— в Hotmail есть меню рядом с функцией «Reply», где необходимо выбрать режим «View Message Source»;
— в Gmail также есть меню рядом с функцией «Reply», в котором можно выбрать режим «Show Original»;
— в Yahoo добраться до нужной информации можно через раздел «Control», где необходимо выбрать «View Full Headers»;
— в AOL через меню «Action» необходимо выбрать опцию «View Message Source»;
— в mail.ru в верхнем меню при открытии ссылки «Еще» нужно выбрать пункт «Служебные заголовки».
Найдя в заголовках значения X-Originating-IP или Received: from, можно обнаружить значение IP-адреса, этот IP-адрес как раз и расскажет, с какого фактически сервера было отправлено сообщение.
В этих же заголовках будут содержаться и другие значения, к примеру from= «адрес почты», но они могут не соответствовать действительности.
Механизм, когда электронные письма маскируются под официальных отправителей с использованием схожего написания реально существующего доменного имени и отправлением писем с несуществующих аккаунтов, широко используется как при кибершпионаже, так и при осуществлении обычных мошеннических действий.
По схожей схеме действовали злоумышленники из рассказанной четвертой истории в начале этой книги. Ситуация была такова, что от компании-партнера ждали выставления счета. Когда счет был получен, на указанные в счете реквизиты бухгалтером был совершен перевод.
В рассмотренной истории злоумышленники изначально обладали некоторой информацией о внутреннем распорядке потерпевшей компании — документообороте и схеме принятия решения об оплате.
Счета для оплаты поступали сначала на электронный почтовый адрес руководителя. Руководитель организации отправлял счета, которые следовало оплатить, со своего электронного адреса на электронную почту, используемую бухгалтером.
В результате проведенной фишинг-атаки злоумышленники получили доступ к электронному почтовому адресу бухгалтера.
После изучения содержимого электронного почтового адреса бухгалтера злоумышленники имели полное представление о финансовых операциях и порядке их проведения. Анализ переписки содержал все необходимые данные: откуда приходят счета, какие обычно проводятся суммы, каковы назначения платежей.
Анализ позволяет также выявить отраслевые принадлежности партнеров, наименования юридических лиц, региональное расположение организаций.
После анализа аккаунта злоумышленники установили фильтр, предназначенный для сокрытия входящих от директора организации сообщений. Таким образом, сначала присланные директором сообщения читали злоумышленники, потом злоумышленники перемещали их в папку «Входящие» и помечали как новое.