Защо винаги да проверяваме номера, на който ни карат да се обадим

Имейл с валиден SPF, DKIM и DMARC може да е част от атака. Разкриваме нова схема и рисковете за компании и потребители.

Един имейл, изпратен от реален домейн, преминал всички проверки за автентичност, може да изглежда като гаранция за сигурност. Последен случай с PayPal показва как точно това усещане създава входна точка за потенциален пробив.

Как работи схемата

Атаката използва напълно легитимна функционалност на PayPal. Нападател регистрира бизнес акаунт и изпраща минимална сума – в случая 0.12 филипински песо (0.0017 EUR). Ключовият елемент се крие в полето за описание, което PayPal използва като тема на имейла.

Резултатът: реален имейл от paypal.com със заглавие за „pending deposit“ от $987.90 и телефонен номер за контакт.

Какво вижда потребителят

Съдържанието в тялото на имейла показва реалната малка транзакция, но вниманието вече е насочено към заглавието.

Къде се случва пробивът

Сценарият продължава извън имейла. Обаждането към посочения номер свързва жертвата с атакуващ, който представя процес за „анулиране“ на плащането. В следващите стъпки често се стига до:

Това превръща иначе безобиден имейл в реален риск за пробив.

Защо атаката е ефективна

Практиката показва, че дори добре обучени екипи могат да бъдат подведени, когато атаката използва легитимна инфраструктура. Затова, 3 пъти мерим, веднъж режем.

Автентикацията гарантира произхода на имейла. Съдържанието обаче изисква отделна преценка. Легитимни системи могат да бъдат използвани като канал за злонамерени действия, което създава домино ефект в киберсигурността – от една малка транзакция до потенциален пробив.

Exit mobile version