Исследователь Джеймс Воган рассказал, что он обнаружил необычное мошенническое письмо, которое обошло спам-фильтр Gmail. Оно имитировало счёт PayPal.
На первый взгляд, письмо выглядело как законное. В нём содержался счёт от продавца на 300 евро. Также в сообщении говорилось: «Не узнаёте продавца? Быстро сообщите нам +1(888) XXX-XXXX», но не с ASCII-символами, вероятно, чтобы избежать автоматического обнаружения спама.
При этом в поле «Кому» был указан адрес не пользователя, а кого-то другого.
В итоге исследователь задался вопросами: Как письмо оказалось в почтовом ящике? Как в пользовательском интерфейсе Gmail может быть законное поле «подписано: paypal.com»? Почему Gmail не отследил это как спам? Если это настоящий счёт PayPal и у них есть адрес электронной почты, то почему письмо не отправили напрямую?
После анализа сообщения Воган выяснил, что мошенник использовал минимум три приёма для обхода спам-фильтров: адрес электронной почты в поле «Кому», домен в поле «Отправитель» и учётную запись PayPal с именем, установленным на «Не узнаете продавца? Быстро сообщите нам +1(888) XXX-XXXX».
Скорее всего, авторы кампании отправили себе счёт PayPal, а затем создали электронное письмо, чтобы переслать его Вогану, используя полученный текст. Им пришлось оставить тело письма неизмененным, чтобы оно включало заголовки, подписанные PayPal.
Однако исследователь всё равно был удивлен, почему фильтр-спам Gmail не обнаружил подозрительное письмо. Он ожидал, что для популярных компаний у сервиса будет работать жёстко запрограммированное правило, которое помечает письма как спам, если они подписаны PayPal, но отправлены с нераспознанного домена. В самой PayPal уже пытаются запретить продавцам включать в имена номера телефонов.
Воган считает, что хакер не отправил ему письмо напрямую, так как в этом случае оно бы отобразилось в его реальном аккаунте PayPal, где его было бы проще распознать как мошенническое.
В декабре несколько жителей США рассказали, как они стали жертвами фишинговой кампании и потеряли сбережения в криптовалюте после кражи аккаунтов Google. Мошенники организовали схему, которая включала звонок с номера Google, чтобы предупредить владельца якобы о взломе его учётной записи Gmail. После этого они отправляли оповещения о необходимости принять меры безопасности для электронной почты непосредственно с google.com. В конечном итоге, когда пользователь нажал «да» в ответ на этот запрос, он лишался доступа к аккаунту.
Источник: habr.com
