Security Week 51: почтовые атаки с lookalike-доменов

Security Week 51: почтовые атаки с lookalike-доменов
Эксперты «Лаборатории Касперского» подробно разбирают одну из атак на корпорации с использованием lookalike-доменов — когда фишинговый e-mail отправляется с домена, на одну букву отличающегося от настоящего. Такой подход со стороны атакующего оказывается чуть выгоднее традиционного спуфинга, когда адрес отправителя просто подделывается. Современные технологии аутентификации входящей почты, такие как SPF, DKIM и DMARC, достаточно надежно идентифицируют откровенные подделки. Письмо с lookalike-домена содержит все необходимые цифровые подписи и может пройти фильтры. Такая атака рассматривается в рамках общего явления, известного как Business E-Mail Compromise : это не широкомасштабная рассылка «наудачу», а скорее целенаправленная попытка взломать инфраструктуру компании, похитить деньги через отправку правдоподобного инвойса и так далее.

119106b8108e6262120c202a71505b9f.png
Соответственно, срок жизни таких атак небольшой. В 73% случаев поддельные домены активны в течение одного дня и используются для отправки небольшого числа сообщений, а то и вовсе единственного, в адрес заранее определенной жертвы. Анализ атак с применением lookalike-доменов показывает, что в 2020 году чаще всего они были ориентированы на компании, занятые в области электронной коммерции (доставка продуктов, интернет-магазины, продажа авиабилетов и тому подобное). На втором месте IT-сервисы, далее следуют промышленное производство и розница. В прошлом году расклад был другим: относительно «дорогая» (с точки зрения временных затрат на предварительную разведку, но не технологий) атака угрожала в первую очередь корпорациям в финансовой индустрии.

8191d2450c5b9381367e8066e5e37d79.png
Крупные компании вкладывают в защиту от атак с доменов с лишними (недостающими, перепутанными) буквами определенные усилия: чаще всего это превентивная регистрация всех похожих доменов. У этого подхода есть понятный недостаток: вариантов доменов много, а в большой организации поддельное письмо может прийти не только с «собственного» lookalike-адреса, но и с адресов, похожих на контакты подрядчиков. Второй метод — добавление lookalike-доменов в черный список, что чревато опечатками и блокировкой легитимных сообщений. В исследовании предлагается метод защиты с использованием современного антиспам-решения. Оно не только поддерживает актуальный список уже использованных lookalike-доменов, но и анализирует отправителя письма по определенному алгоритму. Сообщение из ранее неизвестного источника помещается в карантин, проводится анализ записей whois, отмечается время создания домена и другие параметры. Сходство адреса отправителя с регулярной корреспонденцией в комбинации с другой информацией, выявленной в ходе анализа домена, позволяет более точно отделить нормальную переписку от фишинговых атак.
515691423db6ebda77e549448f4d0279.png
В статье приведены данные подразделения ФБР и организации Internet Crime Complaint Center. Сводная статистика из отчетов за последние пять лет показывает, что ущерб от атак на электронную почту вырос в пять раз только в США. Публичные примеры успешных BEC-атак поражают масштабом при относительной «легкости» атаки. 50 миллионов долларов украдено путем рассылки счетов на оплату с домена, похожего на адрес крупного тайваньского производителя. 37 миллионов потеряла дочерняя компания Toyota. Пример чуть более тонкого мошенничества с почтой: киберпреступники подключились к переписке между двумя футбольными клубами и увели на свои счета один из траншей при трансфере игрока. Ущерб — полмилллиона долларов. Несмотря на эволюцию современных методов общения (мессенджеры и телеконференции), электронная почта остается активно используемым и не менее регулярно атакуемым деловым инструментом.

Что еще произошло

Серьезная уязвимость обнаружена в медицинских устройствах, в частности аппаратах МРТ и рентгенографии производства GE. Данной техникой управляет компьютер с ОС на базе Unix, к которому производитель может подключаться для проведения обслуживания. Логины и пароли для подключения дефолтные и не могут быть изменены эксплуатирующей организацией. Пока их принудительно не поменяет обслуживающая компания, рекомендуется ограничить доступ к устройствам по стандартным протоколам FTP, SSH и Telnet.

Компания FireEye сообщает о взломе серверов и краже инструментов для тестирования защищенности корпоративного периметра. Иными словами, злоумышленники получили доступ к хорошо отлаженному набору «отмычек» — эксплойтов к разного рода уязвимостям в ПО и сетевой инфраструктуре. Помимо публичного раскрытия информации, компания также выложила на Github набор правил, позволяющих определить и заблокировать атаки с использованием украденного ПО.

Еще одна публикация «Лаборатории Касперского» по итогам 2020 года исследует новые привычки удаленных работников и связанные с этим угрозы. Атаки на сотрудников в этом году принципиально не изменились, но уязвимых мест в корпоративной инфраструктуре стало больше. Один из примеров в исследовании: широкое использование на удаленке домашних компьютеров и персональных учетных записей — чаще всего это аккаунты в почте и мессенджерах — для рабочих задач. Или наоборот — использование рабочего компьютера для личных дел.
bec e-mail lookalike
Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.