Злоумышленники маскируют фишинговые ссылки под доверенные домены: как легальная функция Mimecast стала оружием

Злоумышленники нашли весьма изощренный способ обхода современных фильтров электронной почты, воспользовавшись легитимной функцией сервиса Mimecast, предназначенной для переписывания URL-адресов. Суть атаки достаточно проста: киберпреступники массово рассылали фишинговые письма, скрывая вредоносные ссылки за надежным и хорошо известным доменом Mimecast, чем и смогли обойти стандартные системы защиты.

Исследователи компании Check Point подсчитали, что за короткий период – всего за две недели – в почтовые ящики более 6000 организаций по всему миру попало свыше 40 000 подобных электронных писем. Особенно сильно атака затронула американских пользователей: в США было выявлено более 34 000 таких писем, за ними следуют компании из Европы и Канады, где число пострадавших составило 4500 и 750 соответственно.

Наибольший ущерб получили организации, активно работающие с контрактами, счетами и различной документацией. В списке пострадавших оказались консалтинговые фирмы, компании из технологической сферы и те, кто работает на рынке недвижимости, а также представители здравоохранения, государственного сектора, финансов и промышленности.

Главным козырем злоумышленников стала доскональная имитация электронных писем от крупных и узнаваемых сервисов — таких как SharePoint или DocuSign. Фишинговые уведомления отличались высоким уровнем правдоподобия: тщательно скопированы фирменные логотипы, стилистика, темы сообщений и подписи. Такое письмо ничем не отличалось от настоящего — оно не вызывало подозрений ни у рядовых сотрудников, ни у автоматических фильтров.

Вредоносные ссылки, расположенные в этих письмах, вели на фишинговые страницы для кражи учетных данных либо автоматической загрузки вредоносного ПО. Благодаря возможности Mimecast переписывать и перенаправлять ссылки через авторитетный домен, отправители добивались того, что финальный адрес выглядел полностью безопасным даже для самого придирчивого фильтра. В итоге — вредоносные письма без препятствий попадали прямо в рабочие почтовые ящики.

В компании Mimecast заявляют, что никакая уязвимость не была задействована: злоумышленники попросту использовали стандартную функцию перенаправления, которой можно злоупотребить в случае небрежного отношения к обработке входящего трафика. Это – типичная тактика преступников, выбирающих популярные и доверенные сервисы для обхода защиты, чтобы замаскировать свои истинные цели и не быть обнаруженными. Михаил Понамарев