В теневых телеграм-каналах активно рекламируется платформа для спуфинга – массовых фишинговых рассылок с подменой отправителя. Жертва получает письмо, где в строке «Отправитель» указан реальный email легитимной организации.
Киберпреступники часто действуют от лица легитимных компаний, чтобы вызвать у жертвы доверие. Чем крупнее и известнее бренд, тем охотнее злоумышленники используют его айдентику. Добросовестные организации не несут ответственности за неправомерное использование их бренда в преступных целях и причиненный в результате ущерб.
Новая платформа позволяет подменить адрес отправителя на любой произвольный. Так, по утверждению разработчиков инструмента, с помощью их платформы уже были похищены деньги у нескольких финансовых бирж. Для этого атакующие направили в адрес бирж письма с апелляцией по якобы ошибочно проведенным финансовым операциям и просьбой «вернуть» денежные средства. По словам преступников, апелляции были удовлетворены, и мошенники получили деньги. Примечательно, что злоумышленники отправляли письма от лица двух банков.
Разработчики платформы подчеркивают, что не используют тайпсквоттинг, то есть не регистрируют поддельные доменные имена, которые похожи на настоящие, но отличаются на один малозаметный знак, цифру, символ и т.д. В качестве еще одного важного преимущества создатели сервиса указывают возможность обхода DKIM- и SPF-проверок на стороне получателя – специальных инструментов защиты электронной почты, основанных на списках доверенных адресов и цифровом идентификаторе отправителя.
Олег Скулкин, руководитель BI.ZONE Threat Intelligence:
| «По нашим данным, с вредоносных писем начинается 64% атак на российские компании. Новый инструмент опасен тем, что позволяет создавать крайне правдоподобные фишинговые письма. Даже очень бдительные пользователи не смогут самостоятельно отличить их от легитимных, поскольку для подмены используются настоящие домены вполне реальных и известных компаний. Кроме того, злоумышленники используют автоматический парсинг изображений, чтобы сделать визуальное оформление своих писем максимально достоверным». |
Подмена отправителя одна из распространенных техник, используемых в фишинговых рассылках. По данным BI.ZONE Mail Security, в первом квартале 2026 года более четверти всех нелегитимных писем содержали признаки спуфинга.
Защита от таких атак строится вокруг проверки отправителя и его инфраструктуры. Почтовые системы анализируют домен, репутацию отправителя и другие технические признаки, которые помогают выявить подделку. Злоумышленники, однако, используют не только спуфинг, но и легитимные сервисы: облачные платформы, веб-формы, файловые хранилища и доверенные домены. Письма, отправленные через такую инфраструктуру, могут успешно проходить базовые проверки и не вызывать подозрений.
Поэтому стратегия защиты должна включать анализ содержимого письма. Системы безопасности должны учитывать не только технические индикаторы, но и признаки социальной инженерии: манипулятивные формулировки, побуждение к срочным действиям, логические несоответствия и семантические аномалии. Выявлять такие угрозы помогают ИИ-модели, которые анализируют смысл сообщения, контекст и поведенческие признаки.
При этом компаниям важно не только развивать средства защиты, но и обучать сотрудников распознавать вредоносную корреспонденцию: поддельные счета, запросы на оплату, уведомления и другие сообщения с признаками социальной инженерии.
Источник: компания BI.ZONE


