Атака conversation hijacking

Conversation hijacking (перехват беседы, также встречаются переводы «перехват разговора», «перехват переписки» и т. д.) — целевая атака с применением социальной инженерии, при которой злоумышленник выдает себя за одного из участников уже существующей переписки (или коммуникации другого рода), используя установившееся между собеседниками доверие. Чаще всего термин conversation hijacking употребляется в отношении атак по электронной почте, однако злоумышленники могут применять этот метод и при общении через другие каналы, например групповые чаты в мессенджерах.

Схема атаки conversation hijacking

Как правило, кибератаки типа conversation hijacking проходят в три этапа.

  1. Получение доступа к переписке. Чтобы встроиться в уже существующую переписку, злоумышленнику нужно в каком-то виде ее получить. Для этого он может взломать аккаунт одного из участников (например, при помощи социальной инженерии, вредоносного ПО, уязвимостей сети или полученных в результате утечек учетных данных). Получив доступ к аккаунту, он может настроить правило, пересылающее всю переписку этого аккаунта на почтовый ящик злоумышленника, на случай если доступ у него отберут. Также атакующий может получить доступ к переписке, не взламывая аккаунт. Например, использовать вредоносное ПО для кражи писем жертвы с зараженного устройства или приобрести содержимое чьего-либо почтового ящика в даркнете.
  2. Наблюдение и сбор информации. Получив доступ к переписке, злоумышленник изучает ее, чтобы узнать нужные ему сведения. Эта фаза может продолжаться несколько дней или месяцев, пока атакующий собирает необходимую для убедительного обмана информацию.
  3. Общение с жертвой. Злоумышленник вступает в коммуникацию, чтобы получить больше информации или заставить жертву выполнить определенное действие (например, переслать секретные данные или выполнить денежный перевод). Если у атакующего есть доступ к взломанной учетной записи одного из участников переписки, он выдает себя за него, чем усыпляет доверие противоположной стороны. В противном случае злоумышленник может написать жертве с адреса, который легко перепутать с адресом ее собеседника (например, с похожего домена), рассчитывая, что жертва не заметит подделку. На этом этапе преступники могут вести длительную переписку, чтобы усыпить бдительность, или переводить диалог на другую платформу, не защищенную корпоративными средствами безопасности.

Возможные цели атаки conversation hijacking

Перехват беседы — это целевая фишинговая атака, предполагающая предварительную подготовку со стороны атакующего. Она может быть направлена на:

  • Получение финансовой выгоды. Злоумышленники находят беседу о незавершенной сделке и убеждают жертву перевести деньги на подконтрольный им счет.
  • Кражу корпоративного аккаунта. Злоумышленник может под видом рабочего документа прислать ссылку на фишинговый сайт, требующий авторизоваться под корпоративным аккаунтом.
  • Доставку вредоносного ПО. Злоумышленник может прислать вредоносный файл под видом рабочего документа, проекта, презентации и т. д.
  • Кражу конфиденциальной информации. Злоумышленник может от имени коллеги или партнера запросить у жертвы конфиденциальные документы, закрытую информацию о проектах компании и т. д.