Новая схема социальной инженерии по электронной почте нацелена на корпоративные почтовые ящики сотрудников. Она заставляет открыть PDF-документ и в результате приводит к хищению учётных данных Dropbox.
Компания Forcepoint, занимающаяся кибербезопасностью, недавно опубликовала исследование масштабной фишинговой кампании, замеченной в реальной среде. Схема развивается по нескольким этапам: злоумышленник отправляет сотруднику электронное письмо, в котором просит открыть PDF-файл для ознакомления с каким-то запросом на заказ.
Открыв PDF, человек видит ссылку на вход в систему, визуально очень похожую на официальный сайт Dropbox. Получателю предлагают ввести рабочий адрес электронной почты и пароль, чтобы ознакомиться с заказом, обещая, что после входа ответ будет автоматически отправлен отправителю письма. Однако это поддельная страница и все введённые данные попадают к злоумышленнику.
Особенность этой кампании в том, что в ней отсутствует традиционное вредоносное ПО. Ни PDF, ни электронное письмо, ни сайт не содержат вирусов: конечной целью является именно кража логинов и паролей. Такое отсутствие явных признаков заражения делает схему более изощрённой и сложной для обнаружения системами безопасности.
Почему эта фишинговая атака работает
PDF в письме содержит простое сообщение и ссылку, которая ведёт на второй документ, размещённый на легитимном облачном сервисе (например, на платформе Vercel). Внешне этот второй PDF кажется обычной расплывчатой формой заказа или счёта с надписью "Ваш PDF готов" и призывом "кликните здесь". Именно эта вторая ссылка ведёт к поддельной странице входа Dropbox.
Фишинговое письмо выглядит профессионально, а отправляется оно, как правило, с внутреннего корпоративного адреса, реального или подделанного. Это позволяет ему пройти проверки подлинности почты (SPF, DKIM, DMARC) и не вызвать подозрений у получателя.
Привлекательность такой тактики в том, что чистый PDF гораздо реже блокируется средствами фильтрации почты: вредоносное ПО обычно вызывает тревогу у систем защиты и может быть помещено в карантин. Минимализм атаки повышает шансы, что письмо будет доставлено и открыто.
На поддельной странице входа Dropbox реализована задержка около пяти секунд перед показом сообщения "Неверное имя пользователя или пароль". Это имитирует обычную реакцию реального сайта на неправильные данные и снижает подозрения пользователя.
Помимо логинов и паролей, злоумышленники также собирают информацию о системе пользователя и его местоположении. Все эти данные направляются на контролируемый злоумышленником Telegram-бот, что позволяет злоумышленникам планировать дальнейшие действия, от захвата аккаунта до использования в других мошеннических схемах.
Как защититься
Исследователи Forcepoint включили в свой отчёт индикаторы компрометации и отметили, что продукты компании способны обнаруживать и блокировать такую кампанию на разных этапах.
Несколько классических правил борьбы с фишингом остаются актуальными и для этой схемы:
Не открывайте вложения PDF, если вы не уверены в их происхождении.
Перед взаимодействием с вложением или ссылкой из подозрительного письма уточните его у отправителя устно или через другой канал связи.
Если вас просят срочно выполнить вход на сайт с корпоративными учётными данными, подумайте дважды и критически оцените ситуацию.
Даже если письмо кажется официальным и прошло фильтры электронной почты, будьте осторожны, злоумышленники всё чаще используют такие тактики, чтобы обойти проверки и получить доступ к корпоративным данным.
Источник: DarkReading