- 10,812
- 18
- 8 Ноя 2022
Не поддавайтесь искушению: письма с предложениями легкого заработка могут быть обманом.
Специалисты компании F.A.C.C.T. недавно обнаружили новую волну спам -рассылок, маскирующихся под уведомления от популярного видеохостинга YouTube . Такие письма стали поступать на электронные ящики сотрудников крупных компаний в России.
<h4>Как работают мошенники</h4> Злоумышленники отправляют письма, якобы от имени YouTube, с уведомлением о том, что на комментарий под неким видеороликом был оставлен ответ. <span style="color: #333333; background: white;">Название видео в письмах сообщало о «новом проекте от именитого фин-бренда»</span>, что вызывает интерес и желание перейти по ссылке.
При переходе по ссылке получателя встречает капча – стандартная защита от автоматических атак.
Однако, при ближайшем рассмотрении оказывается, что капча запрограммирована таким образом, что всегда принимает одно и то же значение. <span style="color: #333333; background: white;">Капча нужна этому сайту не для защиты от атак, а для того, чтобы скрыть дальнейшее содержимое подальше от глаз систем информационной безопасности, автоматически анализирующих содержимое страниц по ссылкам, размещенным, например, в электронных письмах.</span>
После капчи пользователь попадает на сайт, где ему предлагают ввести персональные данные и участвовать в опросе, якобы для оценки финансового положения.
Введя свои данные, жертва становится потенциальной целью для дальнейших мошеннических действий. Ей звонит так называемый «специалист», представляющийся персональным менеджером. Он убеждает жертву открыть счет и перевести на него деньги для «начала заработка». В результате все средства оказываются в руках мошенников.
<h4>Техника маскировки</h4> Злоумышленники тщательно подготовили свою схему, чтобы избежать подозрений и обойти алгоритмы безопасности YouTube. Они зарегистрировали новый YouTube-канал и разместили на нём несколько видеороликов различной тематики, таких как «подборки приколов» и видео с животными, чтобы придать каналу естественный вид. Далее они опубликовали видео под названием «НОВЫЙ ПРОЕКТ», ссылку на которое и содержали письма.
Затем, с другого аккаунта, под этим видео был оставлен комментарий, на который с третьего аккаунта был дан ответ. После этого комментарии к видео были закрыты. Таким образом, первый аккаунт получил от YouTube письмо-уведомление с информацией о том, что на его комментарий был дан ответ.
<h4>Массовая рассылка</h4> Полученное таким образом письмо мошенники начали массово рассылать со своих серверов пользователям, чьи адреса оказались в списках массовой рассылки. Важно отметить, что YouTube не подозревает, что от его имени рассылались эти письма, и сама платформа не имеет уязвимостей, которые бы позволили мошенникам воспользоваться ею напрямую.
<h4>Выявление и борьба с рассылкой</h4> Основная опасность этих писем заключается в том, что они содержат подлинную DKIM-подпись YouTube, подтверждающую их подлинность. Однако внимательные пользователи могут заметить несоответствия, такие как email-адрес отправителя, который не имеет отношения к YouTube.
Ещё одним важным признаком спам-рассылки является дата отправки письма, подписанная DKIM-подписью. Злоумышленники не могут изменить эту дату, так как это потребовало бы заново создать DKIM-подпись, что они сделать не могут. В результате фактическая дата получения письма может значительно отличаться от даты отправки.
Специалисты компании F.A.C.C.T. недавно обнаружили новую волну спам -рассылок, маскирующихся под уведомления от популярного видеохостинга YouTube . Такие письма стали поступать на электронные ящики сотрудников крупных компаний в России.
<h4>Как работают мошенники</h4> Злоумышленники отправляют письма, якобы от имени YouTube, с уведомлением о том, что на комментарий под неким видеороликом был оставлен ответ. <span style="color: #333333; background: white;">Название видео в письмах сообщало о «новом проекте от именитого фин-бренда»</span>, что вызывает интерес и желание перейти по ссылке.
При переходе по ссылке получателя встречает капча – стандартная защита от автоматических атак.
Однако, при ближайшем рассмотрении оказывается, что капча запрограммирована таким образом, что всегда принимает одно и то же значение. <span style="color: #333333; background: white;">Капча нужна этому сайту не для защиты от атак, а для того, чтобы скрыть дальнейшее содержимое подальше от глаз систем информационной безопасности, автоматически анализирующих содержимое страниц по ссылкам, размещенным, например, в электронных письмах.</span>
После капчи пользователь попадает на сайт, где ему предлагают ввести персональные данные и участвовать в опросе, якобы для оценки финансового положения.
Введя свои данные, жертва становится потенциальной целью для дальнейших мошеннических действий. Ей звонит так называемый «специалист», представляющийся персональным менеджером. Он убеждает жертву открыть счет и перевести на него деньги для «начала заработка». В результате все средства оказываются в руках мошенников.
<h4>Техника маскировки</h4> Злоумышленники тщательно подготовили свою схему, чтобы избежать подозрений и обойти алгоритмы безопасности YouTube. Они зарегистрировали новый YouTube-канал и разместили на нём несколько видеороликов различной тематики, таких как «подборки приколов» и видео с животными, чтобы придать каналу естественный вид. Далее они опубликовали видео под названием «НОВЫЙ ПРОЕКТ», ссылку на которое и содержали письма.
Затем, с другого аккаунта, под этим видео был оставлен комментарий, на который с третьего аккаунта был дан ответ. После этого комментарии к видео были закрыты. Таким образом, первый аккаунт получил от YouTube письмо-уведомление с информацией о том, что на его комментарий был дан ответ.
<h4>Массовая рассылка</h4> Полученное таким образом письмо мошенники начали массово рассылать со своих серверов пользователям, чьи адреса оказались в списках массовой рассылки. Важно отметить, что YouTube не подозревает, что от его имени рассылались эти письма, и сама платформа не имеет уязвимостей, которые бы позволили мошенникам воспользоваться ею напрямую.
<h4>Выявление и борьба с рассылкой</h4> Основная опасность этих писем заключается в том, что они содержат подлинную DKIM-подпись YouTube, подтверждающую их подлинность. Однако внимательные пользователи могут заметить несоответствия, такие как email-адрес отправителя, который не имеет отношения к YouTube.
Ещё одним важным признаком спам-рассылки является дата отправки письма, подписанная DKIM-подписью. Злоумышленники не могут изменить эту дату, так как это потребовало бы заново создать DKIM-подпись, что они сделать не могут. В результате фактическая дата получения письма может значительно отличаться от даты отправки.
- Источник новости
- www.securitylab.ru
