За кулисами мошеннической кампании

Давайте начнём с краткого обзора полученного нами сообщения

Благодаря правильным настройкам фильтра оно сразу же было отправлено в папку «Спам». Однако не во всех системах эти настройки включены или настроены правильно. Поэтому давайте предположим, что, как и у 60 % корпоративных почтовых ящиков, у нас их тоже нет.

Что мы можем заметить:
1. Призыв к действию. «Требуется действие».
2. Манипуляция «важностью». «Задержка важных сообщений».
3. Манипуляция отправителем. Отправитель одновременно является получателем

Адрес отправителя подделан с помощью специально созданного SMTP-сообщения. Кроме того, письмо прошло через прокси-сервер и использовало утерянные учетные данные пакистанского образовательного учреждения, как видно из исходных заголовков письма:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. Первый взгляд

Давайте откроем ссылку из сообщения. Предупреждение: не открывайте подозрительные ссылки на своих устройствах — они могут содержать вирус.

Scam "Mail Portal" — Мошенничество «Почтовый портал»

Ссылка имела следующий формат: https://****.gitlab.io/#clients@pwn-all.net

Почему в ссылке фигурирует «GitLab»?

Потому что злоумышленник воспользовался возможностью GitLab размещать статические сайты. Сам по себе хостинг не является чем-то необычным, но доверие, связанное с доменом gitlab.io, помогает повысить уровень доверия к домену и обойти фильтры некоторых систем.

Шаг 1. Давайте посмотрим

Давайте посмотрим, что происходит, когда мы нажимаем на эту ссылку, и почему мы видим главную страницу нашего сайта (хотя и немного искажённую).

Fake mail portal displaying the spoofed company homepage in the background

Мы видим, что злоумышленник использует легитимные сервисы для:
Google и ClearBit — чтобы получить фавикон
; Thum — чтобы получить скриншот сайта шириной 1200 пикселей

В первую очередь это делается для того, чтобы повысить доверие обычного пользователя к поддельному сайту — чтобы он увидел знакомый логотип и знакомый сайт компании на фоне.

Шаг 2. Отправка данных

Предположим, мы — обычный пользователь, который не обратил внимания и ввёл свои данные. Что происходит дальше?

Outbound network requests triggered after the victim submits their credentials

Здесь мы уже видим ссылки на сторонние сервисы, такие как:
1. ipinfo — для сбора информации об IP-адресе пользователя, а именно: страна, регион, организация, приблизительное местоположение, часовой пояс и почтовый индекс. Скорее всего, это делается для того, чтобы определить, какие прокси или VPN использовать для последующих входов в систему, либо для подготовки электронного письма в рамках другой тактики социальной инженерии.
2. Google DNS — для получения записи MX, указывающей, где находится точка входа в почтовый ящик. Предположительно, для попытки верификации через SMTP
3. На самом деле запрос отправляется не на прокси, а на веб-сервер злоумышленника.

Так что же входит в полезную нагрузку для его сервера?

Data payload sent from the phishing page to the attacker's server

В основном это стандартный набор. Но... ответ с сервера оказался нестандартным.

В ответе был указан путь к месту сохранения данных. Это может показаться шуткой, но это не так.

Шаг 3. Внутри

Inside the attacker's collected-data store showing the operator's own test entries

Поразительная глупость злоумышленника и невероятная удача исследователей. Здесь сразу бросается в глаза то, что, судя по всему, является тестами, проведенными самим злоумышленником с использованием IP-адреса из Кипра. Мы также видим его часовой пояс, который не типичен для кипрского IP-адреса — а именно, западноафриканское стандартное время. Гипотетически это может указывать на реальное местонахождение спамера.

Log entry showing a Cyprus IP address paired with a West Africa time zone

И, что ж, пожалуй, нам повезло. Проверив его логи, нам удалось выявить повторяющийся IP-адрес из Лагоса, Нигерия.

Log entry revealing a recurring IP address from Lagos, Nigeria

И мы снова увидели IP-адрес из Нигерии; на данный момент мы, вероятно, можем с уверенностью сказать, что это было испытание, проведенное самим спамером.

К сожалению, на эту уловку попались несколько человек, в том числе сотрудник банка, библиотеки, агентства недвижимости и другие. Спамер, по всей видимости, очищал свои журналы. Жертвы и хостинг-провайдеры уже получили уведомления.

Чтобы помочь вам не попасться на эту аферу, мы предлагаем наши корпоративные решения в виде плагинов для ваших почтовых клиентов и сервисы мониторинга утечек данных для бизнес-пользователей. Существует также решение для частных лиц, ориентированное на обеспечение конфиденциальности и неприкосновенности частной жизни при поиске своих данных в утечках от злоумышленников, с взломанных сайтов или в публикациях в дарквебе, Telegram или Discord — в более чем 600 источниках. Перейдите по ссылке, чтобы узнать больше о DarkWeb Monitor.

Шаг 4. Рекомендация

Чтобы предотвратить попадание подобных фишинговых писем в почтовые ящики пользователей, внедрите строгую проверку подлинности отправителя на уровне SMTP-шлюза.

Рекомендуемые меры контроля:

Опубликуйте и поддерживайте строгую запись SPF, заканчивающуюся на -all.
Подписывайте все исходящие письма с помощью DKIM.
Введите в действие DMARC с политикой отклонения