12 окт. 2022
Атака электронной почты

Атака почтового ящика очень распространенный тип хакерской атаки. Она направлена на кражу конфиденциальных данных, взлом личной почты и имеет множество имен: человек посередине, атака посредника, man in the middle, MITM-атака. Что это за атака, как она работает и правда ли, что с ее помощью хакеры могут добыть любую другую инфу о пользователе.

Почтальоны-предатели

Понять простому пользователю, как совершается хакерская атака — это как решить задачу со звездочкой. Цель злоумышленников: запутать и обмануть пользователя при помощи специализированных программ. Однако, отбросив технические сложности, вы увидите, что любая атака основывается на психологии.

Представьте, что вы отправились на 50 лет назад. Сети Интернет нет, но есть конфиденциальная информация. А значит, существуют и мошенники, охотящиеся за ней. Передавать информацию нужно каждый день, поэтому большинство людей работают напрямую с почтовыми учреждениями. Их сотрудники собирают письма, забирают пакеты документов и служебные записки с указаниями, куда и что доставить. Что может здесь пойти не так?

Все работает исправно: сотрудники почты одного города компании собирают пакеты и при помощи почтальонов передают бумажную информацию коллегам из другой почты. Но в один день к вам приходит новый почтальон, забирает пакет или письмо с конфиденциальными данными и… исчезает. Второй человек тоже передал незнакомцу документы и ожидал получить посылку от первого, но что-то пошло не так. Переговорив по телефону, они понимают: ценные бумаги и посылка украдены. Общение прекращено. Поиски вора не дали результатов. Так и работает атака man in the middle.

Человеком посередине был новый почтальон. Он вклинился в отлаженный процесс передачи данных, чтобы украсть конфиденциальную информацию одного и другого человека. В нашем мире, где существует и Интернет, и электронная почта, и хакеры, MITM-атака ничем не отличается от выдуманного инцидента. Злоумышленник вторгается в веб-трафик, крадет учетные данные и конфиденциальную информацию, подменяет реквизиты в бухгалтерских документах и скрывается с глаз потерпевших до того, как они поймут, что их обокрали.  

Описанный выше сценарий — лишь один из вариантов того, как хакеры могут атаковать почтовые ящики. Рассмотрим еще два варианта?

1. Бутафорское отделение почты   

Верно ли утверждение, что есть задачи, которые можно легко и быстро сделать в дороге? Например, переслать документы коллеге или подправить одну цифру в файле. Стоит ли спешить домой, если можно забежать в кафе, заказать кофе и сделать все за пять минут. Конечно, придется подключиться к доступному Wi-Fi-соединению, но и это не проблема. Где угодно найдется бесплатный вход в Интернет. Этого момента и поджидает хакер.  

Не будем далеко уходить от образа подставного почтальона. Видя, что в кафе часто заседают люди с ноутбуками, он создает поддельное отделение почты, то есть ложное Wi-Fi-соединение, и называет его именем кафе. Работник, подключившись к фиктивной точке доступа, попадает в ловушку. С этого момента хакер получает доступ ко всей входящей и исходящей информации пользователя. Совсем как почтальон, который научился ловко вскрывать конверты и посылки, чтобы читать или воровать их содержимое.

Подключаясь к общественной сети Wi-Fi, вы идете на риск. Отдаете конфиденциальную информацию в неизвестные руки, которые могут оказаться преступными.

2. Отделение почты переехало, запишите новый адрес

В один из дней к вам приходит подставной почтальон и говорит: «Мы больше не работаем по старому адресу. Отделение почты переехало. Теперь посылки и документы следует отправлять по новому адресу. А он практически не изменился, только дом другой». В нашей реальности хакер никуда не приходит, он сообщает об этом фишинговым письмом. Иногда от лица коллеги или родственника (назвавшись его именем).

Чтобы получить доступ к конфиденциальным документам, хакеры создают сайты-подделки с идентичным URL-адресом. Они могут поменять один символ, но изменения будут настолько незначительными, что жертва их даже не заметит. Например, вместо точки добавят запятую или вместо латинской буквы «а» напишут кириллическую. Обязательно в адресе веб-страницы будет присутствовать протокол HTTPS, чтобы не спугнуть жертву. Ведь уже все знают, что на страницы с протоколом HTTP лучше не заходить.

Пользователь не обратит внимания на подмену, перейдет на сайт, чтобы дистанционно подписать документы, и снова окажется в ловушке. Учетные данные,  документы и доступ к личному аккаунту оказываются в руках «почтальона».

3. Почтальоны, хакеры и жертвы

На примерах все выглядит просто и понятно, но в жизни все гораздо сложнее. Глаз не сразу определяет фишинговые письма, а хакеры притворяются и действуют так искусно, что ловушка за спиной жертв захлопывается молниеносно. Так произошло в 2019 году.

Китайский венчурный фонд решил инвестировать в израильский многообещающий стартап. Переговоры длились долго: на кону стоял миллион долларов. Об этом узнали хакеры и решили сорвать куш.

Сначала они создали два поддельных домена по примеру реально существующих, только добавили одну лишнюю букву. Злоумышленники отправили китайской и израильской стороне по одному письму с той же темой, что была в исходной переписке компаний. Удивительно, но обе стороны ответили на фишинговое письмо. Хакеры поняли, что терять момент нельзя: они стали вести переписку со своими жертвами от лица компаний. Китайской стороне направили 18 писем от лица израильской, израильской — 14 писем от лица китайской.

Киберпреступники сорвали личную встречу компаний и убедили их, что общение через корпоративную почту сохранит конфиденциальность сотрудничества.

Атака «человек посередине» позволила хакерам подменить банковские реквизиты на финальной стадии согласования. Китайская сторона перевела злоумышленникам один миллион долларов.  

Правила отлова фиктивных почтальонов

Определить «почтальона», уйти от атаки «человек посередине» и не обмануться помогут простые правила информационной безопасности. Они на удивление простые, и если бы о них помнили сотрудники китайского венчурного фонда и израильского стартапа, то катастрофы можно было избежать.

Еще раз пробежимся по правилам защиты от фишинга. Ведь как было сказано в самом начале: ваша личная почта — это уникальный и драгоценный ресурс. Он достоин бережного отношения, как дорогая посылка, которую всегда будут пытаться отобрать или вскрыть.

Ведем взгляд сверху вниз:

  • Проверяем отправителя: знаете ли вы этого человека, нет ли ошибок или лишних знаков в адресе его почты, кто еще указан в копии письма
  • Проверяем тему письма: не вызывает ли она у вас подозрений, нет ли ошибок или непривычных формулировок
  • Проверяем текст на опечатки, угрожающие словосочетания, сжатые сроки. Если они есть, стоит перепроверить отправителя еще раз
  • Ссылки в письме: вы помните, что переходить по неизвестным ссылкам нельзя Сначала нужно навести курсор на ссылку и посмотреть в появившемся окошке, куда она ведет. Если адрес не соответствует написанному в письме, кидаем письмо в «мусорку».
  • Еще раз проверяем ссылку и адрес отправителя. В адресах не должно быть опечаток или инородных символов. Чтобы удостовериться в легитимности ссылки,   не переходите по ней, а самостоятельно вбейте название веб-ресурса в браузере.
  • Возьмите в привычку использовать только надежные Wi-Fi-соединения. Пожалуйста, откажитесь от подключений к общественным точкам доступа.
  • Не забывайте обновлять программное обеспечение антивирусных программ, браузеров, приложений и устройств в целом.

Будьте бдительны, берегите личную почту как зеницу ока. Это око хранит слишком много конфиденциальной информации.