Ваша почта слишком доверчива. Рассказываем, как Apple (случайно) помогает вас грабить
NewsMakerIT-гиганты невольно стали соучастниками фишинговых атак.
Мошенники нашли способ рассылать письма от имени Apple и PayPal так, что даже почтовые фильтры считают их полностью подлинными. Речь уже не про грубые подделки и фишинговые шаблоны. Злоумышленники начали использовать настоящие счета и уведомления от крупных сервисов, превращая официальные механизмы в инструмент обмана.
Специалисты компании INKY зафиксировали серию атак, в которых используются легальные письма от Apple, PayPal, DocuSign и HelloSign. Эти сервисы позволяют пользователю при создании счета или уведомления вписать имя продавца или произвольный комментарий. Этим и пользуются злоумышленники. Они добавляют туда текст мошеннического сообщения и номер телефона, после чего отправляют счет на подконтрольный себе адрес. В результате сервис формирует настоящее служебное письмо с уже встроенным вредоносным содержимым.
Такое сообщение создается и подписывается самой платформой. Оно проходит криптографическую проверку подлинности почты и контроль домена отправителя. После этого злоумышленник просто пересылает письмо жертвам без изменений. Для почтовых систем оно выглядит настоящим, проверки подлинности проходят успешно, предупреждений почти нет.
Этот прием называется повторной отправкой DKIM подписанного письма. Суть в том, что берется подлинное сообщение с цифровой подписью домена и рассылается повторно другим получателям. Так как заголовки и тело письма не меняются, подпись остается действительной. Проверка подлинности домена тоже завершается успешно, даже если фактически письмо доставил уже не исходный сервис, а посторонний отправитель.
Мошенники нашли способ рассылать письма от имени Apple и PayPal так, что даже почтовые фильтры считают их полностью подлинными. Речь уже не про грубые подделки и фишинговые шаблоны. Злоумышленники начали использовать настоящие счета и уведомления от крупных сервисов, превращая официальные механизмы в инструмент обмана.
Специалисты компании INKY зафиксировали серию атак, в которых используются легальные письма от Apple, PayPal, DocuSign и HelloSign. Эти сервисы позволяют пользователю при создании счета или уведомления вписать имя продавца или произвольный комментарий. Этим и пользуются злоумышленники. Они добавляют туда текст мошеннического сообщения и номер телефона, после чего отправляют счет на подконтрольный себе адрес. В результате сервис формирует настоящее служебное письмо с уже встроенным вредоносным содержимым.
Такое сообщение создается и подписывается самой платформой. Оно проходит криптографическую проверку подлинности почты и контроль домена отправителя. После этого злоумышленник просто пересылает письмо жертвам без изменений. Для почтовых систем оно выглядит настоящим, проверки подлинности проходят успешно, предупреждений почти нет.
Этот прием называется повторной отправкой DKIM подписанного письма. Суть в том, что берется подлинное сообщение с цифровой подписью домена и рассылается повторно другим получателям. Так как заголовки и тело письма не меняются, подпись остается действительной. Проверка подлинности домена тоже завершается успешно, даже если фактически письмо доставил уже не исходный сервис, а посторонний отправитель.