Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Рис. 1.2.Входящее письмо от «ООО “Магнит”» с темой «Заказ» в интерфейсе электронной почты

Если владелец электронного адреса откроет данное письмо, то оно будет выглядеть в браузере, как показано на рис. 1.3.

Рис. 1.3.Вид электронного письма

Как можно заметить, тело письма содержит текст «Файл во вложении» и подпись «Алексей Климов».

Интерфейс почтового ящика говорит пользователю о том, что к электронному письму имеется приложение — файл «3.JPG» размером 2,7 Мб, который пользователь может посмотреть или скачать.

В нижней части отображаемого сообщения также содержится миниатюрное изображение присланного файла.

Пользователь автоматически выполняет действие — нажимает на изображение, содержащее манящий текст «посмотреть», «скачать» или изображение — миниатюру документа.

После совершенного действия пользователю открывается следующая страница (см. рис. 1.4), на которой указаны логин пользователя, дополнительная информация о файле, находящемся во вложении, и возможные варианты продолжения действий: скачать, посмотреть.

Рис. 1.4.Страница, отображаемая при переходе по ссылке в письме

При нажатии на кнопку «Продолжить» пользователь наблюдает процесс авторизации и подключения к почтовому серверу, как показано на рис. 1.5.

Рис. 1.5.Процесс авторизации

В силу «технических» причин почтовая система просит пользователя повторить авторизацию. Окно авторизации на рис. 1.6 уже содержит логин пользователя, и требуется только ввести пароль для продолжения.

Рис. 1.6.Окно повторной авторизации

Пользователь вводит в появившемся окне пароль, получает желаемый файл, возвращается к входящим сообщениям своего электронного ящика и продолжает обычную работу. Ни одна собака не зарычала, антивирусные системы безмятежны.

Понятное дело, что раз мы тут говорим о фишинге, скорее всего, в это время уже выполняется несанкционированное копирование всей переписки пользователя, документов и фотографий, проверяется доступ к закрепленным за аккаунтом сервисам, проводится поиск среди переписки по ключевым словам с целью обнаружения компромата, фильтруются письма с целью отыскания реквизитов, данных авторизации к платежным системам и корпоративным сервисам и другим интересным вещам, коих так много содержит аккаунт каждого из нас.

И происходит это потому, что пароль пользователя украден.

Вернемся к началу и снова рассмотрим поступившее от «ООО “Магнит”» письмо с темой «Заказ», якобы имеющее во вложении файл.

На самом деле письмо содержит текст «Файл во вложении» и «Алексей Климов». Никаких файлов во вложении нет, а есть два интегрированных в письмо изображения, имитирующих наличие вложения.

Рис. 1.7.Изображение информации о прикрепленном файле

Рис. 1.8.Изображение прикрепленного файла

Изображения изготовлены в полном соответствии со стилистикой интерфейса почтового сервиса и ничем себя не выдают. Заметить подвох довольно сложно, тем более что система почтового сервера такова, что при наведении на данные изображения пользователь может увидеть ссылку вида:

https://proxy.imgsmail.ru/?email=**0inbox.ru&e=1498379070&h=9-c-pc-Us7zjiMuCsJ7qKQ&url171=cnUtbXguZWlhaWwvaWlnL2ltZzEucG5n&is_https=0,

при этом ресурс https://proxy.imgsmaiL.ru/ является официальным ресурсом почтового сервера.

Страница, на которой указаны логин пользователя, дополнительная информация о файле — вложении и возможные варианты продолжения (скачать, посмотреть), — на самом деле уже страница фишинг-движка, в данном случае расположенная по адресу:

http://e.mail.ru-cgi-bix.ru/files/?Login=&Domain=.ru&id=12433644800000023780&msg=bWFpbC5ydQIIZWxlbmFfcGFy

Или проще: http://e.mail.ru-cgi-bix.ru/files/. Доменное имя e.mail.ru-cgi-bix.ru принадлежит злодею, а не официальному почтовому сервису, хотя и содержит нечто похоже в написании.

Никакой авторизации при вводе пароля не происходит, анимированный в стилистике почтового сервиса бегунок просто изящно пробегает для пущей достоверности происходящего процесса соединения и выдает вполне обычное окно авторизации, также являющееся частью фишинг-движка.

После данной «авторизации» пользователь переадресовывается обратно на официальный сервер, к себе в почтовый ящик, а необходимые данные: пароль с учетной записью и доменным именем — программа (скрипт), входящая в состав фишинг-движка, записывает в нужный файл или отсылает на специальный адрес электронной почты или сервер злодея.