mail-nation

Управляем почтой: от домена до конверсий

Новость

Фишинг через кнопку отписки: как защитить корпоративную

Фишинговая рассылка мигрировала в легитимный служебный канал — кнопку List-Unsubscribe.

Фишинг через кнопку отписки: как защитить корпоративную

Механика подмены

Злоумышленник рассылает письмо от имени несуществующей или скомпрометированной компании. В теле — призыв «отписаться» через внешнюю ссылку. URL ведёт на фишинговый домен, имитирующий бренд: формы «Подтверждение отписки», «Жалоба на спам», «Удаление адреса из базы». Легитимный процесс ограничивается сменой статуса подписчика и не требует ничего, кроме адреса. Запрос имени, телефона, паспортных данных — индикатор компрометации канала.

Риск для корпоративного сегмента

Корпоративный почтовый трафик уязвим сильнее: один клик рядового сотрудника выдаёт злоумышленнику должность, внутренний домен, контакты в смежных подразделениях. Дальше — таргетированный spear-phishing с подменой отправителя внутри цепочки доверия. PTR, SPF, DKIM отправителя значения не имеют: домен одноразовый, проверки пройдены, жертва идёт через браузер, минуя почтовый фильтр.

Что проверить на стороне MTA

  • Запретите автоклик по List-Unsubscribe на уровне почтового клиента в корпоративных политиках. Используйте только серверную обработку.
  • Включите DKIM-верификацию и DMARC-репорт (p=quarantine минимум) на собственном домене — чтобы подделка вашего отправителя блокировалась у получателей.
  • Настройте SPF в режиме hardfail (-all). Softfail (~all) для фишинга бесполезен.
  • Письма с внешними URL в теле List-Unsubscribe помечайте как потенциальный фишинг на стороне фильтра, до доставки в ящик.
  • Проверьте журналы SMTP-релеев: массовые ответы пользователей на непрофильные домены — индикатор уже состоявшейся утечки.
  • Обучите пользователей: легитимная отписка — смена статуса в базе отправителя, а не заполнение анкеты.

Разовая кнопка в письме теперь стоит дороже самого письма. Заблокируйте канал утечки до того, как им воспользуются.