Аналитики компании KELA сообщают, что в даркнете выставлены на продажу не менее 225 000 учетных записей электронной почты. При этом купить доступ к украденной корпоративной почте можно всего за 2 доллара США, а основные «потребности» киберпреступников покрывают всего несколько маркетплейсов (Xleet, Lufix, Odin, Xmina).
Исследователи говорят, что крупнейшими магазинами по продаже доступов к чужой почте являются Xleet и Lufix, на каждом из которых на продажу выставлены более 100 000 взломанных учетных записей. Стоимость таких доступов варьируется в диапазоне от 2 до 30 долларов (и больше для особенно «интересных» организаций).
Как правило, учетные записи воруют посредством брутфорса или атак типа credential stuffing, то есть подстановки учетных данных, которые ранее были украдены с помощью фишинга или куплены у других киберпреступников.
Полученный доступ к корпоративным почтовым ящикам хакеры используют для таргетированных атак, включая целевой фишинг, социальную инженерию (направленную на более глубокое проникновение в сеть) и BEC-атаки (Business Email Compromise).
Отчет KELA гласит, что продажи доступов к корпоративной почте на черном рынке остаются стабильной «сферой» уже несколько лет, и злоумышленники на всех основных хак-форумах давно продают «комбинированные списки» почтовых доступов. К примеру, недавно операторы вымогателя Everest предлагали доступ к почтовым ящикам некой аэрокосмической производственной компании за 15 000 долларов.
Однако такие продажи неизменно подразумевают под собой утомительный процесс ведения переговоров с продавцом, связаны с определенными рисками, а валидность данных часто подвергается сомнению. В итоге это способствовало появлению автоматизированных магазинов, вроде упомянутых Xleet, Odin, Xmina и Lufix, которые позволяют хакерам покупать доступ к учетным записям электронной почты по собственному выбору.
Продавцы на таких площадках не используют никнеймы, а маскируются при помощи номеров, которые им присваивает система. Например, Odin предлагает посмотреть более подробную информацию о продавце, включая количество проданных товаров, общий объем продаж и средний пользовательский рейтинг.
«Многие из этих магазинов предоставляют расширенные функции, включая “доказательства” того, что доступ к веб-почте действительно работает. Такие доказательства включают в себя проверку электронной почты в режиме реального времени для подтверждения доступа или демонстрацию снимка экрана входящих сообщений скомпрометированной учетной записи», — рассказывают эксперты.
На Odin и Xleet дополнительно сообщается, как именно были получены доступы к почтовым ящикам: hacked (взломаны), cracked (крякнуты), logs (из логов) или created (созданы с нуля). При этом большинство (98%) учетных записей в Xleet относятся к категориям hacked и cracked.
Наиболее популярными на этих площадках являются учетные записи Office 365, на которые приходится почти половина всей веб-почты, а за ними следуют хостинг-провайдеры (cPanel, GoDaddy и Ionos).