Краткий анализ доступных

Краткий анализ доступных данных январской атаки, в которой на виртуальные угрозы приходилось реагировать реально

В прошлые годы проводились централизованные атаки с использованием IP-телефонии, теперь новый виток, но уже с использованием электронной почты. Проанализируем доступные электронные данные по этой атаке.
Проблема:
2017 год: Анонимность звонка обеспечивается тем, что злоумышленник, используя IP-телефонию, может подставлять любой номер звонящего, в том числе номера реальных непричастных абонентов из любой точки мира. Эта возможность IP-телефонии затрудняет работу силовиков. Подключение голосового шлюза IP-телефонии к сетям операторов связи часто происходит нелегально, с подменой номера звонящего, IP-адресов и прочих идентификаторов2019 год: По информации пресс-служб администраций и от персонала лечебных учреждений и школ разных областей и городов, на их электронную почту приходили сообщения с угрозами и требованием выполнить определенные действия.Правоохранительные органы совместно с органами исполнительной власти начинали действовать в соответствии со своими полномочиями, что означало проверку каждого сообщения.В учреждениях, которые значились в тексте писем, начинались проводиться экстренные мероприятия. Ни один из фактов по полученным угрозам не подтвердился, работа учреждений возобновлена в полном объеме.Исходные данные:Попробуем абстрагироваться от ситуации в целом и пройтись по пунктам из некоторых опубликованных в открытом доступе электронных писем, фото которых представлены ниже.
Анализ данных:
Все электронные письма были отправлены путем использования бесплатного почтового сервиса mailfence dot com, позиционирующего себя как защищенный и конфиденциальный сервис электронной почты. В данный момент некоторые провайдеры в РФ ограничили доступ к этому сервису.Попытаемся зайти на этот сервис и зарегистрироваться. Получаем вот такой отказ:
С использованием VPN-плагина можно зайти немного дальше и пройти регистрацию:
Однако, нас тут ожидает вот такой выбор из возможных адресов электронной почты.
Таким образом, есть подозрение, что электронные адреса, которые использовались в атаке, были достаточно давно созданы в этой системе, когда была такая возможность ранее выбрать другое имя домена. Это означает, что атака была не спонтанная, а адреса намного ранее были созданы некоторым пулом.А зачем нам нужно создавать почтовый ящик в этом сервисе?При регистрации нужно указать свой работающий электронный адрес, на который пришлют ссылку на подтверждение регистрации в сервисе.Далее, проверяем, как происходить процесс сброса пароля в этом сервисе.Enter your username and/or your e-mail address:
Вводим после имя пользователя или электронную почту (в тестовом случае у нас mail.ru) и получаем:To reset your password, an e-mail was sent to:
sin***@***mail.ruТаим образом, мы можем узнать первые три символа имени пользователя и полное имя почтового домена.Причем, при запросе сброса пароля можно указать имя пользователя или электронную почту.А по данным адресов с отправленных электронных писем, при запросе сброса пароля можно указать только электронную почту.
[email protected]
To reset your password, an e-mail was sent to:
kul***@***utoo.emailДанные про Utoo. Странный сервис.
[email protected]
To reset your password, an e-mail was sent to:
bbl***@***imail.comСтранный домен, но рабочий:Тут тоже есть подозрение, что электронные адреса, которые использовались в атаке, были достаточно давно созданы в этой системе, когда была такая возможность ранее выбрать другое имя домена. Единственная ниточка ведет на gmail.com:
[email protected]
to reset your password, an e-mail was sent to:
vov***@***gmail.comТут искать полный адрес можно, но долго:Этот адрес, кстати, выбивается из всего списка именно тем, что имеет связь с gmail.com.Есть подозрение, что это имитатор, как вариант, который на волне рассылок тоже внес вклад свой, но с корыстными целями, чтобы в суматохе событий совершить на месте свой злой умысел (кража, удаление данных, когда никого нет рядом и прочее).Далее, если где-то в адресе есть цифры, то, немного их меняя или убирая, мы можем проверить еще такие адреса:[email protected]
To reset your password, an e-mail was sent to:
poc***@***[email protected]
o reset your password, an e-mail was sent to:
joo***@***[email protected]
To reset your password, an e-mail was sent to:
bud***@***[email protected]
To reset your password, an e-mail was sent to:
bep***@***itnow.comТаким образом, можно ожидать еще получения писем с этих электронных адресов.В итоге, шесть почтовых сервисов разных использовалось в семи электронных адресах. Как же выбирались жертвы для атаки, судя по спискам адресатов видно, что адреса копировались с сайтов госучреждений или вбивались вручную, ведь эти данные есть в открытом доступе.Диапазон одновременных получателей в письмах (2-6-10) небольшой, чтобы почтовые серверы не ограничили рассылку и письма не попадали в папку Спам.Рекомендации:
Системным администраторам учреждений, по возможности, чаще проверять электронную почту, создать фильтр для писем из mailfence dot com в отдельную папку и сразу сообщать о них, согласно своих должностных инструкций. Так же вопрос почему так много используется электронных адресов в рассылках?Ответ прост ахиллесова пята сервиса это монетизация услуг. Так что, скорее всего, все аккаунты, используемые для рассылки, сейчас на бесплатном плане, который включает в себя только 500 MB emails. Если этот ящик закидать сообщениями с вложениями и переполнить, то его сначала придётся чистить, чтобы совершить далее рассылку. Платные планы это уже оплата услуг и дополнительное открытие своих банковских данных.Так что, Вы можете помочь в этом, отправив по адресам выше как можно объемнее письма.На лингвистическом и стилистическом анализе содержания писем останавливаться не будем, хотя, вкупе с орфографическими ошибками и некоторыми созвучными слогами в тексте, тут есть над чем подумать. Хотя, возможно, эту диалектику ввели в текст специально для компрометации. Эта статья относится к аналитической тематике, прошу в комментариях придерживаться правил ресурса и не выходить за общепринятые рамки

Интересная статья:  ℹ печерский районный

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *