Злоумышленники используют "запрос уведомления о доставке"
Старший специалист по исследованию угроз Пол Фергюсон сообщил о злоумышленниках, которые пользовались функцией "запрос уведомления о доставке" для определения настоящих адресов электронной почты. В почтовых клиентах, таких как Microsoft Outlook, запрашивается разрешение на отправку уведомления о прочтении, а большинство платформ с веб-интерфейсом такое уведомление отправляет автоматически, если оно запрашивалось.
На сайте Microsoft приведены инструкции по активации и применению этой функции в различных версиях программы Outlook. С помощью этой функции злоумышленники могут рассылать письма на огромное количество адресов, а затем легко отбирать проверенные адреса – с них приходят уведомления, отправленные либо вручную, либо автоматически. Так, вследствие простого уведомления о доставке адресат попадает в список будущих жертв.
Еще один пример с использованием полезной фунции в неблагих намерениях - несколько дней назад Фергюсон сообщил об обнаружении фальшивого письма с уведомлением, но на этот раз - о невозможности доставки. Уведомление о невозможности доставки – в противоположность уведомлению о доставке – отправляется отправителю письма с сообщением о том, что письмо не получено адресатом вследствие различных причин.
К сообщению прикреплен зашифрованный файл, в котором должно быть недоставленное письмо. Поскольку защита паролем не позволяет антивирусным программам сканировать прикрепленные файлы, файл упаковывается в зашифрованный архив .ZIP. Защищенный паролем архив .ZIP квалифицирован как TROJ_DLOADZIP.A, а извлеченный из него файл – TROJ_DLOADR.IB.
На сайте Microsoft приведены инструкции по активации и применению этой функции в различных версиях программы Outlook. С помощью этой функции злоумышленники могут рассылать письма на огромное количество адресов, а затем легко отбирать проверенные адреса – с них приходят уведомления, отправленные либо вручную, либо автоматически. Так, вследствие простого уведомления о доставке адресат попадает в список будущих жертв.
Еще один пример с использованием полезной фунции в неблагих намерениях - несколько дней назад Фергюсон сообщил об обнаружении фальшивого письма с уведомлением, но на этот раз - о невозможности доставки. Уведомление о невозможности доставки – в противоположность уведомлению о доставке – отправляется отправителю письма с сообщением о том, что письмо не получено адресатом вследствие различных причин.
К сообщению прикреплен зашифрованный файл, в котором должно быть недоставленное письмо. Поскольку защита паролем не позволяет антивирусным программам сканировать прикрепленные файлы, файл упаковывается в зашифрованный архив .ZIP. Защищенный паролем архив .ZIP квалифицирован как TROJ_DLOADZIP.A, а извлеченный из него файл – TROJ_DLOADR.IB.