Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Продолжаем разоблачать фокусника. Почтовые сервисы предоставляют возможности по фильтрации входящей корреспонденции, то есть устанавливать правила по осуществлению автоматических операций с входящими электронными сообщениями.

Посмотрим, как злоумышленники могут использовать данную функцию на практике.

В начале книги было приведено несколько коротких историй типичных киберпреступлений. В одной истории, когда зарубежный поставщик оборудования рассказал, что российская компания перестала обсуждать условия поставки и вообще отказалась от сделки, мы имеем дело с классическим внедрением в переписку.

Для понимания всей схемы вспомним ситуацию. Крупная российская компания какое-то время вела переговоры с зарубежным изготовителем по приобретению и поставке некоего технического оборудования, а после оплаты денежных средств товар поставщиком доставлен не был и выяснилось, что поставщик денежных средств не получал, да и переговоры давно прервались по инициативе покупателя.

Как же развивались события?

Представитель компании-покупателя, несчастный владелец электронной почты, получает однажды письмо от одного из рассматриваемых поставщиков, содержащее специальное предложение по интересующему оборудованию. В письме содержится ссылка на файл, при загрузке которого владелец электронного адреса почему-то дополнительно авторизовался и спокойно продолжил свою деятельность. Таким образом, злоумышленник получает пароль. Как уже понятно, пароль был получен в результате классической фишинг-атаки, механика которой рассматривалась в первой главе.

В некоторый момент злоумышленник, получив доступ к электронному адресу представителя российской компании, стал изучать его содержимое и историю переписки. Вполне допускаем, что злоумышленнику уже было известно о том, что с использованием именно этой учетной записи ведется обсуждение стоимости и условий поставки недешевого оборудования. Как говорится, действовал по наводке.

Как могли дальше развиваться события? Получить доступ к электронному адресу — это одно, но вести переписку от имени существующей организации — совсем другое дело.

Для осознания ситуации необходимо привести немного теории.

Предположим, пользователь отправит письмо адресату, адрес электронной почты которого вообще не существует в природе, например [email protected]. Письмо будет отправлено, его копия поместится в папку почтового ящика «Отправленные».

Затем пользователю во входящую папку придет письмо «MAILER-DAEMON», так называемое «возвращенное письмо», также известное как Non-Delivery Report (NDR), Delivery Status Notification (DSN), Non-Delivery Notification (NDN), bounce message (от англ. bounce — отражение, рикошет и message — сообщение).

Это письмо сообщает, что письмо было отправлено на почтовый ящик, который недоступен, не существует, или сервер сообщает о другой ошибке, по причине которой не смог доставить данное письмо до адресата.

Злоумышленник в рассматриваемой истории методом фишинг-атаки получил пароль, а следовательно, доступ к электронному почтовому адресу представителя отечественной компании, осуществляющего выбор поставщика.

Затем злоумышленник написал от имени компании письмо с отказом о сотрудничестве с зарубежным поставщиком, заблокировал поступающие от него электронные сообщения.

Впоследствии для переписки злодей использовал несуществующий адрес электронной почты, и каждый раз, когда пользователь (жертва) отвечал на письмо злоумышленника, закономерно на почтовый ящик поступало сообщение «MAILER-DAEMON».

Для того чтобы эти странные письма «MAILER-DAEMON» не раздражали владельца почтового ящика, злоумышленник открыл настройки почтового ящика и воспользовался опцией блокировки (рис. 3.1).

Рис. 3.1.Блокированные фильтром электронные адреса в интерфейсе электронного почтового адреса

Фильтр блокировал получение владельцем почтового ящика сообщений «MAILER-DAEMON», что позволяет скрыть тот факт, что пользователь почтового ящика, совершая переписку, отправляет свои сообщения несуществующим адресатам.

Но ведь в электронном почтовом ящике были сообщения несуществующего собеседника, электронный почтовый адрес которого идентичен официальному зарубежному поставщику оборудования?

Конечно, и даже ни одного, а от менеджера, юридического отдела и отдела логистики, только в доменном имени всех этих собеседников была заменена всего одна буква. К примеру: manager@cyberfishing.ru — это реальный адрес менеджера зарубежной компании, а [email protected] (заменили букву «п» на «г» в конце имени) — это адрес, использованный мошенниками после внедрения в переписку.

Для проведения мошеннических действий злоумышленникам можно было бы купить похожее доменное имя, разместить его на зарубежном абузоустойчивом хостинге, настроить на нем сервер электронный почты и вести переписку через него.