Расследуя деятельность криминальной группы, промышляющей BEC-атаками, эксперты Agari заметили, что несколько членов ОПГ запустили собственную мошенническую схему, упростив ее реализацию с помощью одной из легитимных возможностей Gmail. Пользуясь тем, что почта Google игнорирует точки в имени ящика, они создали 56 вариантов своего адреса @gmail и, раздобыв личные данные ряда лиц, от их имени оформляли онлайн-заявки на открытие кредитного счета, получение социальных выплат и возврат переплаты по налогам. Одному из участников этой аферы удалось таким образом подать в один и тот же банк 22 поддельных заявки на выдачу кредитной карты и совокупно получить в свое распоряжение $65 тыс.

Согласно Google, для владельца почтового ящика работают все версии его адреса с точками. Так, аккаунт ivan.durak@gmail.com будет собирать все письма, которые приходят на ivandurak@gmail.com, iv.an.du.rak@gmail.com и так далее. Эта возможность и прельстила мошенников: им достаточно было зарегистрировать один Gmail-ящик, чтобы туда начали стекаться все ответы на заявки, оформленные с использованием адресов-клонов.

Расследование показало, что в 2018 году аферисты с помощью столь нехитрого трюка обманули ряд организаций:

  • Четыре американских банка одобрили 48 мошеннических заявлений на открытие кредита.
  • Через электронную систему для подачи налоговых деклараций было оформлено 13 фальшивых заявок на налоговые вычеты.
  • Около 20 эпизодов мошенничества были связаны с социальным страхованием и пособиями по безработице.
  • В 14 случаях преступники использовали пробные аккаунты некоего коммерческого сервиса, чтобы собрать данные для BEC-атак, и 12 раз подавали заявление о смене физического почтового адреса.

Специалисты указывают, что централизованный контроль всех поддельных аккаунтов значительно ускорил действия мошенников и, следовательно, повысил их эффективность. Объединение множества адресов в основном ящике упрощает злоумышленникам масштабирование операций. Они могут замкнуть на нем неограниченное количество кампаний без необходимости авторизоваться в каждом аккаунте электронной почты отдельно.

Эксперты вспомнили еще несколько особенностей Gmail, которые можно использовать таким же образом. Например, сервис Google игнорирует любые добавления к основному адресу, если они идут за знаком плюса: ivan@gmail.com может получать почту ivan+durak@gmail.com. Туда же отправится письмо с адресом получателя ivan@googlemail.com — с этого менее известного домена письма автоматически переадресуются на gmail.com. Эти недочеты злоумышленники могут взять на вооружение в недалеком будущем.

Разработчики Gmail позиционируют такие возможности как дополнительное удобство для пользователя, однако ИБ-эксперты склонны считать их потенциальной уязвимостью. По их мнению, подобные усовершенствования создают благодатную почву для злоупотреблений, если их вводить на отдельных сервисах, а не в масштабах всего Интернета. Исследование Agari лишний раз подтвердило эти опасения.

В отсутствие реакции Google пользователям советуют обращать особое внимание на письма, связанные с финансовыми операциями. Владельцам онлайн-сервисов во избежание злоупотреблений рекомендуется отслеживать случаи использования множества точек в именах недавно созданных Gmail-аккаунтов.

Категории: Мошенничество, Уязвимости