Фишинговая кампания через SendGrid: сбор учетных записей и подделка отправителей
Источник: cofense.com
Недавние наблюдения Центра защиты от фишинга Cofense раскрывают новую кампанию по сбору учетных записей, в которой злоумышленники массово отправляют фишинговые письма через облачный почтовый сервис SendGrid. Направленность атаки — эксплуатация доверия к легитимной платформе для обхода стандартных средств защиты электронной почты и принуждение получателей к быстрой, необдуманной реакции.
Суть атаки
Атака базируется на нескольких ключевых приемах:
- использование инфраструктуры SendGrid, обладающей высокой репутацией у провайдеров почтовых услуг;
- подделка адресов отправителей, что усиливает впечатление легитимности сообщений;
- три различных темы писем, каждая из которых ориентирована на создание чувства срочности;
- давление на получателя через строку темы и текст письма, чтобы побудить к быстрому действию без проверки подлинности.
«Злоумышленники используют надежную репутацию SendGrid для создания электронных писем, которые кажутся законными, эффективно обходя стандартные меры безопасности электронной почты.»
Как работает техника обмана
Используя поддельные адреса отправителей и легитимную инфраструктуру для рассылки, атакующие повышают вероятность доставки писем в основной почтовый ящик получателя и снижают шанс срабатывания спам-фильтров. Три темы писем специально разработаны для создания у получателя ощущения срочности — это стандартная социально-инженерная тактика, направленная на снижение критичности мышления и ускорение реакции.
Почему это серьезно
Опасность таких кампаний вырастает по мере того, как организации всё активнее используют сторонние сервисы для массовой рассылки и транзакционных сообщений. Подделка сообщений, отправленных через легитимные платформы, затрудняет распознавание фишинга даже для опытных пользователей и традиционных защитных механизмов. В результате злоумышленники получают более высокие шансы на успешное получение учетных данных и последующий несанкционированный доступ к корпоративным ресурсам.
Рекомендации по защите
Чтобы снизить риски, специалисты по кибербезопасности и пользователи должны обратить внимание на следующие меры:
- Повышение осведомленности: обучать сотрудников распознавать признаки фишинга — неожиданные запросы на вход в аккаунт, требования срочно подтвердить данные, ссылки с подозрительными доменами.
- Проверка отправителя: обращать внимание не только на отображаемое имя отправителя, но и на фактический email-адрес и домен.
- Технологические контрмеры: корректная настройка SPF, DKIM и DMARC для своих доменов; мониторинг и реагирование на подозрительную активность.
- Многофакторная аутентификация (MFA): включить MFA везде, где это возможно — это существенно снижает риск несанкционированного доступа при компрометации пароля.
- Процедуры реагирования: иметь четкий план действий при выявлении фишинговых рассылок, включая блокировку источников, смену учетных данных и информирование пользователей.
Вывод
Кампания, описанная Cofense, демонстрирует эволюцию фишинга: злоумышленники опираются на доверие к легитимным облачным сервисам, чтобы обойти защиту и обмануть пользователей. В условиях роста зависимости организаций от сторонних почтовых платформ критично усилить как технические, так и организационные меры защиты, а также регулярно тренировать сотрудников в вопросах кибергигиены. Только сочетание этих подходов снизит вероятность успешной компрометации учетных записей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
