Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Доброго времени суток!

Прочитали: 3743 Комментариев: 100 Рейтинг: 105

Многие целевые атаки начинаются рассылкой писем с вредоносными программами, да и в целом спам-рассылки остаются одним из самых эффективных и низкозатратных методов распространения троянцев.

Как усыпить бдительность пользователя и заставить его запустить приложенный файл? Конечно же, выдать исполняемый файл троянца за что-то другое – будь то документ, картинка или самораспаковывающийся архив – и описать в письме причину, по которой потенциальной жертве необходимо подробно ознакомиться с вложением.

#drweb

Если вы получите такое письмо на свою личную почту, то, скорее всего, вы не обратите на него особого внимания. И это нормально – ведь целевой аудиторией подобной рассылки являются сотрудники коммерческих организаций, в основном бухгалтеры и работники финансовых подразделений, ежедневно обрабатывающие тонны писем с платежными реквизитами.

Компьютеры бухгалтеров вообще являются лакомым куском для злоумышленников: ведь на них можно найти приложения дистанционного банковского обслуживания, а значит – формировать подложные платежные поручения и тайком выкачивать деньги со счетов фирмы. А можно зашифровать базу данных бухгалтерии и парализовать деятельность компании, попутно оставив ее работников без зарплаты.

Но вернемся к нашей рассылке. Возможно, вы обратили внимание, что письмо отправлено с использованием популярного бесплатного почтового сервиса. Конечно же, напрашиваются два предположения:

  1. злоумышленники специально зарегистрировали почтовый адрес для спам-рассылок;
  2. коварные хакеры взломали чужой аккаунт и теперь тайком рассылают письма с троянцами.

Оба этих предположения не учитывают один факт. В случае нецелевой рассылки (а данное письмо явно не имеет конкретного адресата и отправлялось «на удачу») необходимо рассылать тысячи и тысячи однотипных писем на самые разные адреса.

Если попытаться реализовать такую рассылку с использованием крупного и популярного почтового сервиса, аккаунт сразу же попадет под подозрение и будет заблокирован за спам.

Но выход есть, и им активно пользуются злоумышленники. Для этих целей требуется всего лишь получить доступ к почтовому серверу какой-нибудь небольшой компании. Не можете взломать сервер? Не беда, на специализированных форумах можно купить логин и пароль к серверу, который кто-то уже взломал за вас. Или пароли сотрудника компании, у которого есть доступ к корпоративной почте.

Конечно, есть еще десяток-другой способов, включая, например, аренду спам-ботнета (который будет состоять в том числе и из зараженных серверов), но о них мы подробно расскажем в следующих выпусках, сейчас же повнимательнее рассмотрим полученное нами письмо. Откроем технический заголовок – порой из него можно почерпнуть весьма ценную информацию:

#drweb

В графе «envelope-from» указан адрес отправителя письма, такой же, как мы видим в графе «От» в нашем почтовом клиенте. А вот остальные пункты вызывают вопросы. Адрес сервера, с которого было отправлено письмо (поля «client-ip» и «helo»), отнюдь не принадлежит ООО «Мэйл.ру» (владельцу домена list.ru). Это почтовый сервер небольшой российской организации, о существовании которой до получения данного сообщения мы не знали.

Для сравнения. Технический заголовок письма, действительно отправленного с почтового сервера mail.ru, выглядел бы примерно так:

#drweb

Это означает, что адрес отправителя был подменен при отправке письма со скомпрометированного почтового сервера. Зачем это нужно? В первую очередь чтобы скрыть факт массовой рассылки и преодолеть спам-фильтры, но подобные трюки нередко используют и для введения в заблуждение адресатов.

#почта #спам #ботнет #взлом

Dr.Web рекомендует

Мы настоятельно рекомендуем не открывать файлы, полученные от незнакомых отправителей. Но даже если автор письма вам известен, не теряйте бдительность. Если сомневаетесь, свяжитесь с ним и уточните, действительно ли он отправлял вам письмо. По возможности научитесь читать технические заголовки (напишите в комментариях, если вам было бы интересно подробнее почитать об этом, и мы подготовим специальный выпуск). Ну и, конечно же, не забывайте про антивирусную защиту.

P. S. Мы связались с компанией, сервер которой использовался для осуществления спам-рассылки, и проинформировали о проблеме. Нетрудно догадаться, что ни руководство организации, ни системный администратор не были в курсе тайной жизни их почтового сервера и немало удивились случившемуся.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: