Специалисты компании F.A.С.С.T. проанализировали вредоносные рассылки, обнаруженные системой Managed XDR, предназначенной для предотвращения кибератак, в первом квартале 2023 года, и выявили, что спуфинг использовался злоумышленниками в 67,5% атак по электронной почте.
Эта популярная у киберпреступников техника эксплуатирует проблему почтового протокола SMTP, которая позволяет с помощью множества доступных инструментов — подходящего почтового клиента, скрипта или утилиты — подделать адрес отправителя. В итоге для ничего не подозревающего пользователя все выглядит так, будто письмо отправлено с легитимного адреса. Таким образом преступники быстро входят в доверие к получателям сообщений и убеждают открыть вложение или перейти по ссылке, тем самым загрузив на свое устройство вредоносное ПО.
Спуфинг использовался при точечных атаках на российские благотворительные фонды в 2020-2021 гг., когда сотрудники получили поддельные письма от руководства с просьбой перевести средства на указанные реквизиты. За прошедший год спуфинг был замечен в рассылках по российским компаниям шпионского ПО и стилеров — вредоносных программ для кражи данных (логины-пароли, данные банковских карт и криптокошельков) с зараженных компьютеров и смартфонов пользователей. В некоторых случаях злоумышленники подставляли в поле «отправитель» почтовые адреса компаний, в которых работали получатели.
Второй по популярности техникой при рассылке вредоносных писем (18,7% случаев) в начале 2023 года является регистрация почтовых доменов, похожих на адреса электронных ящиков реальных компаний (пример: hotemail[.]top вместо легитимного hotmail[.]com). Создание собственных доменных имен позволяет письмам злоумышленников обходить базовую проверку протоколов электронной почты.
Взломанные, то есть скомпрометированные почтовые учетные записи или доменные имена, были замечены в 8% атак по электронной почте. Этот способ, как правило, наиболее опасен для получателей писем, так как отправитель кажется абсолютно легитимным как для получателя, так и для большинства стандартных средств фильтрации электронной почты.
Наименее популярной у злоумышленников является рассылка писем с помощью бесплатных почтовых сервисов — в 5,8% обнаруженных писем с вредоносным содержанием. Чаще всего злоумышленники использовали сервисы: Gmail — 41,1% случаев, HotMail (28,8%) и Yahoo (9,9%).
«Электронная почта остается одним из основных векторов атак на компании, особенно когда речь идет о распространении программ-шпионов или стилеров. Изучив данные за первый квартал 2023 года, мы фиксируем, что злоумышленники стали тщательнее готовить рассылки, более внимательны к оформлению писем, — комментирует Ярослав Каргалев, руководитель Security operations center (SOC) компании F.A.С.С.T.. — При этом относительно простой спуфинг остается техникой номер один для маскировки вредоносных рассылок».
Для защиты от атак по электронной почте нужны средства, способные обнаруживать, блокировать и анализировать все распространяемые угрозы: от спама и фишинга до вредоносного программного обеспечения и фишинговых атак с компрометацией деловой переписки (Business Email Compromise).