Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 67

Как могли дальше развиваться события? Получить доступ к электронному адресу — это одно, но вести переписку от имени существующей организации — совсем другое дело.

Для осознания ситуации необходимо привести немного теории.

Предположим, пользователь отправит письмо адресату, адрес электронной почты которого вообще не существует в природе, например blabla@cyberfishing.ru. Письмо будет отправлено, его копия поместится в папку почтового ящика «Отправленные».

Затем пользователю во входящую папку придет письмо «MAILER-DAEMON», так называемое «возвращенное письмо», также известное как Non-Delivery Report (NDR), Delivery Status Notification (DSN), Non-Delivery Notification (NDN), bounce message (от англ. bounce — отражение, рикошет и message — сообщение).

Это письмо сообщает, что письмо было отправлено на почтовый ящик, который недоступен, не существует, или сервер сообщает о другой ошибке, по причине которой не смог доставить данное письмо до адресата.

Злоумышленник в рассматриваемой истории методом фишинг-атаки получил пароль, а следовательно, доступ к электронному почтовому адресу представителя отечественной компании, осуществляющего выбор поставщика.

Затем злоумышленник написал от имени компании письмо с отказом о сотрудничестве с зарубежным поставщиком, заблокировал поступающие от него электронные сообщения.

Впоследствии для переписки злодей использовал несуществующий адрес электронной почты, и каждый раз, когда пользователь (жертва) отвечал на письмо злоумышленника, закономерно на почтовый ящик поступало сообщение «MAILER-DAEMON».

Для того чтобы эти странные письма «MAILER-DAEMON» не раздражали владельца почтового ящика, злоумышленник открыл настройки почтового ящика и воспользовался опцией блокировки (рис. 3.1).

Рис. 3.1.Блокированные фильтром электронные адреса в интерфейсе электронного почтового адреса

Фильтр блокировал получение владельцем почтового ящика сообщений «MAILER-DAEMON», что позволяет скрыть тот факт, что пользователь почтового ящика, совершая переписку, отправляет свои сообщения несуществующим адресатам.

Но ведь в электронном почтовом ящике были сообщения несуществующего собеседника, электронный почтовый адрес которого идентичен официальному зарубежному поставщику оборудования?

Конечно, и даже ни одного, а от менеджера, юридического отдела и отдела логистики, только в доменном имени всех этих собеседников была заменена всего одна буква. К примеру: manager@cyberfishing.ru — это реальный адрес менеджера зарубежной компании, а manager@cyberfishirg.ru (заменили букву «п» на «г» в конце имени) — это адрес, использованный мошенниками после внедрения в переписку.