«Ваш пароль истекает» (на самом деле нет). Microsoft объясняет, почему нельзя верить даже письмам от собственного HR

Иногда самое опасное фишинговое письмо выглядит так, будто его отправил ваш коллега из соседнего кабинета. Именно на это сейчас делают ставку злоумышленники, которые научились обходить защиту в некоторых конфигурациях почты Microsoft 365 и рассылать письма, выглядящие как внутренние, от имени домена самой организации.

По данным Microsoft Threat Intelligence, атакующие используют ситуации со сложной маршрутизацией почты и слабо настроенной защитой от подмены отправителя. Такой сценарий встречается, когда MX-запись домена ведёт не напрямую в Microsoft 365, а сначала, например, в локальный Exchange или во внешний сервис, и только потом письма попадают в облако. В образовавшейся «дыре» проверки спуфинга могут срабатывать нестрого, чем и пользуются фишеры: они отправляют письма с подставным адресом, который совпадает с доменом жертвы, и получатель видит сообщение как будто изнутри компании, иногда даже с одинаковыми адресами в полях To и From.

Microsoft отмечает рост применения этой тактики с мая 2025 года в оппортунистических кампаниях против организаций из разных отраслей. Чаще всего такие рассылки ведут на страницы кражи учётных данных и связаны с платформами phishing-as-a-service (PhaaS), в первую очередь с набором Tycoon 2FA. В октябре 2025 года Microsoft заблокировала более 13 миллионов вредоносных писем, связанных с Tycoon 2FA. PhaaS-платформы упрощают жизнь преступникам: они предлагают готовые шаблоны, инфраструктуру и инструменты для перехвата учётных данных, включая схемы adversary-in-the-middle (AitM), которые помогают обойти многофакторную аутентификацию.

Тематики приманок у таких писем максимально «офисные» и правдоподобные: голосовые сообщения, «общие документы», уведомления от HR, сброс пароля или предупреждение о его скором истечении. Отдельно Microsoft описывает финансовые сценарии, где поддельные письма подталкивают сотрудников оплатить фиктивные счета. Сообщение может быть оформлено как продолжение переписки с «гендиректором», «бухгалтерией» или «подрядчиком», а доверие усиливается вложениями: фальшивый инвойс на крупную сумму, форма W-9 с данными человека, на которого оформлен счёт, и поддельное письмо «из банка», якобы подтверждающее реквизиты.

Последствия типичные для «удачного» фишинга, но от этого не менее болезненные: утечка учётных данных, дальнейшая компрометация почты и документов, а затем и бизнес-компрометация переписки (BEC) с реальными денежными потерями. При этом Microsoft подчёркивает важную деталь: если MX-запись домена указывает напрямую на Office 365, такая схема подмены через сложную маршрутизацию не срабатывает.

В качестве защиты Microsoft рекомендует ужесточить базовые настройки аутентификации почты и маршрутизации: включить строгие политики DMARC с режимом reject, настроить Sender Policy Framework (SPF) на жёсткий отказ (hard fail), внимательно проверить коннекторы для сторонних сервисов вроде антиспама или архиваторов и, если функция Direct Send не нужна, отключить её, чтобы отсекать письма, подделывающие домены организации.