Фишинг внутри корпоративного домена из-за неправильной настройки почтовой маршрутизации
Хакеры эксплуатируют уязвимости сетевой маршрутизации и неправильные настройки антиспуфинг-защиты. Это позволяет им маскироваться под сотрудников компаний и отправлять фишинговые электронные письма.
Для создания писем злоумышленники используют платформы типа Phishing-as-a-Service (PhaaS). Среди распространяемых схем выделяются фальшивые уведомления о голосовых сообщениях, общих документах, внутренней HR-переписке, истечении сроков действия или восстановлении паролей, цель которых — похищение учетных записей пользователей.
Специалисты Microsoft отметили резкий рост числа подобных атак начиная с мая 2025 года. Инциденты охватывают широкий круг жертв среди предприятий различной отраслевой принадлежности. Например, одна из недавних кампаний включала использование поддельных электронных писем для совершения финансовых махинаций.
Успешная реализация атаки позволяет злоумышленнику завладеть конфиденциальными учетными данными, что открывает путь к хищению корпоративных данных или компрометации корпоративной электронной почты (Business Email Compromise, BEC).
Основная проблема возникает тогда, когда клиенты реализуют сложную схему почтовой маршрутизации, не обеспечивая при этом полноценной защиты от спуфинга. Типичный пример такой схемы — MX-запись, направленная сначала на внутренний сервер Exchange или внешний сервис, прежде чем почта попадает непосредственно в Microsoft 365.
Подобная конфигурация создает уязвимое окно, которым киберпреступники пользуются для отправки поддельных писем. Согласно исследованиям Microsoft, большинство выявленных фишинговых кампаний, применяющих такую технику, основаны на инструменте Tycoon 2FA из семейства PhaaS. Только в октябре 2025 года компания заблокировала свыше 13 млн подозрительных писем, связанных именно с этим инструментом.
Мicrosoft зафиксировала случаи, когда злоумышленники пытались вынудить организации оплачивать фиктивные счета, приводя к значительным финансовым убыткам. Для убедительности мошеннические письма ссылаются на известные сервисы или представляются внутренними письмами отдела персонала, содержащими сведения о заработной плате или изменениях условий труда.
Распространены письма, имитирующие внутреннюю переписку руководства компании с третьими лицами, обычно запрашивающими оплату услуг, или с сотрудниками бухгалтерии. Часто такие письма сопровождаются приложенными документами, призванными повысить доверие жертвы.
Microsoft подчеркивает, что злоумышленники нередко включают в тело письма интерактивные элементы, такие как гиперссылки или QR-коды, ведущие на специально подготовленную фишинговую веб-страницу.
Для минимизации риска компаниям рекомендуется внедрить строгие меры проверки подлинности входящих сообщений с настройкой режима отклонения неподтверждённой корреспонденции, жёстко контролировать SPF-политики («Sender Policy Framework»), запрещающие несанкционированную отправку писем с доменов организации, а также конфигурировать внешние подключаемые сервисы, такие как фильтры спама или системы архивации.
Важно подчеркнуть, что организации, чьи DNS-записи MX настроены напрямую на Office 365, защищены от подобного вида атак. Дополнительно рекомендуется отключать прямую отправку сообщений, если отсутствует необходимость разрешать электронную почту, замаскированную под внутренние домены компании.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.