Эй, не открывай это письмо!
Для многих предприятий электронная почта является входной дверью для общения с потенциальными и существующими клиентами. Это снова принесли мне сегодня утром, когда я позвонил в компанию по удалению деревьев, чтобы попросить их обрезать некоторые ветки, которые вызывают раздражение у нашего соседа. После описания проблемы женщина на другом конце провода попросила предоставить некоторую личную информацию, включая мой адрес электронной почты. После звонка она прислала мне электронное письмо с подтверждением времени и даты, когда арборист приедет, чтобы изучить проблему и дать нам оценку работы. Ее электронное письмо также включало некоторую рекламную литературу (PDF-файлы), описывающую различные услуги, предлагаемые их компанией, а также несколько советов по уходу за деревьями.
«Электронная почта — это прекрасно», — подумал я про себя позже. «Больше никаких длинных телефонных звонков или шумных факс-модемов, и мне не нужно ждать несколько дней, пока придет почтовое письмо». Затем я зашел на свой ноутбук, проверил свой почтовый ящик и нашел это:
Привет!
Как вы могли заметить, я отправил вам электронное письмо с вашего аккаунта. Это означает, что у меня есть полный доступ к вашему аккаунту.
Я наблюдаю за тобой уже несколько месяцев. Дело в том, что вы заразились вредоносным ПО через сайт для взрослых, который вы посещали.
Если вы не знакомы с этим, я объясню. Троянский вирус дает мне полный доступ и контроль над компьютером или другим устройством. Это значит, что я могу видеть все на вашем экране, включать камеру и микрофон, но вы об этом не знаете. У меня также есть доступ ко всем вашим контактам и всей вашей переписке.
Почему ваш антивирус не обнаружил вредоносное ПО? Ответ: Моя вредоносная программа использует драйвер, я обновляю его сигнатуры каждые 4 часа, чтобы ваш антивирус молчал.
Я сделал видео, показывающее, как вы удовлетворяете себя в левой половине экрана, а в правой половине вы видите видео, которое вы смотрели. Одним щелчком мыши я могу отправить это видео на все ваши электронные письма и контакты в социальных сетях. Также могу выложить доступ ко всей вашей электронной переписке и мессенджерам, которыми вы пользуетесь.
Если вы хотите предотвратить это, переведите сумму в размере 625 долларов США на мой биткойн-адрес (если вы не знаете, как это сделать, напишите в Google: «Купить биткойн»). Мой биткойн-адрес (BTC-кошелек): 1DASN5fH1E1PCoxU9qMEF7QDjnXcA2b3Km.
После получения оплаты я удалю видео и вы меня больше никогда не услышите.
Даю вам 48 часов на оплату. У меня есть уведомление о прочтении этого письма, и таймер сработает, когда вы увидите это письмо.
Подавать жалобу куда-либо не имеет смысла, потому что это электронное письмо нельзя отследить, как мой биткойн-адрес. Я не делаю ошибок.
Если я обнаружу, что вы поделились этим сообщением с кем-то еще, видео будет немедленно распространено.
С наилучшими пожеланиями!
Пустая угроза, но все же…
Я знал, что это была пустая угроза, но мое сердце все равно екнуло. Быстрая проверка заголовков сообщения электронной почты с последующим поиском DNS отправляющего хоста с помощью nslookup показала, что DNS-имя отправляющего хоста не было зарегистрировано. А затем с помощью инструмента IPAddress.com я смог определить, что хост-отправитель был мобильным телефоном кого-то в Лахоре, Пакистан.
После удаления электронного письма я связался с несколькими своими коллегами в сфере ИТ, чтобы узнать, не получал ли кто-либо из них подобных электронных писем с вымогательством. Один из них по имени Ян ответил, что недавно получил такое же электронное письмо. — Почти слово в слово, — сказал он. «На самом деле это было в моей нежелательной почте, а не в почтовом ящике. Обычно я бегло просматриваю свою нежелательную почту, чтобы проверить, не попало ли туда что-то, чего не должно было быть. Это привлекло мое внимание только потому, что они ссылались на старый почтовый пароль, который был взломан много лет назад, например, восемь-десять лет назад. И этот пароль давно был изменен и больше не использовался. Это была единственная причина, по которой я даже посмотрел на него еще раз».
Как распознать целевые фишинговые письма
Я спросил Яна, что он сам делал, чтобы выявлять подобные фишинговые письма. «Во-первых, я проверяю адрес электронной почты «от кого», — сказал он. «Если это друг, я удостоверяюсь, что это правильный адрес. Если он якобы принадлежит компании, с которой я сотрудничаю, я проверяю правильность доменов. Затем я ищу правильную грамматику в электронном письме. Довольно легко определить, когда сообщение написал человек, не говорящий по-английски. Простые опечатки, глаголы в неправильном времени и т. д. Наконец, я проверяю URL-адреса, на которые они пытаются меня отправить. Но это становится все труднее, поскольку Microsoft добавила в Outlook службу проверки URL-адресов. Теперь вы получаете это, что сложнее проверить:
«Моя первая проверка (адрес электронной почты правильный) привела меня к интересному», — продолжил Ян. «Сейчас происходит еще более интересная фишинговая атака. Злоумышленники ищут контакты с уже захваченных аккаунтов. Аккаунт моей матери был скомпрометирован. Я получил от нее электронное письмо, и адрес был правильным, поэтому я посмотрел немного глубже. Они прислали мне электронное письмо, в котором говорилось, что это ссылка на OneDrive с прикрепленным PDF-файлом, который, как я полагаю, был заражен. Ссылка ведет на сайт specialeventcruises.com и пытается заставить вас ввести свои учетные данные на поддельной веб-странице.
«Более интересно то, что они следят за аккаунтами и отвечают на электронные письма. Я убедился, что моей мамы в это время не было за компьютером, а затем открыл ее электронную почту, чтобы посмотреть ее. Я послал ей несколько электронных писем тем утром. Моя «мама» ответила им, пытаясь сказать мне, что с сайтом все в порядке. Итак, я спросил имя моей сестры, они правильно поняли — должно быть, проверяют социальные сети. Однако они неправильно поняли имя моего старшего брата. Упс, у меня его нет! Все это время я разговаривал по телефону с родителями, которых не было за компьютером. Забавно то, что моя мать жаловалась мне, что она будет в Outlook и видеть, что электронное письмо появляется в ее почтовом ящике, а затем исчезает. Я не мог понять, что происходит, до этого».
Ян закончил, предупредив меня, чтобы я был осторожен и никогда не открывал такие фишинговые электронные письма. Я ответил, попросив его передать привет своей «матери» в следующий раз, когда он поговорит с ним в Пакистане.