Xakep #305. Многошаговые SQL-инъекции
Специалисты Group-IB сообщают, что с начала августа 2020 года три крупных благотворительных организации подверглись атакам с использованием спуфинга адреса электронной почты. Также эксперты выявили следы готовящихся кампаний против еще 7 благотворительных организаций.
В ходе атак злоумышленники отправляли поддельные письма от лица руководителей благотворительных фондов их коллегам, например, из финансового отдела, с просьбой срочно оплатить лечение кого-то из подопечных организации.
К примеру, 3 августа трое сотрудников Благотворительного фонда Константина Хабенского получили письмо, якобы написанное директором благотворительной организации, с просьбой немедленно перевести средства, собранные для одного из подопечных фонда, на указанные реквизиты. Подозрительное сообщение насторожило команду фонда. Дело в том, что благотворительная организация никогда не осуществляет переводов на личные банковские счета и персональные кошельки, получатели переслали письмо для проверки на предмет мошенничества в Group-IB.
Анализ показал, что подлинный почтовый аккаунт директора фонда скомпрометирован не был. Злоумышленники отправили письмо с сервера хостинг-провайдера Timeweb, подделав технический заголовок под нужный адрес, чтобы ввести в заблуждение сотрудников фонда. При этом в поле «обратный адрес» (данная строка видна не во всех почтовых клиентах) вместо официального домена фонда Хабенского bfkh[.]ru использовался фальшивый домен, отличающийся последовательностью букв: bfhk[.]ru. Если бы пользователь ответил на письмо, например, для уточнения деталей перевода, его сообщение направилось бы мошенникам.
Три дня спустя экспертам специалистам CERT-GIB стало известно об аналогичной попытке вывести средства из фонда «Кислород». Рассылка в адрес сотрудников была зафиксирована 6 августа, для нее киберперступниками специально был зарегистрирован домен bfkislorod[.]ru (домен оригинального сайта bf-kislorod[.]ru). Примечательно, что перед атаками сотрудники Фонда Хабенского и фонда «Кислород», от лица которых потом рассылались фейковые письма, получили email-сообщения от одного и того же лица с абстрактными вопросами. Предположительно, мошенники сделали это для того, чтобы создать полностью идентичные профили для будущей рассылки — скопировать фото, данные о корпоративной подписи и так далее.
Изучив домен bfkislorod[.]ru с помощью системы графового анализа, эксперты обнаружили, что в период с 5 по 6 августа злоумышленники зарегистрировали еще семь доменов, копирующих имена известных благотворительных организаций, в том числе фондов «Алеша», «Подари жизнь» и «Старость в радость». По состоянию на 19 августа 2020 года попытка мошенничества была зафиксирована только в отношении фонда «Старость в радость». Остальные шесть доменов на данный момент остаются «спящими» и находятся на мониторинге у специалистов CERT-GIB.
«С начала августа Group-IB фиксирует серию таргетированных атак на благотворительные организации. Для фондов подобные атаки имеют куда более серьезные последствия, чем для других организаций, т.к. они наносят удар по их главному активу — человеческому доверию. Для нашей компании работа над этим кейсом имеет особую важность, поскольку в данном случае речь идет не о репутационных и финансовых рисках, а зачастую — о шансах людей на жизнь», — говорит Ярослав Каргалев, заместитель руководителя CERT Group-IB.
На текущий момент специалисты Group-IB занимаются блокировкой развернутой злоумышленниками инфраструктуры, расследованием инцидентов и сбором информации о предполагаемых атакующих. Благодаря оперативному детектированию мошеннической схемы и бдительности сотрудников фондов, которые регулярно сталкиваются с новыми видами фрода, ущерба удалось избежать.
Чтобы минимизировать риски подобных атак, эксперты советуют организациям внедрить правила аутентификации SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), а также технологию проверки этих записей — DMARC. Это существенно усложнит отправку писем от имени официального домена — такие послания будут помечаться как не прошедшие аутентификацию, попадать в спам или вовсе отклоняться.