В предыдущей статье я показал, как скрыть вирус в архиве ZIP и RAR. Теперь пройдемся по нескольким огрехам в интерфейсе почтовых клиентов, которые помогают не только пентестерам, но и злоумышленникам вводить жертв в заблуждение.
Еще по теме: Использование SigThief для обхода антивируса
Как отправить вирус через электронную почту
Рассмотрим тему с двух сторон: как мы в благих целях можем использовать эти недочеты при пентесте в фишинговых рассылках и как разработчики ПО могут помочь пользователям различать этот самый фишинг.
На картинке ниже изображен интерфейс входящего письма в Outlook.
Логика жертвы такая: раз письмо видят и бухгалтер, и директор, значит, лучше сделать то, что требуется. Все бы ничего, но в копии указаны email-адреса, имитирующие коллег жертвы, на самом деле это несуществующие адреса (см. рисунок ниже).
Статья в образовательных целях для обучения этичных хакеров. Использование представленной информации для атак на частные лица или организации без их предварительного письменного согласия является незаконным. Несанкционированный взлом является незаконным и рассматривается как уголовное преступление. При участии в пентесте необходимо действовать этично и соблюдать установленные правила. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши незаконные действия.
Но если в первом email еще можно разглядеть букву s со штрихом внизу, то во втором кириллическую букву визуально отличить от латинской невозможно.
При наведении курсора мыши email виден тот же, с поддельной буквой.
Расчет злоумышленника простой: он указывает фиктивные адреса в копии, письма никуда не доходят, зато жертва думает, что начальство в курсе переписки, и с большей долей вероятности откроет архив с малварью внутри или перейдет по фишинговой ссылке.
«Фейковый» email выглядит похожим на оригинальный домен, потому что Outlook преобразовал Punycode-комбинацию в Unicode.
В другом известном почтовом клиенте точно такая же история: email с Punycode не отображается как <gl.buhgalter@xn--topphish-g9c.ru>, а мог бы.
Теперь давайте рассмотрим несколько примеров почтовых служб и их веб‑интерфейсов. На этот раз взглянем не на то, как отображается Unicode в поле отправителя, а насколько сложно пользователю определить отправителя письма в интерфейсе.
Название компаний указывать не буду, но веб‑интерфейсы с явными проблемами определения реального отправителя письма мы рассмотрим. На примере ниже вы можете увидеть email в поле «От», но это не адрес отправителя — это email, указанный вместо имени отправителя.
На скрине выше письмо в веб-интерфейсе, где не виден реальный email-адрес отправителя.
То есть имя и email могут выглядеть так: info@domain.ru <info@evil.com>, а в почтовом сервисе жертва видит только <info@domain.ru>.
В следующем примере похожая история: вместо имени мы видим email и пользователь решит, что письмо пришло от знакомого отправителя.
Но в этом интерфейсе при нажатии на email хотя бы можно увидеть, кто на самом деле отправил письмо, в отличие от предыдущего примера. Можно же сделать так, как в интерфейсах ниже?
На скрине выше пример отображения имени отправителя и email в Яндекс Почте.
На скрине выше пример отображения имени отправителя и email в The Bat.
Заключение
Мы рассмотрели техники передачи вирусов по электроной почте используя почтовые клиенты и веб-интерфейс. Разумеется, сколько существует программ и сервисов, столько в них будет и недочетов, требуется лишь усердие при поиске «обхода системы». Собственно, профессия хакера, в нашем случае этичного, как раз и подразумевает, что смотришь на мир немного не так, как все остальные.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Обход антивируса в Meterpreter
- Как скрыть процессы от антивирусов
- Создание вируса для Windows с помощью Veil
- Создание вируса-загрузчика Trojan.DownLoader