Хакеры научились подделывать почту так, что домен банка виден в письме мошенника

изображение: recraft
На теневых площадках появился инструмент, который позволяет отправлять фишинговые письма с подстановкой настоящего адреса банка, биржи или крупной компании. Получатель видит знакомый домен и привычное оформление, поэтому подделку почти невозможно отличить от служебной переписки. Разработчики утверждают, что платформа уже применялась для хищения средств у нескольких финансовых организаций, что создаёт прямую угрозу и российским пользователям.
О новом сервисе изданию «Известия» рассказали специалисты BI.ZONE Threat Intelligence. Платформу продвигают в закрытых Telegram-каналах, где параллельные торговцы предлагают базы адресов, готовые шаблоны сообщений и доступ к инфраструктуре рассылки. Продавцы обещают клиентам полный цикл подготовки атаки под ключ.
Технология построена на подмене отправителя. В почтовом клиенте жертвы отображается подлинный адрес легитимной организации, хотя сообщение создали и разослали мошенники. Человек видит в строке отправителя банк, платёжную систему или корпоративный сервис, а не подозрительный домен с лишней буквой или странной зоной.
Обычные фишинговые кампании часто выдают себя мелкими деталями:
- регистрация домена, похожего на настоящий, с заменой одной буквы;
- добавление лишней цифры или дефиса в адрес;
- использование непривычной доменной зоны вместо привычной;
- неаккуратная подпись и отсутствие корпоративных элементов.
В новом сервисе подобная маскировка не нужна, поскольку платформа подставляет подлинный адрес компании напрямую.
Отмечается, что авторы инструмента заявляют об успешных атаках против нескольких финансовых бирж, где мошенники под видом жалоб на ошибочные операции добивались возврата денег на подконтрольные им реквизиты.
Письма оформлялись от имени двух банков. Получатели считали запросы настоящими, обрабатывали их и переводили средства по указанным реквизитам. Проверить достоверность рекламных заявлений по независимым источникам пока невозможно, но сама схема выглядит рабочей при слабой почтовой конфигурации.
Отдельно продавцы рекламируют обход механизмов DKIM и SPF. Эти технологии применяются почтовыми системами для проверки того, имеет ли сервер право отправлять сообщения от имени домена и не изменялось ли письмо в пути. SPF сверяет сервер отправителя со списком разрешённых узлов, а DKIM добавляет цифровую подпись для проверки происхождения.
При корректной настройке подобные механизмы серьёзно снижают вероятность подмены. Проблемы начинаются при ошибках конфигурации, слабой политике обработки подозрительных сообщений и наличии промежуточной инфраструктуры, через которую можно обойти часть проверок. Создатели сервиса обещают, что платформа умеет проходить фильтры и доставлять письмо во входящие.
Руководитель BI.ZONE Threat Intelligence Олег Скулкин считает новый инструмент опасным из-за высокой убедительности сообщений. По словам Олега Скулкина, даже осторожному пользователю сложно распознать обман, поскольку в письме отображается настоящий домен известной компании, а привычный совет проверять адрес отправителя теряет смысл.
Атакующие также применяют автоматический сбор изображений с официальных сайтов, рассказал Олег Скулкин. Система извлекает логотипы, баннеры, подписи и элементы фирменного оформления, после чего письмо собирается в стиле реального бренда:
- корректные шрифты и корпоративные цвета;
- привычная вёрстка блоков и кнопок;
- точные подписи и юридические сноски;
- знакомое предупреждение о безопасности внизу.
Чем точнее повторён дизайн, тем меньше времени человек тратит на сомнения. Мозг узнаёт знакомые элементы и автоматически относит письмо к безопасной категории.
Аналитик направления аналитических исследований Positive Technologies Дмитрий Стрельцов рассказал, что спуфинг давно перестал быть редким приёмом отдельных энтузиастов. По оценке Дмитрия Стрельцова, вокруг фишинга сформировалась подпольная индустрия, работающая по модели Phishing as a Service.
Клиенту предлагают готовую платформу по подписке, панели управления, шаблоны, статистику переходов и помощь с настройкой кампании. По сути, мошеннический рынок копирует облачный бизнес — покупателю не нужно писать код или искать серверы, достаточно оплатить тариф и загрузить список адресов.
Стоит обратить внимание, что часть подобных сервисов предоставляет техническую поддержку операторам, а сам продукт постепенно приобретает черты обычной SaaS-платформы, только предназначенной для кражи денег и учётных данных.
Дмитрий Стрельцов назвал главной проблемой невозможность визуально распознать атаку. Получатель видит адрес банка, регулятора или партнёра, знакомое оформление и грамотно написанный текст, а затем следует инструкции — открывает вложение, переходит по ссылке, вводит пароль или переводит средства.
Опасность усиливается тем, что платформа применяется не только для кражи денег. Через поддельные письма распространяются вредоносные файлы, ссылки на фальшивые формы входа и программы удалённого управления. Похищенные пароли затем применяются для захвата почты, облачных кабинетов и корпоративных систем.
Для защиты компаниям требуется многоуровневая проверка финансовых операций:
- любой запрос на возврат денег подтверждается через независимый канал связи;
- смена реквизитов согласуется по телефону, известному заранее;
- контакты из самого письма для проверки не применяются;
- настраивается политика DMARC с отклонением подозрительных сообщений;
- регулярно проверяются собственные доменные записи компании.
Пользователям стоит обращать внимание не только на адрес отправителя, но и на суть запроса, срочность, просьбу нарушить привычную процедуру и странный способ связи. Требование срочно вернуть деньги, изменить платёжные реквизиты или подтвердить пароль должно вызывать максимальную осторожность.
Для российских пользователей риск не абстрактный. Отечественные банки, маркетплейсы и госсервисы регулярно попадают под спуфинг-атаки, а закрытые Telegram-каналы с русскоязычной аудиторией остаются одной из крупнейших площадок для торговли подобными инструментами. Появление сервиса с подстановкой подлинных адресов означает, что кампании против клиентов российских банков могут стать массовыми уже в ближайшие месяцы.
Редакция CISOCLUB считает появление подобной платформы поворотным моментом в развитии почтового мошенничества. Технология подстановки настоящего адреса отправителя фактически обесценивает базовые правила проверки писем, которым обучали пользователей последние десять лет. Основная нагрузка теперь ложится на почтовую инфраструктуру компаний и корректную настройку DMARC, SPF и DKIM с жёсткими политиками отклонения.
Российским банкам и биржам стоит проверить собственные доменные записи и заранее подготовить сценарии реагирования на массовые кампании от их имени. Отдельного внимания заслуживает обучение сотрудников финансовых отделов процедурам двойного подтверждения любых операций с деньгами и реквизитами. Без пересмотра корпоративных регламентов защита от подобных сервисов будет носить лишь косметический характер.



