Компания PandaLabs распространила информацию о том, что на прошлой неделе пользователи по всему миру получали электронные письма с собственным адресом в полях отправителя и получателя. Сами письма не содержали вредоносного кода (их заголовок и текст состоял из произвольных чисел). Однако сам факт рассылки может свидетельствовать о том, что электронный адрес является частью базы данных, используемой кибер-мошенниками для рассылки спама, фишинга или распространения вредоносного ПО.

Конечно же, эти письма отправлены не с адреса пользователя, а с использованием методов фальсификации адреса для маскировки источника сообщения. Анна Власова, руководитель группы спам-аналитиков «Лаборатории Касперского», отмечает, что «термин «письмо-призрак» совершенно неизвестный, в информации PandaLabs речь идет о конкретной рассылке, которую они так назвали. Совпадение же адресов отправителя и получателя - явление абсолютно обычное, это общая проблема SMTP-протокола, так как данные отправителя в свойствах письма не требуют подтверждения. Намеренное использование этой особенности для подделки обратного адреса называется mail-спуфингом. Ничего необычного в прошедшей рассылке не существует».

Хотя сама по себе рассылка не является вредоносной, вполне вероятно, что это только первый шаг, ведь технологии кибер-преступников развиваются. Александр Печников, руководитель отдела маркетинга компании «ДиалогНаука», пояснил, что «существует более оригинальный подход, чем «письма – призраки». Перед рассылкой спама база данных адресов анализируется на предмет выбора пар отправитель - получатель с максимальной вероятностью возможности существования реального письма между ними. В эти пары, в первую очередь, складываются корпоративные адреса на одном домене и реальные пары отправитель - получатель из писем на уже зараженных компьютерах. Получатели подобного спама с высокой долей вероятности заинтересуются письмом от коллеги из соседнего отдела или от уже известного адресата».

Дополнением к сказанному звучат слова Константина Архипова, директора Panda Software Russia. Он считает, что «за последние полгода чего-то принципиально нового в области спама и фишинга не появилось. Это связано в первую очередь с тем, что сегодняшние способы социальной инженерии, с помощью которых обманывают получателей писем по всему миру, остаются очень эффективными. Таким образом, злоумышленники, используя те же приемы, продолжают получать огромную прибыль от своих действий. У них пока нет необходимости изобретать что-то новое, но постепенно ситуация изменится, и нужно быть готовыми к тому, что «что-то новое» может появиться в любой момент».

Автор: Александр Рыбаков