Эксперты Лаборатории Касперского подробно
разбирают одну из атак на корпорации с использованием
lookalike-доменов когда фишинговый e-mail отправляется с домена, на
одну букву отличающегося от настоящего. Такой подход со стороны
атакующего оказывается чуть выгоднее традиционного спуфинга, когда
адрес отправителя просто подделывается. Современные технологии
аутентификации входящей почты, такие как SPF, DKIM и DMARC,
достаточно надежно идентифицируют откровенные подделки. Письмо с
lookalike-домена содержит все необходимые цифровые подписи и может
пройти фильтры. Такая атака рассматривается в рамках общего
явления, известного как
Business E-Mail Compromise: это не широкомасштабная рассылка
наудачу, а скорее целенаправленная попытка взломать инфраструктуру
компании, похитить деньги через отправку правдоподобного инвойса и
так далее.
Соответственно, срок жизни таких атак небольшой. В 73% случаев
поддельные домены активны в течение одного дня и используются для
отправки небольшого числа сообщений, а то и вовсе единственного, в
адрес заранее определенной жертвы. Анализ атак с применением
lookalike-доменов показывает, что в 2020 году чаще всего они были
ориентированы на компании, занятые в области электронной коммерции
(доставка продуктов, интернет-магазины, продажа авиабилетов и тому
подобное). На втором месте IT-сервисы, далее следуют промышленное
производство и розница. В прошлом году расклад был другим:
относительно дорогая (с точки зрения временных затрат на
предварительную разведку, но не технологий) атака угрожала в первую
очередь корпорациям в финансовой индустрии.
Крупные компании вкладывают в защиту от атак с доменов с лишними
(недостающими, перепутанными) буквами определенные усилия: чаще
всего это превентивная регистрация всех похожих доменов. У этого
подхода есть понятный недостаток: вариантов доменов много, а в
большой организации поддельное письмо может прийти не только с
собственного lookalike-адреса, но и с адресов, похожих на контакты
подрядчиков. Второй метод добавление lookalike-доменов в черный
список, что чревато опечатками и блокировкой легитимных сообщений.
В исследовании предлагается метод защиты с использованием
современного антиспам-решения. Оно не только поддерживает
актуальный список уже использованных lookalike-доменов, но и
анализирует отправителя письма по определенному алгоритму.
Сообщение из ранее неизвестного источника помещается в карантин,
проводится анализ записей whois, отмечается время создания домена и
другие параметры. Сходство адреса отправителя с регулярной
корреспонденцией в комбинации с другой информацией, выявленной в
ходе анализа домена, позволяет более точно отделить нормальную
переписку от фишинговых атак.
В статье приведены
данные
подразделения ФБР и организации Internet Crime Complaint Center.
Сводная статистика из отчетов за последние пять лет показывает, что
ущерб от атак на электронную почту вырос в пять раз только в США.
Публичные примеры успешных BEC-атак поражают масштабом при
относительной легкости атаки. 50 миллионов долларов
украдено путем рассылки счетов на оплату с домена, похожего на
адрес крупного тайваньского производителя. 37 миллионов
потеряла дочерняя компания Toyota. Пример чуть более тонкого
мошенничества с почтой: киберпреступники
подключились к переписке между двумя футбольными клубами и
увели на свои счета один из траншей при трансфере игрока. Ущерб
полмилллиона долларов. Несмотря на эволюцию современных методов
общения (мессенджеры и телеконференции), электронная почта остается
активно используемым и не менее регулярно атакуемым деловым
инструментом.
Что еще произошло:
Серьезная уязвимость
обнаружена в медицинских устройствах, в частности аппаратах МРТ
и рентгенографии производства GE. Данной техникой управляет
компьютер с ОС на базе Unix, к которому производитель может
подключаться для проведения обслуживания. Логины и пароли для
подключения дефолтные и не могут быть изменены эксплуатирующей
организацией. Пока их принудительно не поменяет обслуживающая
компания, рекомендуется ограничить доступ к устройствам по
стандартным протоколам FTP, SSH и Telnet.
Компания FireEye
сообщает о взломе серверов и краже инструментов для
тестирования защищенности корпоративного периметра. Иными словами,
злоумышленники получили доступ к хорошо отлаженному набору отмычек
эксплойтов к разного рода уязвимостям в ПО и сетевой
инфраструктуре. Помимо публичного раскрытия информации, компания
также
выложила на Github набор правил, позволяющих определить и
заблокировать атаки с использованием украденного ПО.
Еще одна публикация Лаборатории Касперского по итогам 2020 года
исследует новые привычки удаленных работников и связанные с
этим угрозы. Атаки на сотрудников в этом году принципиально не
изменились, но уязвимых мест в корпоративной инфраструктуре стало
больше. Один из примеров в исследовании: широкое использование на
удаленке домашних компьютеров и персональных учетных записей чаще
всего это аккаунты в почте и мессенджерах для рабочих задач. Или
наоборот использование рабочего компьютера для личных дел.