Ваша почта слишком доверчива. Рассказываем, как Apple (случайно) помогает вас грабить

Мошенники нашли способ рассылать письма от имени Apple и PayPal так, что даже почтовые фильтры считают их полностью подлинными. Речь уже не про грубые подделки и фишинговые шаблоны. Злоумышленники начали использовать настоящие счета и уведомления от крупных сервисов, превращая официальные механизмы в инструмент обмана.

Специалисты компании INKY зафиксировали серию атак, в которых используются легальные письма от Apple, PayPal, DocuSign и HelloSign. Эти сервисы позволяют пользователю при создании счета или уведомления вписать имя продавца или произвольный комментарий. Этим и пользуются злоумышленники. Они добавляют туда текст мошеннического сообщения и номер телефона, после чего отправляют счет на подконтрольный себе адрес. В результате сервис формирует настоящее служебное письмо с уже встроенным вредоносным содержимым.

Такое сообщение создается и подписывается самой платформой. Оно проходит криптографическую проверку подлинности почты и контроль домена отправителя. После этого злоумышленник просто пересылает письмо жертвам без изменений. Для почтовых систем оно выглядит настоящим, проверки подлинности проходят успешно, предупреждений почти нет.

Этот прием называется повторной отправкой DKIM подписанного письма. Суть в том, что берется подлинное сообщение с цифровой подписью домена и рассылается повторно другим получателям. Так как заголовки и тело письма не меняются, подпись остается действительной. Проверка подлинности домена тоже завершается успешно, даже если фактически письмо доставил уже не исходный сервис, а посторонний отправитель.

Механизм работает из-за особенностей почтовой защиты. Цифровая подпись DKIM подтверждает, что содержимое письма не менялось после отправки. Политика проверки домена отправителя считает письмо надежным, если подпись совпадает с адресом в поле отправителя. При пересылке сервер злоумышленника не входит в разрешенные серверы отправки, поэтому одна из проверок может дать сбой. Но если цифровая подпись верна, итоговая проверка все равно засчитывается.

В одной из схем злоумышленники оформили подписку в магазине приложений Apple и в поле имени учетной записи добавили фразу с предложением срочно позвонить по указанному номеру. Система Apple автоматически включила этот текст в письмо с подтверждением подписки и подписала его своей цифровой подписью. После пересылки жертве сообщение выглядело как обычное уведомление магазина. Единственный подозрительный признак был в тексте обращения с навязанным номером телефона. Позвонив по нему, человек попадал к мошенникам, которые пытались выманить платежные данные и личную информацию или убедить установить программу удаленного доступа.

Похожим образом используется и PayPal. Нападающий создает счет или спор по операции и вставляет мошеннический текст в поле имени продавца. Сервис отправляет официальное письмо с уведомлением и цифровой подписью домена. Затем это письмо пересылается жертвам. Так как оно пришло с реального домена PayPal и прошло проверки, многие фильтры пропускают его во входящие. Получатель видит тревожное уведомление о спорной операции и номер телефона, по которому предлагают срочно связаться.

Обычные средства почтовой защиты часто не останавливают такие письма, потому что они не поддельные технически. Они действительно созданы и подписаны доверенным сервисом. Проблема возникает из-за того, что в письмо попадает текст, который ввел сам пользователь, без строгой проверки содержимого.

Специалисты советуют внимательнее смотреть на служебные поля письма и проверять, кому оно изначально было адресовано. Если адрес получателя в заголовках не совпадает с вашим, это может быть признаком пересылки. Также стоит настороженно относиться к любым номерам телефонов в неожиданных уведомлениях об оплате или проблемах с учетной записью. Крупные сервисы обычно предлагают зайти в личный кабинет на официальном сайте, а не звонить по номеру из письма.