Как стать автором
Обновить

Комментарии 10

Фишеры охотятся на лоха. В данном примере кто пробуется на эту роль — администратор SMTP-сервера? Так ему, надеюсь, не стоит объяснять целой статьей, почему подобное письмо сразу должно отправиться в спам, без копания в заголовках. Рядовой пользователь? А, простите, почему к нему вообще попало письмо, с фейковым обратным адресом якобы корпоративной почты?
Подобные атаки нацелены на пользователей, точнее, на их данные. Однако фишинговые атаки достаточно частое явление и поэтому не будет лишним напомнить в очередной раз чем переход по подозрительным ссылкам грозит пользователям.
Напомнить лишним никогда не бывает, только пример выбран странный.
Пример взят из реального случая, который произошел недавно, поэтому его и решили разобрать, чтобы показать к чему приведет переход по ссылке из подозрительного письма.
Не адмиистратор, а пользователь, который не подозревает, что выполняет аутентификацию в фейковой WUI
Пользователь не должен получить письмо с фейковым From: с якобы корпоративного адреса на To: с корпоративным адресом. Т.е. ситуация, когда From: something1@domain.ru To: something2@domain.ru попадает во Входящие к пользователю — уже ненормальная, и фишинг тут далеко не главное из зол.
Т.е. пользователь, который переходит на сомнительный сайт (сам факт перехода на сторонний сомнительный ресурс) и пытается авторизоваться (от кого бы письмо не пришло), не главное из зол?
Еще раз: Вы пишите о конкретном примере, а не абстрактной ситуации. Меня смущает этот конкретный пример уже в самом начале: пользователь на корпоративный ящик получает письмо якобы с другого корпоративного ящика, которое корпоративный сервер почему-то не рубит на корню, а прилежно доставляет адресату. DKIM, SPF, вот это вот все — не? А так-то в принципе да: не надо открывать всякие разные ссылки, надо предохраняться при случайных половых контактах, лучше быть богатым и здоровым, чем бедным и больным…
Да, вы как-то зацепились за недостаток настройки почтового сервера, но с этим никто не спорил. Ну не через почту, как-то по другому пользователь получит эту ссылку, не все каналы получится контролировать. В нашем случае почта настроена так, что скомпрометированной учетной записью нельзя будет воспользоваться за периметром корп. сети, но у многих smtp/imap/wui может торчать наружу.

В общем, почта в данном примере — один из каналов, а суть статьи — в тех. разборе техники фишинга и веб-сервере, с которым будет взаимодействовать жертва. Ну и, конечно, еще раз напомнить потенциальным жертвам, что не нужно поддаваться панике и кликать на первое любезно предложенное атакующим решение (на второе тоже не нужно), а сомнительные письма лучше показать админам или безопасникам. Про настройку stmpd все по делу написали.
Давно уже не получал таких писем, вот правда. Все в папке спам, фильтры почты прекрасно справляются
Зарегистрируйтесь на Хабре, чтобы оставить комментарий