Security Week 51: почтовые атаки с lookalike-доменов

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.
Эксперты «Лаборатории Касперского» подробно разбирают одну из атак на корпорации с использованием lookalike-доменов — когда фишинговый e-mail отправляется с домена, на одну букву отличающегося от настоящего. Такой подход со стороны атакующего оказывается чуть выгоднее традиционного спуфинга, когда адрес отправителя просто подделывается. Современные технологии аутентификации входящей почты, такие как SPF, DKIM и DMARC, достаточно надежно идентифицируют откровенные подделки. Письмо с lookalike-домена содержит все необходимые цифровые подписи и может пройти фильтры. Такая атака рассматривается в рамках общего явления, известного как Business E-Mail Compromise: это не широкомасштабная рассылка «наудачу», а скорее целенаправленная попытка взломать инфраструктуру компании, похитить деньги через отправку правдоподобного инвойса и так далее.


Соответственно, срок жизни таких атак небольшой. В 73% случаев поддельные домены активны в течение одного дня и используются для отправки небольшого числа сообщений, а то и вовсе единственного, в адрес заранее определенной жертвы. Анализ атак с применением lookalike-доменов показывает, что в 2020 году чаще всего они были ориентированы на компании, занятые в области электронной коммерции (доставка продуктов, интернет-магазины, продажа авиабилетов и тому подобное). На втором месте IT-сервисы, далее следуют промышленное производство и розница. В прошлом году расклад был другим: относительно «дорогая» (с точки зрения временных затрат на предварительную разведку, но не технологий) атака угрожала в первую очередь корпорациям в финансовой индустрии.


Крупные компании вкладывают в защиту от атак с доменов с лишними (недостающими, перепутанными) буквами определенные усилия: чаще всего это превентивная регистрация всех похожих доменов. У этого подхода есть понятный недостаток: вариантов доменов много, а в большой организации поддельное письмо может прийти не только с «собственного» lookalike-адреса, но и с адресов, похожих на контакты подрядчиков. Второй метод — добавление lookalike-доменов в черный список, что чревато опечатками и блокировкой легитимных сообщений. В исследовании предлагается метод защиты с использованием современного антиспам-решения. Оно не только поддерживает актуальный список уже использованных lookalike-доменов, но и анализирует отправителя письма по определенному алгоритму. Сообщение из ранее неизвестного источника помещается в карантин, проводится анализ записей whois, отмечается время создания домена и другие параметры. Сходство адреса отправителя с регулярной корреспонденцией в комбинации с другой информацией, выявленной в ходе анализа домена, позволяет более точно отделить нормальную переписку от фишинговых атак.


В статье приведены данные подразделения ФБР и организации Internet Crime Complaint Center. Сводная статистика из отчетов за последние пять лет показывает, что ущерб от атак на электронную почту вырос в пять раз только в США. Публичные примеры успешных BEC-атак поражают масштабом при относительной «легкости» атаки. 50 миллионов долларов украдено путем рассылки счетов на оплату с домена, похожего на адрес крупного тайваньского производителя. 37 миллионов потеряла дочерняя компания Toyota. Пример чуть более тонкого мошенничества с почтой: киберпреступники подключились к переписке между двумя футбольными клубами и увели на свои счета один из траншей при трансфере игрока. Ущерб — полмилллиона долларов. Несмотря на эволюцию современных методов общения (мессенджеры и телеконференции), электронная почта остается активно используемым и не менее регулярно атакуемым деловым инструментом.

Что еще произошло:
Серьезная уязвимость обнаружена в медицинских устройствах, в частности аппаратах МРТ и рентгенографии производства GE. Данной техникой управляет компьютер с ОС на базе Unix, к которому производитель может подключаться для проведения обслуживания. Логины и пароли для подключения дефолтные и не могут быть изменены эксплуатирующей организацией. Пока их принудительно не поменяет обслуживающая компания, рекомендуется ограничить доступ к устройствам по стандартным протоколам FTP, SSH и Telnet.

Компания FireEye сообщает о взломе серверов и краже инструментов для тестирования защищенности корпоративного периметра. Иными словами, злоумышленники получили доступ к хорошо отлаженному набору «отмычек» — эксплойтов к разного рода уязвимостям в ПО и сетевой инфраструктуре. Помимо публичного раскрытия информации, компания также выложила на Github набор правил, позволяющих определить и заблокировать атаки с использованием украденного ПО.

Еще одна публикация «Лаборатории Касперского» по итогам 2020 года исследует новые привычки удаленных работников и связанные с этим угрозы. Атаки на сотрудников в этом году принципиально не изменились, но уязвимых мест в корпоративной инфраструктуре стало больше. Один из примеров в исследовании: широкое использование на удаленке домашних компьютеров и персональных учетных записей — чаще всего это аккаунты в почте и мессенджерах — для рабочих задач. Или наоборот — использование рабочего компьютера для личных дел.
Источник: https://habr.com/ru/company/kaspersky/blog/533028/


Интересные статьи

Интересные статьи

Маркетплейс – это сервис от 1С-Битрикс, который позволяет разработчикам делиться своими решениями с широкой аудиторией, состоящей из клиентов и других разработчиков.
Примечание от переводчика: Rust относительно молодой язык программирования, и на этом этапе развития всегда интересные опыты практического применения. Известно, что Intel, DropBox, Amazon, Fa...
22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванов...
Какие риски мы берем на себя, устанавливая систему «умный дом»? Ту, что рулит лампочками и чайником с приложения на смартфоне, внутри локальной сети и удаленно. Если на умную систему завязана без...
Вышел четвертый выпуск подкаста Habr Weekly. Обсудили поездку Коли в Тайвань на Computex, бета-версии софта от Эппл, диету Дурова, конфликт BadComedian и Kinodanz и то, как китайский программист ...