Благодарим за подписку!

Закрыть

Фишинг: что делать, если от вашего имени рассылают мошенники

Фишинг – зло. Многие думают, что эта проблема их не коснётся, а зря. Недавно один из наших клиентов убедился в этом лично: мошенники начали отправлять письма от его имени. Компания давно работает в финансовой сфере, и её репутация оказалась под угрозой. Мы с клиентом противостояли атаке вместе и делимся с вами опытом: что делать честному отправителю, если его рассылки начали подделывать.

 

С чего всё началось?

Признаться, мы впервые столкнулись с такой массовой атакой на практике. За пару дней до того, как клиент узнал о фишинге, мошенники успели отправить от его имени десятки тысяч сомнительных писем. Емейлы были тонко подделаны под оригинальные: домен и тематика компании сохранялись, лого и шапка были идентичны настоящим, в служебные заголовки была даже скопирована SPF-запись ExpertSender. Прокол оказался в том, что мошенники «засветили» свой отправляющий IP-адрес, по которому мы узнали город отправки и имя владельца IP. Правда, в итоге эта информация практически ничем не помогла.

 

Вот какие шаги мы предприняли вместе с клиентом, чтобы остановить фишинговые рассылки и защититься от них впредь.

 

  1. Приостановка рассылки

Первое, что сделал клиент, – приостановил все реальные рассылки, включая транзакционные. Компания отправляла сообщения только своим подписчикам, а емейлы мошенников уходили всем подряд – вероятно, они собрали базу нелегальными способами. Мы знали, что после обращения к провайдерам отправляющий домен клиента заблокируют, поэтому решили оставить для блока только чужие письма.

 

  1. Настройка DMARC

В мире современных рассылок надёжно защитить от фишинга может только DMARC. Это TXT-запись, которая прописывается на стороне отправляющего домена по аналогии с SPF и DKIM. Если она есть, то почтовый провайдер анализирует, прошло ли письмо проверку SPF и DKIM. И на этом основании разрешает или блокирует отправку емейлов.

 

В зависимости от жёсткости политики DMARC бывает трёх видов:

  • None – не предпринимать никаких действий, кроме регистрации не прошедших проверку сообщений в ежедневном отчёте;
  • Quarantine – помечать соответствующие сообщения как спам;
  • Reject – отклонять сообщения на уровне SMTP.

Так получилось, что маркетолог клиента точно не знал, настроен ли у них DMARC. Мы проверили это через сервис DNS Watch: ввели в поисковую строку запись вида «_dmarc.домен». Выяснилось, что политика уже была настроена на уровне «quarantine» – этот вид DMARC фильтрует письма частично и не пропускает только на установленный процент. В нашем случае было задано 30% – этого клиенту хватало, чтобы фильтровать только небольшую часть фишинговых сообщений. Поэтому политику «quarantine» решили поменять на самую жёсткую – «reject», при которой отклоняются все сообщения, не прошедшие идентификацию.

 

  1. Изменение SPF-записи

Как известно, в SPF-записи указываются все IP-адреса серверов, с которых отправляются сообщения от имени домена. Помимо нашей платформы клиент использовал для отправки собственную CRM. Поэтому его TXT-запись включала IP-адреса ExpertSender + IP-адреса CRM и была мягкой по отношению к остальным IP, то есть завершалась на «~all» и допускала отправку с других адресов. Мы изменили настройку SPF на вид «–all», чтобы запретить сомнительным письмам попадать даже в папку «Спам».

 

  1. Обращение в Mail.ru

Параллельно настройке DMARC и SPF клиент обратился в техподдержку Mail.ru, объяснил ситуацию и попросил временно заблокировать письма со своего домена, которым незаконно воспользовались мошенники. Саппорт почтового провайдера отреагировал оперативно. Не прошло и часа, как письма пользователям Mail.ru приходить перестали. Так мы добились блокировки 60% отправляемых мошенниками рассылок.

 

  1. Обращение в рабочую группу по фишингу

Spamhaus – международная некоммерческая организация по борьбе со спамом и фишингом. Чтобы сделать всё возможное для восстановления репутации, мы с клиентом решили обратиться и туда. На сайте Spamhaus нашли ссылку на рабочую группу по фишингу и в свободной форме написали им англоязычное письмо, в котором рассказали о случившемся, приложили образец поддельного емейла и попросили заблокировать IP-адрес обманщиков.

 

Итоги

На все перечисленные меры ушло чуть меньше 2-х дней. В первый день нам удалось заблокировать письма пользователям Mail.ru, а к концу второго DMARC уже полностью заблокировал рассылки мошенников. Это можно было увидеть в ежедневных отчётах, которые приходят на почту после настройки политики. Ответа от рабочей группы Spamhaus по фишингу мы, к сожалению, так и не получили. Возможно, с их стороны было что-то сделано, но подтверждения этому мы не увидели. Спустя 3 дня компания клиента возобновила все рассылки и вернулась к привычному ритму отправок.

 

Какие выводы мы сделали?

  1. Фишинг существует во всех сферах, и основная его цель – нажиться на вашем добром имени и клиентах. Причём жертвой мошенников может стать как небольшая компания, известная в узких кругах, так и госкорпорация.
  2. Не жалейте времени на изучение политики DMARC и её настройку – это бесплатно и нетрудно. Возможно, однажды отчёт порадует вас тем, что фильтр пресёк отправку чужих сообщений от вашего имени.
  3. Обращаться за помощью в компетентные международные организации нужно. Но лучше сначала самим сделать всё возможное, чтобы в таком обращении не возникло необходимости. 🙂

 

Указанные в статье советы мы собрали в чек-лист, который можно скачать и хранить в личной подборке, чтобы быть готовым к решительным мерам в случае атаки мошенников. Хотя мы очень надеемся, что «чёрный день», когда вам придётся им воспользоваться, так и не наступит. 🙂

 

Контент-эксперт ExpertSender

 

Узнавайте о новых статьях блога ExpertSender

Нажимая на кнопку, вы даете согласие на обработку персональных данных