Phishing poprzez usługi z zakresu e-mail marketingu

Aby ominąć technologie chroniące przed phishingiem, oszuści mogą używać legalnych dostawców usług pocztowych — ale niebezpiecznych wiadomości nie można powstrzymać.

Przez wiele lat oszuści używali różnych sztuczek, dzięki którym mogli omijać technologie antyphishingowe. Inny skuteczny schemat dostarczania ofiarom łączy phishingowych polega na wykorzystaniu usług z zakresu e-mail marketingu, znanych również jako dostawców usług e-mail (ESP) — czyli firm, które specjalizują się w dostarczaniu newsletterów za pośrednictwem poczty e-mail — do wysyłania wiadomości. Według statystyk wskazywanych przez nasze rozwiązania metoda ta staje się coraz popularniejsza.

Dlaczego phishing wykorzystujący dostawców ESP działa

Firmy, które poważnie traktują zagrożenia e-mail, skrupulatnie skanują całą pocztę — silnikami chroniącymi przed wirusami, phishingiem i spamem — zanim wiadomości dotrą do skrzynek odbiorczych użytkowników. Silniki te nie tylko skanują zawartość, nagłówki i łącza w wiadomościach, ale także sprawdzają reputację nadawcy i wszelkie powiązane strony internetowe. Werdykty oceniające zagrożenie są wypadkową tych czynników. Na przykład jeśli masowa poczta pochodzi od nieznanego nadawcy, wygląda podejrzanie, do algorytmów bezpieczeństwa wysyłane jest ostrzeżenie.

Jednak atakujący znaleźli obejście tej sytuacji: wysyłanie wiadomości e-mail w imieniu zaufanego podmiotu. Usługi marketingowe realizowane poprzez pocztę e-mail zapewniają pełne zarządzanie newsletterami i spełniają się w tej roli idealnie. Są znane, wielu producentów rozwiązań bezpieczeństwa domyślnie akceptuje ich adres IP, a niektóre nawet pomijają kontrolę wysłanych przez nie wiadomości.

W jaki sposób wykorzystywani są dostawcy ESP

Główny wektor ataku jest oczywisty: to phishing podszywający się pod legalnie wysyłane wiadomości e-mail. Cyberprzestępcy stają się klientami wybranej usługi, zwykle poprzez zakup minimalnej subskrypcji (kosztowne działanie nie miałoby sensu, zwłaszcza biorąc pod uwagę, że mogą szybko zostać zidentyfikowani i zablokowani).

Istnieje jednak bardziej niestandardowa opcja: używanie ESP jako hosta adresu internetowego. W schemacie tym newsletter jest wysyłany za pośrednictwem infrastruktury własnej atakujących. Na przykład cyberprzestępcy mogą utworzyć kampanię testową, która zawiera phishingowy adres internetowy, i wysłać go do siebie jako podgląd. Dostawca ESP tworzy dla tego adresu proxy, którego następnie cybeprzestępcy używają w swoim phishingowym newsletterze. Ponadto oszuści mogą również utworzyć stronę phishingową, która będzie podszywać się pod szablon wiadomości wysyłanych masowo, i dostarczyć do niego bezpośrednie łącze. Jednak takie podejście jest rzadziej spotykane.

Nowy adres proxy ma pozytywną opinię, zatem nie zostanie zablokowany; a ESP, który nie obsługuje wysyłania wiadomości, nie dostrzega niczego złego, więc nie blokuje swojego „klienta” — a przynajmniej dopóki nie zacznie otrzymywać skarg. Czasami takie schematy są wykorzystywane nawet w phishingu ukierunkowanym.

Co myślą o tym dostawcy usług e-mail?

Oczywiście nie cieszą się oni, że są narzędziami w rękach cyberprzestępców. Większość z nich ma własne technologie zabezpieczające, które skanują zawartość i łącza wiadomości, które przechodzą przez ich serwery, a niemal wszyscy udzielają wskazówek dla każdej osoby, która napotka phishing na ich stronie.

Z tego względu atakujący próbują również nie wzbudzać zainteresowania ze strony ESP. Na przykład używanie dostawcy w proxy zwykle opóźnia łącza phishingowe, zatem podczas tworzenia ich w wiadomościach testowych wydają się legalne, a szkodliwego charakteru nabierają później.

Co można zrobić

W wielu przypadkach masowo wysyłane e-maile otrzymują pracownicy firm, których adresy są dostępne publicznie — i nawet najczujniejsi z nas mogą przegapić podejrzany lub szkodliwy e-mail i kliknąć coś niepożądanego. Aby chronić pracowników przed potencjalnymi atakami phishingowymi otrzymywanymi w ramach usług marketingu e-mail, zalecamy stosowanie się do poniższych porad:

  • Poinstruuj personel, aby nigdy nie otwierał e-maili oznaczonych jako wiadomości wysyłane masowo, chyba że ktoś naprawdę zapisał się na taką listę. Takie wiadomości raczej nie mają pilnego charakteru — zwykle są to uciążliwe reklamy.
  • Korzystaj z niezawodnych rozwiązań zabezpieczających, które skrupulatnie skanują wszystkie przychodzące wiadomości e-mail za pomocą algorytmów heurystycznych.

Jeśli chodzi o nasze produkty, możesz użyć Kaspersky Security for Microsoft Office 365 i Kaspersky Security for Mail Server, który stanowi część pakietu Kaspersky Total Security for Business . Niezawodnie chronią one użytkowników przed takimi zagrożeniami.

Porady