За лаштунками шахрайської кампанії

Почнімо із загального огляду повідомлення, яке ми отримали

Завдяки правильним налаштуванням фільтра його одразу було відправлено до папки «Спам». Однак не в усіх системах ці налаштування увімкнені або налаштовані правильно. Тож припустимо, що, як і 60 % корпоративних поштових скриньок, наша їх теж не має.

Що ми можемо помітити:
1. Заклик до дії. «Потрібні дії».
2. Маніпуляція «важливістю». «Важливі повідомлення затримано».
3. Маніпуляція відправником. Відправник є водночас і одержувачем

Адресу відправника підроблено за допомогою спеціально створеного SMTP-повідомлення. Крім того, лист пройшов через проксі-сервер і використав скомпрометовані облікові дані пакистанського освітнього закладу, як видно з необроблених заголовків листа:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. Перший погляд

Відкриймо посилання з повідомлення. Попередження: не відкривайте підозрілі посилання на своїх пристроях — вони можуть містити вірус.

Scam "Mail Portal" — Шахрайський «Поштовий портал»

Посилання мало такий формат: https://****.gitlab.io/#clients@pwn-all.net

Чому в посиланні фігурує «GitLab»?

Тому що зловмисник скористався можливістю GitLab розміщувати статичні сайти. Сам по собі хостинг не є чимось незвичайним, але довіра, пов’язана з доменом gitlab.io, допомагає підвищити рівень довіри до домену та обійти фільтри деяких систем.

Крок 1. Погляньмо

Погляньмо, що відбувається, коли ми натискаємо на це посилання, і чому ми бачимо головну сторінку нашого сайту (хоч і трохи спотворену).

Fake mail portal displaying the spoofed company homepage in the background

Ми бачимо, що зловмисник використовує легітимні сервіси, щоб:
Google і ClearBit — отримати фавікон
; Thum — отримати скріншот сайту завширшки 1200 пікселів

Це насамперед робиться для того, щоб підвищити довіру пересічного користувача до підробного сайту — щоб він побачив знайомий логотип і знайомий сайт компанії на фоні.

Крок 2. Надсилання даних

Припустимо, ми — звичайний користувач, який не звернув уваги та ввів свої дані. Що відбувається далі?

Outbound network requests triggered after the victim submits their credentials

Тут ми вже бачимо посилання на сторонні сервіси, такі як:
1. ipinfo — щоб зібрати інформацію про IP-адресу користувача, а саме: країну, регіон, організацію, приблизне місцезнаходження, часовий пояс і поштовий індекс. Найімовірніше, це робиться для того, щоб визначити, які проксі або VPN використовувати для подальших входів, або щоб підготувати лист у межах іншої тактики соціальної інженерії.
2. Google DNS — щоб отримати запис MX, який вказує, де розташована точка входу до поштової скриньки. Імовірно, для спроби верифікації через SMTP
3. Насправді запит надсилається не на проксі, а на вебсервер зловмисника.

То що ж входить до корисного навантаження для його сервера?

Data payload sent from the phishing page to the attacker's server

Здебільшого це стандартний набір. Але... відповідь із сервера виявилася нестандартною.

У відповіді було вказано шлях до місця, де збережено дані. Це може здатися жартом, але це не так.

Крок 3. Усередині

Inside the attacker's collected-data store showing the operator's own test entries

Вражаюча дурість зловмисника та неймовірне везіння дослідників. Тут одразу впадає в око те, що, схоже, є тестами, проведеними самим зловмисником із використанням IP-адреси з Кіпру. Ми також бачимо його часовий пояс, який не є типовим для кіпрської IP-адреси, — а саме західноафриканський стандартний час. Гіпотетично це може вказувати на реальне місцезнаходження спамера.

Log entry showing a Cyprus IP address paired with a West Africa time zone

І, що ж, мабуть, нам пощастило. Перевіривши його журнали, нам вдалося виявити повторювану IP-адресу з Лагоса, Нігерія.

Log entry revealing a recurring IP address from Lagos, Nigeria

І ми знову побачили IP-адресу з Нігерії; на цьому етапі ми, ймовірно, можемо з упевненістю сказати, що це був тест, проведений самим спамером.

На жаль, на цю хитрість попалися кілька людей, зокрема працівник банку, бібліотеки, агентства нерухомості та інші. Спамер, імовірно, очищав свої журнали. Жертв і хостинг-провайдерів уже сповіщено.

Щоб допомогти вам не потрапити на цю аферу, ми пропонуємо наші корпоративні рішення у вигляді плагінів для ваших поштових клієнтів і сервіси моніторингу витоків даних для бізнес-користувачів. Існує також рішення для приватних осіб, орієнтоване на конфіденційність і приватність під час пошуку своїх даних у витоках від викрадачів даних, зі зламаних сайтів або в публікаціях у дарквебі, Telegram чи Discord — у понад 600 джерелах. Перейдіть за посиланням, щоб дізнатися більше про DarkWeb Monitor.

Крок 4. Рекомендація

Щоб запобігти потраплянню подібних фішингових листів до поштових скриньок користувачів, упровадьте сувору перевірку автентичності відправника на рівні SMTP-шлюзу.

Рекомендовані заходи контролю:

Опублікуйте та підтримуйте суворий запис SPF, що закінчується на -all.
Підписуйте всі вихідні листи за допомогою DKIM.
Запровадьте DMARC із політикою відхилення