Когда злоумышленники пытаются провернуть атаку типа Business E-mail Compromise (BEC), они, как правило, проводят кропотливую подготовительную работу. Ведь для того, чтобы в переписке выдать себя за лицо, имеющее право санкционировать перевод денег или пересылку конфиденциальных материалов, им нужно как можно лучше замаскировать свое письмо под легитимное. И тут важна каждая мелочь.
Недавно нам в руки попался интересный образец письма, которое послали с целью завязать переписку с сотрудником компании.
Текст достаточно стандартный для писем такого рода. Злоумышленники дают понять, что отправитель на встрече, а следовательно, недоступен по другим каналам связи (чтобы у получателя не возникло соблазна проверить, действительно ли он переписывается с тем, чье имя стоит в подписи). Судя по тому, что злоумышленники не пытались скрыть отправку письма с адреса на публичном сервисе, они либо знали, что человек, под которого они маскируются, пользуется этим сервисом, либо предполагали, что в компании вообще нормально использовать стороннюю почту для деловой переписки. Но наше внимание привлекло другое — надпись Sent from my iPhone.
Казалось бы, это стандартная надпись, возникающая при отправке письма через дефолтное почтовое приложение Mail под iOS. Вот только, судя по содержимому технических заголовков, это письмо было отправлено через веб-интерфейс из браузера Mozilla. Зачем же злоумышленники пытались имитировать отправку письма с телефона Apple? Возможно, такая автоподпись была проставлена «для солидности». Но это не самый удачный трюк. Если письмо имитирует послание от коллеги (а чаще всего BEC — это именно попытка выдать себя за сослуживца), то велика вероятность, что получатель знает, какой аппарат использует человек, якобы отправивший послание. Поэтому, скорее всего, преступники точно знали, что они делают.
Но как они могли это узнать? На самом деле это не так уж и сложно. Достаточно провести предварительную разведку с использованием так называемого трекингового пикселя, он же web beacon.
Что такое трекинговый пиксель и зачем он используется
Как правило, компании, которые рассылают электронные письма клиентам, партнерам, читателям (то есть практически все компании), хотят понимать, насколько их рассылка интересна получателям. Это позволяет проанализировать эффективность рассылки как маркетингового инструмента, изменить формат, тематику, подачу и так далее. В теории, в электронной почте есть встроенный механизм, позволяющий отправить уведомление о прочтении, вот только для того, чтобы он работал, получатель должен сознательно согласиться на это. Люди чаще всего не соглашаются. Поэтому хитрые маркетологи начали использовать так называемый трекинговый пиксель.
Он представляет собой незаметную глазу картинку размером 1×1 пиксель, подгружаемую со стороннего сайта. В момент, когда почтовый клиент обращается к этой картинке, отправителю поступает информация о том, что письмо открыли, а также IP-адрес устройства получателя, время открытия письма и сведения о программе, в которой письмо было открыто. Обращали когда-нибудь внимание, что почтовый клиент предлагает кликнуть по ссылке, чтобы скачать рисунки? Многие пользователи уверены, что этот механизм нужен для экономии трафика. Но на самом деле автоматическая загрузка картинок чаще всего отключается именно из соображений конфиденциальности.
Как киберпреступник может использовать трекинговый пиксель во зло?
Представьте себе ситуацию: вы уехали в заграничную командировку, а на рабочую почту приходит письмо, которое на первый взгляд относится к вашей работе. Скорее всего, вы его откроете, но поняв, что это попытка продать что-то ненужное, закроете и удалите. А тем временем злоумышленник узнает, что:
- Судя по IP-адресу, вы находитесь в другой стране, а следовательно, личные контакты коллег с вами затруднены. Значит, письмо от вас безопаснее имитировать.
- Судя по тому, что вы открыли письмо при помощи Mail под iOS, вы используете iPhone, а значит, подпись Sent from my iPhone придаст фальшивому письму дополнительную убедительность.
- Вы прочитали письмо в 11 утра. Само по себе это не так уж и важно, но если письма такого рода будут приходить к вам периодически, то преступник сможет вычислить ваш график работы и запланировать атаку от вашего имени так, чтобы вы были максимально недоступны.
Что делать с этой ценной информацией?
Разумеется, полностью защититься от трекинга сложно, да и не факт, что это имеет смысл. Но это не значит, что вам следует облегчать задачу преступникам. Поэтому мы предлагаем придерживаться следующих советов:
- Если почтовый клиент показывает вам сообщение «кликните сюда, чтобы загрузить картинки», это значит, что визуальный контент был заблокирован из соображений конфиденциальности. Подумайте, прежде чем разрешать. Пусть письмо выглядит не очень красиво, но разрешая подгрузку картинок, вы отдаете неизвестно кому информацию о себе и своем устройстве.
- Не открывайте письма, которые попали в спам. Современные спам-фильтры ошибаются крайне редко. Особенно если ваш почтовый сервер защищен нашими технологиями.
- Осторожно относитесь к массовым рассылкам. Одно дело, если вы сознательно подписывались на новости от компании, а другое — когда рассылка пришла неизвестно от кого и непонятно почему. В последнем случае письмо лучше не открывать.
- Используйте надежные решения для защиты корпоративной почты.
В частности, наши технологии для защиты от спама и фишинга работают в продуктах Kaspersky Total Security для бизнеса (в компонентах Kaspersky Security для Microsoft Exchange Servers, Kaspersky Security для Linux Mail Server, Kaspersky Secure Mail Gateway) и в Kaspersky Security для Microsoft Office 365.