Киберпреступники воспользовались уязвимостью в серверах релейной почты компании Proofpoint и отправили миллионы поддельных фишинговых писем.
Специалисты Guardio Labs обнаружили, что эта фишинговая кампания началась в январе и ежедневно рассылала около трех миллионов писем. В начале июня активность достигла пика — 14 миллионов писем в день.
Обход спам-фильтров
Исследователи назвали эту кампанию «EchoSpoofing». Преступники смогли подделать подписи DKIM и одобрить SPF для своих писем. Их выдал тот факт, что все письма отправлялись через одну конкретную семью серверов — pphosted.com, которые принадлежат и управляются компанией Proofpoint.
Для получателей письма выглядели так, как будто они исходили от известных компаний, клиентов Proofpoint. Среди них были такие крупные компании, как Disney, IBM, Nike, Best Buy и Coca-Cola.
«Эти письма были отправлены через официальные релейные сервера Proofpoint с аутентифицированными подписями SPF и DKIM, что позволило им обходить основные меры безопасности, обманывать получателей и красть финансовые и личные данные», — заключили исследователи.
Guardio Labs сообщили, что все крупные почтовые сервисы, включая Gmail, не смогли отметить эти письма как спам и пропустили их напрямую в почтовые ящики пользователей. Письма пугали жертв поддельными уведомлениями о истечении сроков действия аккаунтов, запросами на оплату и обновление, с целью получения платежных и личных данных.
Proofpoint сообщили, что следили за кампанией EchoSpoofing с марта и предоставили новые настройки и рекомендации по предотвращению таких атак в будущем. Компания разработала подробное руководство для пользователей о том, как добавить проверки от подделки и другие меры безопасности.
Источник: TechRadar
