Обновена на 30.12.2022 от Questo
Фишинг кампания срещу клиенти на Уникредит Булбанк е била стартирана през един от имейл акаунтите на спортния клуб ЦСКА – София (за кратко в статията ще ги наричам само ЦСКА).
На 21 ноември 2022 г. рано сутринта някой, представящ се за Уникредит Булбанк, е изпратил фишинг съобщения от имейл адрес, свързан с домейна на ЦСКА. Съобщенията призовават получателите им да актуализират профилите си, за да имат пълен достъп до своите онлайн акаунти.
Както се вижда от скрийншота, съобщението е изпратено от имейл адрес, свързан с ЦСКА. Този адрес не е фалшифициран: писмото наистина е минало през пощенски сървър на ЦСКА, както става ясно от метаданните на имейла:
Една проста проверка показва, че този IP адрес (ограден в червено на скрийншота) действително е свързан със сайта на ЦСКА.
Как се превзема служебна поща?
Уникредит Булбанк е една от банките, чиито клиенти периодично са атакувани от фишинг кампании. Всеки, който е свикнал да получава спам, веднага ще се досети, че няма как писмо от Уникредит Булбанк да идва от имейл адрес на ЦСКА.
По-интересното е как изобщо спамърите са получили достъп до пощенска кутия на ЦСКА?
Нямам категоричен отговор, но пък мога да направя следните предположения:
1. Злонамерено лице е открило паролата за достъп до имейл акаунта на ЦСКА. Това може да стане чрез фишинг, налучкване, брутфорс или по друг начин.
Използването на една и съща парола за много акаунти е порочна практика, която представлява риск за сигурността на всяка онлайн информационна система.
Друг рисков фактор е използването на слаби пароли: комбинации като 123456, password и т.н. Те са лесни за отгатване и злонамерените лица изпробват първо тях, когато искат да проникнат в някоя информационна система.
Знаете ли например, че levski е най-често използваното за парола име на български спортен клуб?
2. Вътрешно лице с достъп до имейл акаунта го е използвал за злонамерени цели. Възможно е фишинг кампанията да е стартирана от злонамерен служител на клуба, който има достъп до имейл акаунта.
Този вариант е най-малко вероятен, защото би бил свързан със съществени рискове за служителя. Все пак при подобен инцидент подозрението пада и върху вътрешните лица с достъп.
Което не го прави невъзможен.
3. Личният имейл на лице с достъп до ЦСКА акаунта е бил компрометиран. Ако служител на една организация свърже личния със служебния си имейл, той може от личния си имейл да изпраща съобщения, но от адреса на служебния си имейл.
Слабото място на тази система е, че ако злонамерено лице знае паролата ви за АБВ акаунта, то може да изпраща съобщения от служебния ви имейл акаунт, да се представя за вашата организация.
Пример: личният ви имейл е в АБВ, служебният ви е например office@kompaniaX.com. Когато напишете имейл в АБВ, можете да го изпратите от името на служебния си имейл. Т.е. получателят ще види, че подателят е office@kompaniaX.com, а не АБВ акаунт.
Как да се предпазите
Нито една организация не е застрахована срещу превземане на служебни имейл акаунти. Ето няколко лесни за прилагане превантивни мерки, които могат да намалят риска това да се случи и с вас.
Тези мерки трябва да се прилагат от всички служители в организацията, а не само от вас!
- използвайте трудни за отгатване пароли (ето как да си измислите такива);
- активирайте двуфакторна автентикация на имейла си;
- ограничете достъпа до служебните имейл акаунти. Не позволявайте пренасочване на кутии: служителите да могат да изпращат служебна комуникация от личните си имейл акаунти;