F.A.C.C.T.: в 70% атак по электронной почте в 2023 году была подмена адреса отправителя

Эксперты компании F.A.С.С.T., российского разработчика технологий для борьбы с киберпреступлениями, назвали спуфинг — технику подмены адреса отправителя — самой популярной для атак с отправкой вредоносных писем с целью заражения компьютера пользователя в первом квартале 2023 года. Чаще всего «на борту» опасных рассылок находились стилеры и программы-шпионы. 

Специалисты компании F.A.С.С.T. проанализировали вредоносные рассылки, обнаруженные системой Managed XDR, предназначенной для предотвращения кибератак, в первом квартале 2023 года, и выявили, что спуфинг использовался злоумышленниками в 67,5% атак по электронной почте. 

Эта популярная у киберпреступников техника эксплуатирует проблему почтового протокола SMTP, которая позволяет с помощью множества доступных инструментов — подходящего почтового клиента, скрипта или утилиты — подделать адрес отправителя. В итоге для ничего не подозревающего пользователя все выглядит так, будто письмо отправлено с легитимного адреса. Таким образом преступники быстро входят в доверие к получателям сообщений и убеждают открыть вложение или перейти по ссылке, тем самым загрузив на свое устройство вредоносное ПО. 

Спуфинг использовался при точечных атаках на российские благотворительные фонды в 2020-2021 гг., когда сотрудники получили поддельные письма от руководства с просьбой перевести средства на указанные реквизиты. За прошедший год спуфинг был замечен в рассылках по российским компаниям шпионского ПО и стилеров — вредоносных программ для кражи данных (логины-пароли, данные банковских карт и криптокошельков) с зараженных компьютеров и смартфонов пользователей. В некоторых случаях злоумышленники подставляли в поле «отправитель» почтовые адреса компаний, в которых работали получатели.

Второй по популярности техникой при рассылке вредоносных писем (18,7% случаев) в начале 2023 года является регистрация почтовых доменов, похожих на адреса электронных ящиков реальных компаний (пример: hotemail[.]top вместо легитимного hotmail[.]com). Создание собственных доменных имен позволяет письмам злоумышленников обходить базовую проверку протоколов электронной почты.

Взломанные, то есть скомпрометированные почтовые учетные записи или доменные имена, были замечены в 8% атак по электронной почте. Этот способ, как правило, наиболее опасен для получателей писем, так как отправитель кажется абсолютно легитимным как для получателя, так и для большинства стандартных средств фильтрации электронной почты. 

Наименее популярной у злоумышленников является рассылка писем с помощью бесплатных почтовых сервисов — в 5,8% обнаруженных писем с вредоносным содержанием. Чаще всего злоумышленники использовали сервисы: Gmail — 41,1% случаев, HotMail (28,8%) и Yahoo (9,9%).

«Электронная почта остается одним из основных векторов атак на компании, особенно когда речь идет о распространении программ-шпионов или стилеров. Изучив данные за первый квартал 2023 года, мы фиксируем, что злоумышленники стали тщательнее готовить рассылки, более внимательны к оформлению писем, — комментирует Ярослав Каргалев, руководитель Security operations center (SOC) компании F.A.С.С.T., — При этом относительно простой спуфинг остается техникой номер один для маскировки вредоносных рассылок».

Для защиты от атак по электронной почте нужны средства, способные обнаруживать, блокировать и анализировать все распространяемые угрозы: от спама и фишинга до вредоносного программного обеспечения и фишинговых атак с компрометацией деловой переписки (Business Email Compromise). Так, решение F.A.С.С.T. Business Email Protection (BEP) анализирует более 290 форматов файлов для обеспечения безопасности всех вложений в почте, а также осуществляет проверку всех ссылок в сообщении. Подозрительные ссылки и вложения анализируются в изолированных средах.