Следите за электронным письмом "Устранение проблем с входящей электронной почтой", предназначенным для пользователей Outlook

К сожалению, электронные письма, которые пытаются обманом заставить вас выдать ваши учетные данные, стали настолько распространенными, что теперь они стали частью нашей повседневной жизни в Интернете. Большинство из этих кампаний не слишком сложны и в первую очередь ориентированы на неопытных пользователей, довольных кликами, которые слишком отвлечены, чтобы заметить яркие красные флажки. Однако время от времени мы видим фишинговые атаки, нацеленные на людей, разбирающихся в клавиатуре компьютера. Фактически, недавно фишеры пытались обмануть исследователей из Sophos, и эксперты были настолько впечатлены уровнем изощренности, продемонстрированным во время атаки, что решили посвятить этому сообщение в блоге.

Таргетированная изощренная фишинговая кампания

Когда исследователи Sophos обнаружили фишинговое письмо в своем почтовом ящике, они заметили, что их собственный адрес электронной почты присутствует в поле «Отправитель». Сначала это казалось странным, но после того, как они увидели, что сообщение создается автоматически, эксперты подумали, что в этом есть смысл.

Письмо касалось учетной записи Outlook исследователей и говорило, что несколько входящих сообщений были «отклонены» сервером. Им даже сказали, когда начались неудавшиеся поставки. В письме говорилось, что для устранения проблем им необходимо посетить портал OWA (веб-приложение Outlook), предоставленный Sophos, ссылка на который легко доступна в нижней части сообщения. Ссылка вела на убедительно выглядящую страницу, на которой запрашивали учетные данные электронной почты исследователей.

Формулировка местами была немного неудобной, но не было очевидных грамматических ошибок, которые могли бы выдать мошенничество. В общем, фишеры отправили электронное письмо, которое могло обмануть даже опытных пользователей, знающих об опасности фишинга. К счастью, исследователи Sophos выбрали не ту цель.

Нет, со входящими сообщениями проблем нет

Каким бы правдоподобным это ни казалось на первый взгляд, невозможно не стать жертвой аферы. Например, может показаться, что электронное письмо создается автоматически, но взгляд в заголовок сообщения показывает, что оно было отправлено с внешнего адреса. Излишне говорить, что большинство пользователей не знают, как проверить заголовок электронного письма, но, как мы уже упоминали, эта атака не нацелена на большинство пользователей. Более того, вам не нужно быть компьютерным экспертом, чтобы знать, что веб-ссылки не обязательно ведут вас туда, где вы думаете.

Мошенники были умны не только с относительно правдоподобной историей о недоставленных сообщениях, но и с маскировкой своей фишинг-ссылки. Ссылка выглядит как URL-адрес, и в электронном письме исследователей Sophos она была разработана для того, чтобы заставить их поверить, что она приведет их на страницу OWA их работодателя. Однако, наведя курсор мыши на ссылку, исследователь увидел, что она собирается перенаправить их на вредоносную страницу, размещенную в Microsoft Azure.

Другими словами, всю тяжелую работу, которую фишеры вложили в свою узконаправленную и изощренную атаку, можно отменить, просто переместив мышь на пару дюймов. Немного более подозрительно относитесь к тому, что вы находите в своем почтовом ящике, и по возможности используйте двухфакторную аутентификацию.