Волна спам-рассылок маскируется под уведомления от популярного видеохостинга YouTube
05/07/24
Такие письма стали поступать на электронные ящики сотрудников крупных компаний в России.Обэтомсообщает исследование группы F.A.C.C.T., передаёт Securitylab.
Как работают мошенники
Злоумышленники отправляют письма, якобы от имени YouTube, с уведомлением о том, что на комментарий под неким видеороликом был оставлен ответ. Название видео в письмах сообщало о «новом проекте от именитого фин-бренда», что вызывает интерес и желание перейти по ссылке.
Введя свои данные, жертва становится потенциальной целью для дальнейших мошеннических действий. Ей звонит так называемый «специалист», представляющийся персональным менеджером. Он убеждает жертву открыть счет и перевести на него деньги для «начала заработка». В результате все средства оказываются в руках мошенников.
Техника маскировки
Злоумышленники тщательно подготовили свою схему, чтобы избежать подозрений и обойти алгоритмы безопасности YouTube. Они зарегистрировали новый YouTube-канал и разместили на нём несколько видеороликов различной тематики, таких как «подборки приколов» и видео с животными, чтобы придать каналу естественный вид. Далее они опубликовали видео под названием «НОВЫЙ ПРОЕКТ», ссылку на которое и содержали письма.
Затем, с другого аккаунта, под этим видео был оставлен комментарий, на который с третьего аккаунта был дан ответ. После этого комментарии к видео были закрыты. Таким образом, первый аккаунт получил от YouTube письмо-уведомление с информацией о том, что на его комментарий был дан ответ.
Массовая рассылка
Полученное таким образом письмо мошенники начали массово рассылать со своих серверов пользователям, чьи адреса оказались в списках массовой рассылки. Важно отметить, что YouTube не подозревает, что от его имени рассылались эти письма, и сама платформа не имеет уязвимостей, которые бы позволили мошенникам воспользоваться ею напрямую.
Выявление и борьба с рассылкой
Основная опасность этих писем заключается в том, что они содержат подлинную DKIM-подпись YouTube, подтверждающую их подлинность. Однако внимательные пользователи могут заметить несоответствия, такие как email-адрес отправителя, который не имеет отношения к YouTube.
Ещё одним важным признаком спам-рассылки является дата отправки письма, подписанная DKIM-подписью. Злоумышленники не могут изменить эту дату, так как это потребовало бы заново создать DKIM-подпись, что они сделать не могут. В результате фактическая дата получения письма может значительно отличаться от даты отправки.