Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Но это все было бы лишним. Можно просто придумать доменное имя, которое не занято и очень похоже на то, от чьего имени будет происходить общение.

Для отправки сообщений злоумышленники воспользовались бесплатным онлайн-сервисом, позволяющим отправлять электронные сообщения, указывая любого, даже несуществующего отправителя, то есть вместо адреса электронной почты отправителя можно вносить совершенно любые данные. Для этих целей можно было бы использовать и send-менеджер.

Если бы злоумышленники указывали электронные адреса реально существующей организации, то при ответе на письмо ответ уходил бы официальной организации. А так при ответе на письмо ответ уходил «в никуда».

Как же злоумышленники получали ответы на свои письма, если они отправлялись «в никуда»? Все отправляемые ответы аккуратненько хранились в папке «Отправленные» того самого электронного почтового адреса, доступ к которому злоумышленники получили и с владельцем которого они переписывались.

Испытываемые чувства и выражение лица представителя потерпевшей организации, который только что осознал, что письма все это время он отправлял самому себе, автор предоставляет возможность вообразить читателю самостоятельно.

Предварительное изучение почты показало, что человек, принимающий решение по сделке, пересылал сообщения некоторым другим сотрудникам для обсуждения, но целенаправленный фишинг в данной ситуации был проведен очень точно, в результате атаки под контролем злоумышленников находились эти несколько сотрудников.

Таким образом, когда кто-то из них направлял дополнительные вопросы, он запрашивал информацию, отправляя письма «в никуда».

Как распознать, откуда все-таки пришло электронное сообщение, если написать можно откуда угодно?

Любое письмо, пришедшее в почтовый ящик, можно просмотреть, так сказать, в исходном виде. В таком виде отображается вся служебная информация о путешествии письма.

Это можно сделать в браузере и в большинстве почтовых программ, таких как Outlook, Hotmail, Google Mail (Gmail,) Yahoo Mail, America Online (AOL), mail.ru, Yandex.ru и других. Можно привести несколько из них:

— в yandex.ru в верхнем меню при открытии ссылки «…», которая при наведении подписывается как «Еще», необходимо выбрать пункт «Свойства письма»;

— в Outlook можно выделить сообщение, после чего правой кнопкой выбрать Message Options;

— в Hotmail есть меню рядом с функцией «Reply», где необходимо выбрать режим «View Message Source»;

— в Gmail также есть меню рядом с функцией «Reply», в котором можно выбрать режим «Show Original»;

— в Yahoo добраться до нужной информации можно через раздел «Control», где необходимо выбрать «View Full Headers»;

— в AOL через меню «Action» необходимо выбрать опцию «View Message Source»;

— в mail.ru в верхнем меню при открытии ссылки «Еще» нужно выбрать пункт «Служебные заголовки».

Найдя в заголовках значения X-Originating-IP или Received: from, можно обнаружить значение IP-адреса, этот IP-адрес как раз и расскажет, с какого фактически сервера было отправлено сообщение.

В этих же заголовках будут содержаться и другие значения, к примеру from= «адрес почты», но они могут не соответствовать действительности.

Механизм, когда электронные письма маскируются под официальных отправителей с использованием схожего написания реально существующего доменного имени и отправлением писем с несуществующих аккаунтов, широко используется как при кибершпионаже, так и при осуществлении обычных мошеннических действий.

По схожей схеме действовали злоумышленники из рассказанной четвертой истории в начале этой книги. Ситуация была такова, что от компании-партнера ждали выставления счета. Когда счет был получен, на указанные в счете реквизиты бухгалтером был совершен перевод.

В рассмотренной истории злоумышленники изначально обладали некоторой информацией о внутреннем распорядке потерпевшей компании — документообороте и схеме принятия решения об оплате.

Счета для оплаты поступали сначала на электронный почтовый адрес руководителя. Руководитель организации отправлял счета, которые следовало оплатить, со своего электронного адреса на электронную почту, используемую бухгалтером.

В результате проведенной фишинг-атаки злоумышленники получили доступ к электронному почтовому адресу бухгалтера.

После изучения содержимого электронного почтового адреса бухгалтера злоумышленники имели полное представление о финансовых операциях и порядке их проведения. Анализ переписки содержал все необходимые данные: откуда приходят счета, какие обычно проводятся суммы, каковы назначения платежей.

Анализ позволяет также выявить отраслевые принадлежности партнеров, наименования юридических лиц, региональное расположение организаций.

После анализа аккаунта злоумышленники установили фильтр, предназначенный для сокрытия входящих от директора организации сообщений. Таким образом, сначала присланные директором сообщения читали злоумышленники, потом злоумышленники перемещали их в папку «Входящие» и помечали как новое.