[Информационная безопасность] Security Week 51: почтовые атаки с lookalike-доменов

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
14-Дек-2020 21:37

Эксперты «Лаборатории Касперского» подробно разбирают одну из атак на корпорации с использованием lookalike-доменов — когда фишинговый e-mail отправляется с домена, на одну букву отличающегося от настоящего. Такой подход со стороны атакующего оказывается чуть выгоднее традиционного спуфинга, когда адрес отправителя просто подделывается. Современные технологии аутентификации входящей почты, такие как SPF, DKIM и DMARC, достаточно надежно идентифицируют откровенные подделки. Письмо с lookalike-домена содержит все необходимые цифровые подписи и может пройти фильтры. Такая атака рассматривается в рамках общего явления, известного как Business E-Mail Compromise: это не широкомасштабная рассылка «наудачу», а скорее целенаправленная попытка взломать инфраструктуру компании, похитить деньги через отправку правдоподобного инвойса и так далее.

Соответственно, срок жизни таких атак небольшой. В 73% случаев поддельные домены активны в течение одного дня и используются для отправки небольшого числа сообщений, а то и вовсе единственного, в адрес заранее определенной жертвы. Анализ атак с применением lookalike-доменов показывает, что в 2020 году чаще всего они были ориентированы на компании, занятые в области электронной коммерции (доставка продуктов, интернет-магазины, продажа авиабилетов и тому подобное). На втором месте IT-сервисы, далее следуют промышленное производство и розница. В прошлом году расклад был другим: относительно «дорогая» (с точки зрения временных затрат на предварительную разведку, но не технологий) атака угрожала в первую очередь корпорациям в финансовой индустрии.

Крупные компании вкладывают в защиту от атак с доменов с лишними (недостающими, перепутанными) буквами определенные усилия: чаще всего это превентивная регистрация всех похожих доменов. У этого подхода есть понятный недостаток: вариантов доменов много, а в большой организации поддельное письмо может прийти не только с «собственного» lookalike-адреса, но и с адресов, похожих на контакты подрядчиков. Второй метод — добавление lookalike-доменов в черный список, что чревато опечатками и блокировкой легитимных сообщений. В исследовании предлагается метод защиты с использованием современного антиспам-решения. Оно не только поддерживает актуальный список уже использованных lookalike-доменов, но и анализирует отправителя письма по определенному алгоритму. Сообщение из ранее неизвестного источника помещается в карантин, проводится анализ записей whois, отмечается время создания домена и другие параметры. Сходство адреса отправителя с регулярной корреспонденцией в комбинации с другой информацией, выявленной в ходе анализа домена, позволяет более точно отделить нормальную переписку от фишинговых атак.

В статье приведены данные подразделения ФБР и организации Internet Crime Complaint Center. Сводная статистика из отчетов за последние пять лет показывает, что ущерб от атак на электронную почту вырос в пять раз только в США. Публичные примеры успешных BEC-атак поражают масштабом при относительной «легкости» атаки. 50 миллионов долларов украдено путем рассылки счетов на оплату с домена, похожего на адрес крупного тайваньского производителя. 37 миллионов потеряла дочерняя компания Toyota. Пример чуть более тонкого мошенничества с почтой: киберпреступники подключились к переписке между двумя футбольными клубами и увели на свои счета один из траншей при трансфере игрока. Ущерб — полмилллиона долларов. Несмотря на эволюцию современных методов общения (мессенджеры и телеконференции), электронная почта остается активно используемым и не менее регулярно атакуемым деловым инструментом.
Что еще произошло:
Серьезная уязвимость обнаружена в медицинских устройствах, в частности аппаратах МРТ и рентгенографии производства GE. Данной техникой управляет компьютер с ОС на базе Unix, к которому производитель может подключаться для проведения обслуживания. Логины и пароли для подключения дефолтные и не могут быть изменены эксплуатирующей организацией. Пока их принудительно не поменяет обслуживающая компания, рекомендуется ограничить доступ к устройствам по стандартным протоколам FTP, SSH и Telnet.
Компания FireEye сообщает о взломе серверов и краже инструментов для тестирования защищенности корпоративного периметра. Иными словами, злоумышленники получили доступ к хорошо отлаженному набору «отмычек» — эксплойтов к разного рода уязвимостям в ПО и сетевой инфраструктуре. Помимо публичного раскрытия информации, компания также выложила на Github набор правил, позволяющих определить и заблокировать атаки с использованием украденного ПО.
Еще одна публикация «Лаборатории Касперского» по итогам 2020 года исследует новые привычки удаленных работников и связанные с этим угрозы. Атаки на сотрудников в этом году принципиально не изменились, но уязвимых мест в корпоративной инфраструктуре стало больше. Один из примеров в исследовании: широкое использование на удаленке домашних компьютеров и персональных учетных записей — чаще всего это аккаунты в почте и мессенджерах — для рабочих задач. Или наоборот — использование рабочего компьютера для личных дел.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_bec, #_lookalike, #_email, [url=https://torrents-local.xyz/search.php?nm=%23_blog_kompanii_«laboratorija_kasperskogo»&to=0&allw=0&o=1&s=0&f%5B%5D=820&f%5B%5D=959&f%5B%5D=958&f%5B%5D=872&f%5B%5D=967&f%5B%5D=954&f%5B%5D=885&f%5B%5D=882&f%5B%5D=863&f%5B%5D=881&f%5B%5D=860&f%5B%5D=884&f%5B%5D=865&f%5B%5D=873&f%5B%5D=861&f%5B%5D=864&f%5B%5D=883&f%5B%5D=957&f%5B%5D=859&f%5B%5D=966&f%5B%5D=956&f%5B%5D=955]#_blog_kompanii_«laboratorija_kasperskogo» (
Блог компании «Лаборатория Касперского»
)[/url], #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 08:51
Часовой пояс: UTC + 5