Государственные структуры часто становятся объектами фишинговых рассылок. С одной стороны, выше вероятность у жертвы сойти за легитимное письму, напоминающему счёт, постановление или штраф, а с другой — из-за как правило слабой защищённости гос. структур в ИТ-сфере вообще и технологиях электронной почты в частности.
На этот раз пострадал государственный оператор связи Ростелеком. Была осуществлена массовая рассылка с вредоносными вложениями якобы от имени этой компании. Открывая приложенный к письму файл доверчивый получатель вместо ожидаемого документа от телекоммуникационной компании заражал свой компьютер вредоносным ПО. Нужно ли говорить, что в последствии заражённый таким образом компьютер мог использоваться злоумышленниками в самых неблаговидных целях: дальнейшем распространении вирусов и спама, DDoS-атаках, вымогательстве и т.п.
Сам Ростелеком в курсе происходящего и уже выпустил пресс-релиз, в котором сообщает своим абонентам о факте мошеннической рассылки и призывает пользователей к осторожности при переходе по ссылкам и/или открытию вложений из таких сообщений.
Однако ж, вместо того, чтобы публиковать предупреждения о случившемся инциденте постфактум, не лучше ли было заранее озаботиться предотвращением или хотя бы сведением к минимуму самой возможности таких событий? Благо, что профессиональное сообщество ИТ уже разработало средства от подобных проблем.
Существующие почти 10 лет в ИТ-индустрии технологии защиты сообщений электронной почты от подделки в этой компании внедрены недостаточно. Так, прекрасно себя зарекомендовавшие себя технологии Sender Policy Framework (SPF) – политика безопасности отправителя и Domain Key Identified Mail (DKIM) – почта, повреждённая доменными ключами, эффективно помогают почтовым серверам получателей отсеивать подделки, мошеннические письма от сообщений настоящего отправителя. Ростелеком, к сожалению, внедрил их лишь частично: так необходимая SPF-запись присутствует лишь на домене rostelecom.ru, а у домена rt.ru отсутствует вовсе.
Политика криптографических подписей DKIM не используется ни на том, ни на другом доменах компании, в чем может убедиться каждый желающий. Для достаточно лишь сделать пару запросов типа TXT к любому DNS-серверу по доменным именам rt.ru и rostelecom.ru Очевидно, именно по этим причинам Ростелеком был выбран мишенью для лёгких и эффективных для злоумышленников атак.
