Каждый, у кого есть электронная почта, скорее всего, получает тысячи спам-писем, похожих на извещения о доставке, счета или другие сообщения, якобы исходящие от транспортных компаний вроде UPS или DHL. Обычно подобные письма содержат вредоносные вложения с эксплойтами уязвимостей браузеров или плагинов, но исследователь из Кембриджского университета натолкнулся на весьма интересный вариант спам-письма, использующий нестандартный метод атаки.

Электронное письмо, полученное Ричардом Клейтоном (Richard Clayton) из службы компьютерной безопасности университета, было весьма убедительной подделкой письма от DHL. В нем присутствовал корректный логотип и, что удивительно для подобного рода писем, отсутствовали грамматические и стилистические ошибки. Злоумышленники сообщали, что на имя получателя якобы пришла посылка и хранится она в местном почтовом отделении, а ему требуется скачать и открыть вложение.

В большинстве случаев подобные письма содержат документ Word или файл в формате PDF с внедренным в него эксплойтом известных, а в редких случаях и 0-day-уязвимостей, но в данном случае все было иначе. При открытии PDF-файл представляется в виде размытого текста, а жертве сообщают, что документ «защищен» и ей следует пройти по специальной ссылке, дабы увидеть файл целиком.

«Мои ожидания увидеть на данном этапе хоть какое-то проявление зловреда вновь не оправдали себя: ссылка привела на типичный сайт-подделку DHL, на котором жертва должна ввести свои учетные данные. На практике подобные сайты обычно используются для сбора адресов электронной почты и паролей к ящику, так что они скорее используются для атак на почтовые сервисы, чем на DHL», — гласит запись в блоге Клейтона.

Для обычной фишинговой атаки все было слишком сложно. Но поскольку пользователи и почтовые системы безопасности стали эффективнее различать фишинговые письма, преступникам пришлось подстроить свои тактики под новые реалии. Сейчас гораздо больше усилий уходит на то, чтобы письмо смогло пройти через системы фильтрации и попало в руки пользователя, где оно уже сможет нанести какой-либо ущерб.

«В наше время почтовый провайдер в лучшем случае просто проведет проверку правильности формирования PDF-файла и убедится в отсутствии известных вредоносных элементов (в худшем случае письмо просто проигнорируют и пропустят дальше). Таким образом, присутствие URL-ссылки не будет обнаружено, а письмо будет доставлено», — пишет Клейтон.

«Разумеется, если фишинговый сайт был занесен в черный список, браузер (или панель инструментов) выдаст пользователю предупреждение, но оно может оказаться запоздалым, ибо пользователь, скорее всего, уже настроился просмотреть «защищенный документ» вопреки всему (вспомните хоть бы мою недавнюю запись в блоге о большом количестве людей, проигнорировавших предупреждение Microsoft)», — добавляет эксперт.

Фальшивое письмо от DHL также содержит строку, в которой получателя призывают перенести письмо в папку входящих, если оно вдруг попало в папку спама. Многие легитимные письма содержат подобные указания, но в данном случае это не просто очередной прием. Подобным образом атакующий может обмануть систему фильтрации электронных писем, заставив ее начать доверять отправителю. Если пользователь перенесет письмо из папки спама во входящие, то система фильтрации посчитает, что помещение письма в спам было ошибочным.

Категории: Другие темы