешен?

Среди советов, которые мы обычно даем в постах про фишинг, мы чаще всего рекомендуем внимательно смотреть на домен сайта, куда вас пытаются послать при помощи кнопки или текстовой гиперссылки. ESP-провайдеры, как правило, не позволяют вставить в письмо прямую ссылку на сайт клиента, а служат своего рода посредником — получатель письма видит внутри ссылки домен ESP-провайдера, который далее редиректит кликнувшего уже на сайт, заданный при настройке кампании по рассылке. Это делается в том числе для корректного сбора аналитики.

В данном случае текст фишингового письма написан от имени ESP-провайдера SendGrid, который якобы очень беспокоится о безопасности своих клиентов и убеждает их включить двухфакторную аутентификацию, чтобы контроль над личным кабинетом не захватили посторонние. В письме объясняются преимущества метода 2FA и дана ссылка для обновления настроек безопасности. И ведет она, как вы, вероятно, уже догадались, на какой-то адрес в домене SendGrid (где, вероятно, должен был бы располагаться сайт с настройками, если бы это письмо действительно рассылала компания SendGrid).

При этом для всех почтовых сканеров данное фишинговое письмо выглядит как абсолютно легитимная рассылка, идущая с серверов SendGrid с корректными ссылками, ведущими на домен SendGrid. Единственное, что может насторожить получателя такого письма, — адрес отправителя. Дело в том, что ESP-провайдеры подставляют туда домен реального заказчика и идентификатор рассылки. Чаще всего для фишинга используется угнанная учетная запись (новых клиентов ESP-провайдеры проверяют более тщательно, а старые, сделавшие уже не одну рассылку, имеют накопленную репутацию надежных).

Письмо от имени SendGrid, присланное через SendGrid, для фишинга учетной записи для сервиса SendGrid

Фишинговый сайт

На этом оригинальные трюки преступников заканчиваются. SendGrid перенаправляет кликнувшего по ссылке пользователя на обычную фишинговую страницу, имитирующую страницу входа в учетную запись. Сайт расположен на домене «sendgreds», что при беглом прочтении действительно достаточно похоже на легитимный sendgrid.

Сайт, имитирующий страницу входа SendGrid. Обратите внимание на домен в адресной строке

Как оставаться в безопасности

Поскольку само по себе письмо выслано при помощи легитимного сервиса и не имеет характерных признаков фишингового, автоматические фильтры могут его пропустить. Поэтому для защиты пользователей компании мы всегда рекомендуем использовать решения с продвинутыми антифишинговыми технологиями не только на уровне почтового шлюза, но и на всех устройствах, имеющих выход в Интернет. В таком случае будет заблокирована попытка перехода на сайт злоумышленников.

Ну и да, в кои-то веки тут стоит прислушаться к совету злоумышленников и все-таки включить двухфакторную аутентификацию. Но не через ссылку в подозрительном письме, а в настройках на сайте ESP-провайдера.

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал