Вопрос или проблема
Я (в основном) понимаю, как мошенник может отправить электронное письмо с поддельного адреса; для этого нужен лишь небезопасный SMTP-сервер.
Но как возможно, чтобы мошенник ОТВЕТИЛ и поддерживал переписку с жертвой с поддельного адреса? В этом случае не было “ответного” адреса, и домен совершенно легитимен.
Единственным намеком было то, что адрес электронной почты отвечающего (мошенника) в некоторых (не всех) случаях имел суффикс “1”, т.е. [email protected] и [email protected].
Моя первая мысль заключалась в том, что почтовый сервер на “legitdomain.com” был скомпрометирован, в этом случае осуществить это должно быть довольно просто, так как можно получать и отвечать на электронные письма и создавать правила для перенаправления электронных писем с целевых адресов, чтобы сотрудники владельца домена не видели их. Вы также можете читать входящие/исходящие письма, чтобы помочь в выборе целей, т.е. нацелиться на недавно выставленного клиента, который собирается сделать платеж, и убедить его в том, что банковские реквизиты изменились.
Но есть ли способ сделать это без доступа к почтовому серверу?
Есть два способа, как это может быть “подделано”:
-
Первый способ заключается в том, что противник фактически контролирует почтовый сервер или скомпрометированную учетную запись. Не редкость, когда противники пытаются захватить легитимный адрес электронной почты как способ отправки фишинговых атак. Во время моей работы аналитиком SOC (я работал в крупном медицинском университете) мы часто получали фишинговые письма, приходящие с реальных адресов .edu. Противник первоначально компрометирует какую-то случайную учетную запись из другого университета, а затем отправляет фишинговые сообщения с этих учетных записей как способ добавить достоверности своим запросам. Часть моей работы заключалась в том, чтобы звонить в эти другие школы и сообщать им, что у них есть скомпрометированная учетная запись.
-
Второй вариант заключается в том, что они зарегистрировали домен, который похоже выглядит точно так же, как настоящий. Тривиальный пример – это что-то вроде m1crosoft.com. Некоторые из них настолько близки и хорошо разработаны, что для их обнаружения требуется натренированный глаз. Это еще труднее, если это не известный бренд, в таком случае вы можете не знать, каков реальный URL-адрес – так что вы не узнаете, что “mycompnay.com” на самом деле является ‘подделанным’ вариантом my-comapny.com.
Ответ или решение
Существует несколько методов, с помощью которых мошенники могут отвечать на электронные письма с поддельного (спуфированного) адреса, и это создает серьезные угрозы для пользователей. Давайте подробно рассмотрим, как это работает, включая различные сценарии, и возможные способы реализации.
Способы ответов с поддельного адреса
-
Компрометация почтового сервера
Первый и наиболее простой способ отвечает на ваш вопрос о том, могут ли мошенники вести переписку с поддельного адреса, получения доступа к реальному почтовому серверу. Это может произойти через:-
Взлом учетной записи: Мошенники могут компрометировать учетные записи сотрудников компании, позволяя им отправлять и получать сообщения от имени реального адреса. После взлома они могут манипулировать почтовыми настройками, переадресовывать электронные письма и скрывать свои действия. Это также может помочь в маче написания более целевых сообщений, недель назад отправленных для максимальной эффективности.
-
Компрометация почтового сервера: Взлом сервера самого домена может предоставить доступ ко всем учетным записям. В этом случае мошенник может легко прочитать сообщения и использовать эту информацию для дальнейшего обмана пользователей.
-
-
Регистрация похожего домена
Второй вариант включает создание домена, который визуально очень близок к оригинальному. Мошенники могут зарегистрировать домен, который отличается от настоящего только в мелочах, например, используя похожие символы или небольшие изменения в слове. Этот метод называется "фишинг" и имеет ряд последствий:-
Сложность выявления: Если домен мошенника выглядит очень похоже на легитимный, пользователи могут даже не заметить различий. Это увеличивает шансы на то, что жертвы будут взаимодействовать с мошенническими письмами.
-
Отвечать на письма: Мошенник, управляя похожим доменом, может отправлять электронные письма с адреса, который выглядит легитимно. В таком случае на письма жертвы будут приходить ответы, и переписка будет выглядеть естественно, если мошенник будет постоянно использовать тот же адрес с добавлением незначительных изменений, таких как суффикс "1" в адресе.
-
Возможные случаи без доступа к почтовому серверу
Да, мошенникам возможно поддерживать диалог без прямого доступа к почтовым серверам. Это может быть осуществлено следующими способами:
-
Использование "псевдопочты": Существует множество онлайн-сервисов, которые позволяют отправлять и получать письма анонимно или под видом другого адреса. Это означает, что мошенники могут ответить на письма, используя假的 адрес, не имея контроля над настоящим почтовым сервером.
-
Внедрение в цепочку общения: После первого контакта от реального мошеннического адреса, возможно, просто начать переписку, подстраиваясь под стиль общения жертвы. Используя социальные инженерные приемы, мошенники могут создавать такие ситуации, что жертва будет думать, что общается с оригинальным администратором.
Заключение
Общая уязвимость пользователей и недостаточное внимание к своей электронной безопасности позволяет мошенникам легко манипулировать адресами, поддерживая незаметное взаимодействие с жертвой. Подобные методы требуют повышенного внимания к безопасности как со стороны пользователей, так и со стороны организаций. Усиление процедур аутентификации и обучение сотрудников об основных принципах безопасности должны стать важными приоритетами в борьбе с подобными угрозами.