Cisco и Microsoft невольно помогли преступникам. Как надежные службы стали частью схемы взлома
NewsMakerПреступники построили лабиринт, чтобы украсть пароль у профессионала.
Руководителю шведской компании в сфере кибербезопасности попытались подсунуть письмо, которое выглядело безупречно даже для опытного специалиста. Атака оказалась настолько тщательно продуманной, что прошла через цепочку доверенных сервисов и выглядела как обычная рабочая переписка.
Целью стал топ-менеджер компании Outpost24. О попытке рассказало дочернее подразделение Specops Software. Специалисты заметили атаку на раннем этапе и заблокировали её до того, как злоумышленники смогли получить доступ к системам или данным.
Письмо маскировалось под сообщение от финансовой организации JPMorgan Chase и выглядело как часть уже существующей переписки. Получателю предлагали открыть документ и поставить подпись. Чтобы обойти проверки, злоумышленники добавили сразу две цифровые подписи DKIM, благодаря чему письмо успешно проходило проверку подлинности и не вызывало подозрений у почтовых систем.
Ссылка внутри письма вела не на подозрительный сайт, а на легитимный домен Cisco. Речь идёт о сервисе, который переписывает и проверяет ссылки в корпоративной почте. Поскольку ссылка проходила проверку, перенаправление происходило через инфраструктуру Cisco, что помогло обойти защитные механизмы.
Руководителю шведской компании в сфере кибербезопасности попытались подсунуть письмо, которое выглядело безупречно даже для опытного специалиста. Атака оказалась настолько тщательно продуманной, что прошла через цепочку доверенных сервисов и выглядела как обычная рабочая переписка.
Целью стал топ-менеджер компании Outpost24. О попытке рассказало дочернее подразделение Specops Software. Специалисты заметили атаку на раннем этапе и заблокировали её до того, как злоумышленники смогли получить доступ к системам или данным.
Письмо маскировалось под сообщение от финансовой организации JPMorgan Chase и выглядело как часть уже существующей переписки. Получателю предлагали открыть документ и поставить подпись. Чтобы обойти проверки, злоумышленники добавили сразу две цифровые подписи DKIM, благодаря чему письмо успешно проходило проверку подлинности и не вызывало подозрений у почтовых систем.
Ссылка внутри письма вела не на подозрительный сайт, а на легитимный домен Cisco. Речь идёт о сервисе, который переписывает и проверяет ссылки в корпоративной почте. Поскольку ссылка проходила проверку, перенаправление происходило через инфраструктуру Cisco, что помогло обойти защитные механизмы.