Piksel śledzący w służbie cyberprzestępcom

Cyberprzestępcy wykorzystują narzędzie marketingowe do gromadzenia informacji.

Atakujący zwykle starannie przygotowują swoje ataki na pocztę firmową (ang. Business E-mail Compromise, BEC). Gdy chcą podszyć się pod kogoś, kto ma możliwość zlecenia przelewu lub wysyłania informacji poufnych, ich wiadomość musi w jak największym stopniu wyglądać na oryginalną. Tu znaczenie ma każdy szczegół.

Ostatnio wzięliśmy na warsztat dość ciekawy przykład wiadomości e-mail, która miała na celu rozpoczęcie korespondencji z pracownikiem pewnej firmy.

Treść jest stosunkowo krótka i bez jałowa. Atakujący daje wyraźnie do zrozumienia, że — jako nadawca — jest w trakcie spotkania, więc inny kanał komunikacji nie wchodzi w grę. Taki zabieg ma na celu zniechęcenie odbiorcy do sprawdzenia, czy naprawdę pisze on z osobą, której imię pojawia się w podpisie. Atakujący nie próbuje ukryć faktu, że e-mail został wysłany z publicznej usługi poczty e-mail, co może sugerować, że wiedział o takiej praktyce.

Naszą uwagę przykuło coś jeszcze: podpis „Wysłane z mojego iPhone’a”. Podpis ten jest domyślnie dołączany do wiadomości wysyłanych przez aplikację poczty w systemie iOS, jednak nagłówki techniczne zdradzają, że wiadomość została wysłana za pośrednictwem interfejsu sieciowego, a dokładniej z przeglądarki Mozilla.

Dlaczego atakujący próbował sprawić, aby e-mail wyglądał tak, jakby został wysłany ze smartfonu firmy Apple? Być może w ten sposób chciał sprawić, aby wiadomość wyglądała na bardziej wiarygodną. Ataki BEC najczęściej pochodzą rzekomo od kolegi z pracy, a w tym przypadku jest duża szansa, że odbiorca wiedział, że osoba, pod którą się podszywa, używa takiego właśnie urządzenia.

Zatem przestępca musiał wiedzieć, co robi. Jak to możliwe? Wystarczy krótki rekonesans za pomocą tzw. piksela śledzącego, znanego również pod nazwą tagu pikselowego.

Czym jest piksel śledzący i w jakim celu jest on używany

Ogólnie firmy, które wysyłają masową pocztę do klientów, partnerów czy czytelników — a robi tak niemal każda organizacja — chce znać poziom zaangażowania odbiorców. Wiadomości e-mail mają wbudowaną opcję wysyłania potwierdzeń ich przeczytania, ale odbiorcy muszą wyrazić na to zgodę (większość ludzi odmawia). Dlatego sprytni marketingowcy wymyślili piksel śledzący.

Jest to to maleńki obrazek o rozmiarze jeden piksel na jeden piksel. Jest on niewidoczny dla ludzkiego oka i „żyje” na stronie internetowej. Gdy aplikacja klienta poczty e-mail zażąda go od tej strony, nadawca, który kontroluje tę stronę, otrzymuje nie tylko potwierdzenie, że wiadomość została otwarta, ale także adres IP urządzenia odczytującego, czas otwarcia e-maila oraz informacje o użytym programie. Czasami można zauważyć, że klient poczty e-mail nie wyświetla obrazów, dopóki nie kliknie się łącza służącego do pobrania ich. Nie chodzi tu o zwiększenie wydajności ani ograniczenie ruchu; automatyczne pobieranie obrazu są zwykle domyślnie wyłączone ze względów bezpieczeństwa.

W jaki sposób cyberprzestępca może wykorzystać piksel śledzący?

Oto jeden ze scenariuszy: podczas pobytu za granicą dostajesz na swoją firmową skrzynkę wiadomość, która wydaje się, że jest związana z pracą. Gdy uświadomisz sobie, że to coś innego, zamykasz ją i usuwasz, ale w ten sposób atakujący wie już, że:

  • Jesteś w innym kraju — zdradza to adres IP. A skoro tak, to Twój kontakt osobisty ze współpracownikami jest utrudniony, przez co łatwiej jest się pod Ciebie podszyć.
  • Używasz iPhone’a (wiadomość została otwarta za pomocą aplikacji Mail w systemie iOS), więc dodanie podpisu „Wysłane z mojego iPhone’a” zwiększa wiarygodność fałszywej wiadomości.
  • E-mail został odczytany o godzinie 11. Taka informacja sama w sobie nie jest istotna, ale jeśli regularnie odczytujesz wiadomości o tej porze, cyberprzestępcy będą w stanie ustalić Twój plan dnia i zaplanować atak tak, aby miał odbył się on wtedy, gdy zwykle jesteś niedostępny.

Jak ochronić się przed takim działaniem?

Trudno jest unikać śledzenia; nie oznacza to jednak, że należy ułatwiać życie cyberprzestępcom. Według nas można na przykład trzymać się poniższych zasad:

  • Jeśli klient poczty e-mail zachęca Cię do „kliknięcia tutaj, aby pobrać obrazy”, oznacza to, że zawartość wizualna została zablokowana, aby chronić Twoją prywatność. Zastanów się, zanim się zgodzisz. Może i bez tych obrazów wiadomość e-mail wygląda nieładnie, ale zgadzając się na pobranie ich, ujawniasz informacje o sobie i swoim urządzeniu osobom obcym.
  • Nie otwieraj e-maili, które trafiają do folderu spamowego. Dzisiejsze filtry są bardzo dokładne, szczególnie jeśli Twój serwer pocztowy jest chroniony przy użyciu naszej technologii.
  • Podczas otwierania masowych wiadomości biznesowych zachowaj ostrożność. Czymś innym jest dobrowolne zapisanie się do informacji związanych z firmą, ale czymś innym, gdy e-mail jest wysłany od firmy, której nie znasz. Wówczas lepiej jest jej nie otwierać.
  • Korzystaj z niezawodnych rozwiązań, które stosują zaawansowane filtry spamu i chronią przed phishingiem.

Zarówno Kaspersky Total Security for Business (komponenty Kaspersky Security for Microsoft Exchange Servers, Kaspersky Security for Linux Mail Server oraz Kaspersky Secure Mail Gateway), jak i Kaspersky Security for Microsoft Office 365 zawierają technologie chroniące przed spamem i phishingiem.

Porady