Фишинг через ESP-провайдеров

Для обхода антифишинговых технологий злоумышленники могут прибегать к помощи легитимных сервисов по рассылке. Но их все равно можно вычислить.

Мы уже неоднократно рассказывали о различных уловках, которые мошенники используют для того, чтобы обойти антифишинговые технологии. Еще одна схема, которая позволяет с большой вероятностью доставить фишинговую ссылку к цели, это рассылка писем через сервисы e-mail рассылок (ESP). По статистике срабатываний наших решений видно, что сейчас этот метод набирает обороты.

Почему рассылка фишинга через ESP эффективна

Если вы серьезно относитесь к угрозам из электронной почты и своевременно приняли меры по ее защите, то прежде чем письмо попадает в почтовый ящик вашего сотрудника, оно тщательно проверяется антивирусными, антифишинговыми и антиспам-движками. Они проверяют не только содержимое письма, содержащиеся в нем ссылки и технические заголовки, но и репутацию отправителя и сайтов, на которые ссылаются авторы письма. Вердикт об опасности или безопасности письма выносится на основании совокупности различных факторов. Никому не известный отправитель массовой рассылки подозрителен: защитные алгоритмы воспринимают его как дополнительный повод вынести вердикт об опасности.

Поэтому злоумышленники решили рассылать свои письма так, чтобы отправителем был кто-то другой, не вызывающий подозрения. Под это описание идеально подходят ESP-сервисы —компании, которые специализируются на полном цикле доставки email-рассылок. Они широко известны, у многих вендоров защитных решений внесены в белые списки по IP-адресам, а некоторыми сервисами вообще не проверяются.

Как используют ESP

Основной метод использования ESP злоумышленниками очевиден — фишинг под видом легитимной рассылки. То есть киберпреступники становятся клиентом сервиса, оплачивают услуги (как правило, покупая минимальный срок подписки, потому что их все равно достаточно быстро вычисляют и блокируют).

Но есть и более экзотический вариант: использование ESP в качестве хостера URL. При такой схеме рассылка проводится через собственную инфраструктуру злоумышленников. Например, они могут создать тестовую кампанию, в которой будет указан фишинговый URL, и послать ее себе как превью. Затем они берут из нее запроксированный URL и уже его используют в фишинговой рассылке. Есть и другой вариант: мошенники могут создать под видом шаблона для рассылки фишинговый сайт и дать прямую ссылку на него. Но такое случается реже.

Как бы то ни было, в результате URL имеет положительную репутацию, его гарантированно не блокируют, а провайдер, через которого не идут никакие рассылки, не видит подвоха и не блокирует своего вредоносного «клиента». Иногда такие схемы применяются даже для целевого фишинга.

Как на это смотрят ESP-провайдеры?

Разумеется, ESP-провайдерам это все не очень нравится. Кому приятно быть инструментом в руках злоумышленников! У большинства из них работают собственные защитные технологии, которые тщательно проверяют контент и ссылки, рассылаемые через их серверы. Практически у каждого есть специальный раздел с информацией о том, куда обращаться, если вы столкнулись со случаем фишинга через их сайт.

Поэтому злоумышленники стараются усыпить бдительность и ESP-провайдеров. Например, если провайдер используется для проксирования, то фишинговая ссылка с большой долей вероятности оказывается «отложенной» — то есть в момент создания тестовой рассылки она будет казаться легитимной и только позже станет вредоносной.

И что делать?

Массовые рассылки часто приходят сотрудникам компаний, чьи адреса так или иначе попали в общий доступ. Случайно не заметить среди них вредоносную и попасться на нее может каждый. Чтобы защитить своих сотрудников от возможной фишинговой рассылки через ESP-провайдера, мы рекомендуем:

• Объяснить сотрудникам, что не стоит открывать письма с пометкой «массовая рассылка», на которые они сознательно не подписывались. Ничего интересного там все равно не будет — в лучшем случае навязчивая реклама.
• Использовать надежные защитные решения, которые тщательно проверяют всю входящую электронную почту эвристическими алгоритмами.

Среди наших решений есть Kaspersky Security для Microsoft Office 365 и решение Kaspersky Security для почтовых серверов, входящее в состав Kaspersky Total Security для бизнеса. Они позволят надежно защитить пользователей и от этой угрозы.

28.10.2020