Недавно нам удалось повысить точность обнаружения целевого фишинга и атак при помощи компрометации деловой переписки (BEC) путем добавления одной маленькой и, в общем-то, банальной проверки. Если письмо по какой-то причине вызывает у нашего почтового движка подозрение, мы сверяем домен из технического заголовка From с доменом из поля Reply-To. Смешно, но эта простая проверка позволяет отсеять значительную часть достаточно сложных атак. В этом посте рассказываем, почему это работает.
Оглавление
Как выявляют сложные почтовые атаки
Операторы целевых почтовых атак традиционно прикладывают значительные усилия для маскировки своих писем под легитимные. Это не те ребята, которые прикладывают к письму файл, где детектируется троян, да и фишинговые ссылки они стараются скрыть под несколькими слоями хитроумных уловок. Поэтому защитные решения, способные выявлять письма с такими атаками, редко выносят вердикт на основании какого-то одного критерия — чаще всего они выявляют совокупность подозрительных признаков. Сверка полей From и Reply-To — это еще один из таких критериев.
Чем помогает сравнение заголовков From и Reply-To
Большая часть атакующих, даже вклиниваясь в легитимную деловую переписку, особенно не утруждает себя взломом легитимных доменов, а надеется на, так сказать, ограниченную компетентность администраторов почтовых серверов. По факту у огромного количества доменов механизмы почтовой аутентификации типа Sender Policy Framework (SPF), и тем более Domain-based Message Authentication, Reporting and Conformance (DMARC), если и работают, то из рук вон плохо. В лучшем случае они формально включены, но во избежание ложных срабатываний политики настроены настолько свободно, что ничем помочь не могут.
Поэтому злоумышленники (иногда даже стоящие за полноценными APT-атаками) просто берут домен атакуемой организации и ставят его в поле From или даже SMTP From. Однако поскольку при этом им нужно не просто доставить вредоносное письмо, но и получить на него прямой ответ, то в поле Reply-To они вынуждены поставить свой адрес. Обычно это какой-нибудь одноразовый почтовый ящик или адрес, расположенный на бесплатном почтовом сервисе. Что их и выдает.
Почему бы не проверять соответствие From и Reply-To всегда?
Вообще заголовок From далеко не всегда должен совпадать с заголовком Reply-To. Есть немало легитимных случаев, когда письмо должно посылаться одним почтовым сервером, а ответ на него ждут на совершенно другом. Простейший вариант — разнообразные услуги по организации информационных или маркетинговых рассылок: отправляет их специализированный сервис, а реакцию от клиентов ждет заказчик. Поэтому если бы сверка From и Reply-To была включена всегда, то это приводило бы к возникновению ложных срабатываний.
Где работает эта технология
Данная проверка производится во всех наших продуктах, защищающих корпоративную почту: Kaspersky Security для Microsoft Exchange Server, Kaspersky Security для Microsoft Office 365, Kaspersky Security для Linux Mail Server и Kaspersky Secure Mail Gateway.
Блог Касперского