Невидимая подмена: почему даже бдительные пользователи не отличат фейк от настоящего письма

Утром вы открываете почту и видите письмо от вашего банка. Адрес отправителя — точь-в-точь, как у настоящего, логотип, стиль, подпись. Никаких подозрительных доменов с одной лишней буквой. Вы нажимаете на ссылку — и теряете деньги. Это не ошибка и не ваша невнимательность. Это новая схема массового фишинга, которая позволяет отправлять письма с настоящими адресами реальных компаний. Инструмент уже продаётся в даркнете, и, по заверению создателей, с его помощью уже удалось похитить деньги у нескольких организаций. Как работает эта технология, почему она обходит стандартные проверки и что делать, чтобы не стать жертвой?


Новый инструмент в даркнете: фишинг на потоке

В даркнете начали распространять сервис для подмены отправителя и массовых рассылок — об этом «Известиям» сообщили эксперты BI.ZONE Threat Intelligence. В теневых Telegram-каналах активно рекламируется платформа для спуфинга — технологии, позволяющей проводить фишинговые атаки с использованием чужого адреса. Жертва получает письмо, где в строке «Отправитель» указан настоящий email легитимной организации.

Новая платформа позволяет заменить его на любой другой. Так, по утверждению создателей инструмента, с его помощью уже были похищены деньги у нескольких финансовых бирж. Для этого атакующие рассылали письма с жалобами на якобы ошибочные операции и просили вернуть деньги. По утверждению создателей сервиса, такие обращения были удовлетворены, а средства получили мошенники. Письма при этом отправлялись от имени двух банков.

При этом добросовестные организации не несут ответственности за неправомерное использование их названий в преступных целях и причиненный в результате ущерб.

«Разработчики платформы подчеркивают, что не регистрируют поддельные доменные имена, которые похожи на настоящие, но отличаются на один малозаметный знак, цифру, символ, — добавили специалисты. — В качестве еще одного важного преимущества они указывают возможность обхода DKIM- и SPF-проверок на стороне получателя — специальных инструментов защиты электронной почты, основанных на списках доверенных адресов и цифровом идентификаторе отправителя».

Почему эта атака особенно опасна

Новый инструмент опасен тем, что позволяет создавать крайне правдоподобные фишинговые письма, подчеркнул руководитель BI.ZONE Threat Intelligence Олег Скулкин.

«Даже очень бдительные пользователи не смогут самостоятельно отличить их от подлинных, поскольку для подмены используются настоящие домены реальных известных компаний, — отметил он. — Кроме того, злоумышленники используют автоматический парсинг изображений, чтобы сделать визуальное оформление своих писем максимально достоверным».

Спуфинг — не новая история, но за последние годы он превратился в развитую индустрию, рассказал аналитик направления аналитических исследований Positive Technologies Дмитрий Стрельцов. На подпольных форумах сформировалась полноценная экосистема Phishing as a Service (PhaaS), где платформы продаются по подписке и также предоставляется техподдержка.

«Главная опасность — человек не может распознать угрозу визуально, — сказал эксперт. — Он видит знакомый адрес банка, регулятора или партнера, привычный фирменный стиль, корректный текст — и далее выполняет инструкцию. Именно поэтому такие атаки эффективны: человек убежден, что имеет дело с реальным отправителем».

Как работает теневой рынок фишинга

Теневой рынок активно превращается в сервисную модель: злоумышленники продают не просто инструменты, а готовые кейсы «под ключ», отметил проджект-менеджер ГК Softline (MD Audit) Кирилл Лёвкин. Помимо спуфинга, популярны phishing-as-a-service — это конструкторы фишинговых страниц с автоматическим сбором данных. Отдельный тренд — использование ИИ: генерация убедительных писем, дипфейки голоса для атак типа vishing, автоматизация переписки с жертвой.

«Также развиваются инструменты для компрометации бизнес-процессов, которые помогают долгое время незаметно вести переписку от имени сотрудника, — отметил Кирилл Лёвкин. — Интересный и особенно опасный класс — это механизмы для кражи сессионных файлов cookie и токенов, позволяющие обходить даже многофакторную аутентификацию. В целом рынок движется в сторону снижения порога входа: сложные атаки становятся доступны практически любому, кто готов заплатить».

Годами пользователи привыкали защищаться от понятных угроз — не кликать на подозрительные ссылки, не скачивать файлы с незнакомых сайтов, не вводить пароли где попало, напомнил Дмитрий Стрельцов.

«Опасность самостоятельного выполнения команд при этом оставалась вне поля зрения — именно это и взяли на вооружение злоумышленники, — добавил он. — Техника ClickFix построена на социальной инженерии: пользователя разными способами подталкивают к тому, чтобы он сам запустил заражение своего устройства. В роли приманки может выступать поддельная CAPTCHA, инструкция по открытию файла, уведомление об обновлении программы или сообщение об ошибке на странице».

Как не стать жертвой: рекомендации экспертов

Если платформа позволяет обходить DKIM и SPF-проверки, она действительно способна помочь пройти часть спам-фильтров и несколько повысить эффективность скам-рассылок, полагает основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.

«Однако она не решает другую проблему фишинговых писем — ссылки внутри сообщения всё равно могут вести на сторонние сайты, а не на официальный ресурс отправителя. Из-за этого такие письма по-прежнему могут попадать в спам, — сказал эксперт. — При этом возможность обхода DKIM-проверок выглядит сомнительно: в последние месяцы не было сообщений о новых уязвимостях этой технологии».

По словам Олега Скулкина, защита от таких атак строится на анализе отправителя и связанных с ним технических параметров. Почтовые системы оценивают домен, репутацию источника и другие признаки, указывающие на возможную подделку.

«Злоумышленники используют не только спуфинг, но и легитимные сервисы: облачные платформы, веб-формы, файловые хранилища и доверенные домены, — добавил эксперт. — Письма, отправленные через такую инфраструктуру, могут успешно проходить базовые проверки и не вызывать подозрений».

Поэтому стратегия защиты должна включать анализ содержания письма. Системам безопасности важно учитывать не только технические индикаторы, но и особенности самого сообщения: манипулятивные формулировки, призывы к срочным действиям, логические несоответствия и другие нетипичные элементы.

Выявлять подобные атаки помогают ИИ-модели, способные анализировать смысл, контекст и поведение отправителя. Однако компаниям важно не только совершенствовать защитные механизмы, но и обучать сотрудников распознавать опасные письма: поддельные счета, запросы на оплату, уведомления и другие попытки ввести получателя в заблуждение.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *