Фишинг: что делать, если от вашего имени рассылают мошенники

С чего всё началось?

Признаться, мы впервые столкнулись с такой массовой атакой на практике. За пару дней до того, как клиент узнал о фишинге, мошенники успели отправить от его имени десятки тысяч сомнительных писем. Емейлы были тонко подделаны под оригинальные: домен и тематика компании сохранялись, лого и шапка были идентичны настоящим, в служебные заголовки была даже скопирована SPF-запись ExpertSender. Прокол оказался в том, что мошенники «засветили» свой отправляющий IP-адрес, по которому мы узнали город отправки и имя владельца IP. Правда, в итоге эта информация практически ничем не помогла.

Вот какие шаги мы предприняли вместе с клиентом, чтобы остановить фишинговые рассылки и защититься от них впредь.

1. Приостановка рассылки

Первое, что сделал клиент, – приостановил все реальные рассылки, включая транзакционные. Компания отправляла сообщения только своим подписчикам, а емейлы мошенников уходили всем подряд – вероятно, они собрали базу нелегальными способами. Мы знали, что после обращения к провайдерам отправляющий домен клиента заблокируют, поэтому решили оставить для блока только чужие письма.

2. Настройка DMARC

В мире современных рассылок надёжно защитить от фишинга может только DMARC. Это TXT-запись, которая прописывается на стороне отправляющего домена по аналогии с SPF и DKIM. Если она есть, то почтовый провайдер анализирует, прошло ли письмо проверку SPF и DKIM. И на этом основании разрешает или блокирует отправку емейлов.

В зависимости от жёсткости политики DMARC бывает трёх видов:

  • None – не предпринимать никаких действий, кроме регистрации не прошедших проверку сообщений в ежедневном отчёте;
  • Quarantine – помечать соответствующие сообщения как спам;
  • Reject – отклонять сообщения на уровне SMTP.

Так получилось, что маркетолог клиента точно не знал, настроен ли у них DMARC. Мы проверили это через сервис DNS Watch: ввели в поисковую строку запись вида «_dmarc.домен». Выяснилось, что политика уже была настроена на уровне «quarantine» – этот вид DMARC фильтрует письма частично и не пропускает только на установленный процент. В нашем случае было задано 30% – этого клиенту хватало, чтобы фильтровать только небольшую часть фишинговых сообщений. Поэтому политику «quarantine» решили поменять на самую жёсткую – «reject», при которой отклоняются все сообщения, не прошедшие идентификацию.

3. Изменение SPF-записи

Как известно, в SPF-записи указываются все IP-адреса серверов, с которых отправляются сообщения от имени домена. Помимо нашей платформы клиент использовал для отправки собственную CRM. Поэтому его TXT-запись включала IP-адреса ExpertSender + IP-адреса CRM и была мягкой по отношению к остальным IP, то есть завершалась на «~all» и допускала отправку с других адресов. Мы изменили настройку SPF на вид «–all», чтобы запретить сомнительным письмам попадать даже в папку «Спам».

4. Обращение в Mail.ru

Параллельно настройке DMARC и SPF клиент обратился в техподдержку Mail.ru, объяснил ситуацию и попросил временно заблокировать письма со своего домена, которым незаконно воспользовались мошенники. Саппорт почтового провайдера отреагировал оперативно. Не прошло и часа, как письма пользователям Mail.ru приходить перестали. Так мы добились блокировки 60% отправляемых мошенниками рассылок.

5. Обращение в рабочую группу по фишингу

Spamhaus – международная некоммерческая организация по борьбе со спамом и фишингом. Чтобы сделать всё возможное для восстановления репутации, мы с клиентом решили обратиться и туда. На сайте Spamhaus нашли ссылку на рабочую группу по фишингу и в свободной форме написали им англоязычное письмо, в котором рассказали о случившемся, приложили образец поддельного емейла и попросили заблокировать IP-адрес обманщиков.

Итоги

На все перечисленные меры ушло чуть меньше 2-х дней. В первый день нам удалось заблокировать письма пользователям Mail.ru, а к концу второго DMARC уже полностью заблокировал рассылки мошенников. Это можно было увидеть в ежедневных отчётах, которые приходят на почту после настройки политики. Ответа от рабочей группы Spamhaus по фишингу мы, к сожалению, так и не получили. Возможно, с их стороны было что-то сделано, но подтверждения этому мы не увидели. Спустя 3 дня компания клиента возобновила все рассылки и вернулась к привычному ритму отправок.

Какие выводы мы сделали?

  • Фишинг существует во всех сферах, и основная его цель – нажиться на вашем добром имени и клиентах. Причём жертвой мошенников может стать как небольшая компания, известная в узких кругах, так и госкорпорация.
  • Не жалейте времени на изучение политики DMARC и её настройку – это бесплатно и нетрудно. Возможно, однажды отчёт порадует вас тем, что фильтр пресёк отправку чужих сообщений от вашего имени.
  • Обращаться за помощью в компетентные международные организации нужно. Но лучше сначала самим сделать всё возможное, чтобы в таком обращении не возникло необходимости. 🙂

Указанные в статье советы мы собрали в чек-лист, который можно скачать и хранить в личной подборке, чтобы быть готовым к решительным мерам в случае атаки мошенников. Хотя мы очень надеемся, что «чёрный день», когда вам придётся им воспользоваться, так и не наступит. 🙂

Согласен

Мы используем файлы cookie для записи информации о сеансе, например, прошлой активности на сайте, чтобы обеспечить лучший сервис, когда посетители возвращаются на наш сайт или настраивают содержимое веб-страницы на основе типа браузера посетителей. Используя веб-сайт, вы выражаете свое согласие с нашей политикой cookie. Вы можете изменить настройки файла cookie в своем веб-браузере.