Не знаю что это было, но похоже это какая-то проверка со стороны нашего руководителя IT
-отдела и его замут, просто по-другому не скажешь. А может я ошибаюсь.
Пишет руководитель IT-отдела мне письмо, точнее пересылает, письмо следующего содержания:
From: 124@amlgo.ru <124@amlgo.ru>
Sent: Wednesday, October 9, 2024 11:37 AM
To: ekzorchik <ekzorchik@ekzorchikdom.ru>
Subject: Изменение корпоративной парольной политики
Коллеги, добрый день! С 10.10.2024 в организации в целях усиления защиты от несанкционированного доступа в информационную инфраструктуру вводится в действие новая корпоративная парольная политика для сотрудников.
В связи с этим, просим Вас в кратчайшие сроки изменить пароль от своей корпоративной учетной записи в соответствии с новыми требованиями. Новый пароль должен быть длиной не менее 8 символов и обязательно содержать буквы в нижнем и верхнем регистре, цифры и спецсимволы.
Быстро и просто произвести смену пароля можно с помощью корпоративной веб-почты https://mail.ekzorchikdom.ru/
Напоминаем Вам, что функция изменения пароля находится в "Настройки -> Учетная запись -> Безопасность -> Изменить пароль".
после спрашивает, в чем подвох в этом письме.
Отвечаю, что когда на водишь курсор мыши на ссылку https://mail.ekzorchikdom.ru
во всплывающем окне другая ссылка вида: https://mail.amlgo.ru/?docindex=GC4dKQa
+ отправителем значится почта 124@amlgo.ru
+ если в тестовой среде перейти по ссылке то открывается страница
у нас Outlook
не выставлен в интернет вот такой вот формой.
т.е. на лицо явно фишинговая рассыла, по базе whois
пробиваю домен amlgo.ru
и вижу, что его зарегистрировали в августе 2024
года.
whois amlgo.ru
% TCI Whois Service. Terms of use:
% https://tcinet.ru/documents/whois_ru_rf.pdf (in Russian)
% https://tcinet.ru/documents/whois_su.pdf (in Russian)
domain: AMLGO.RU
nserver: ns1.reg.ru.
nserver: ns2.reg.ru.
state: REGISTERED, DELEGATED, UNVERIFIED
person: Private Person
registrar: REGRU-RU
admin-contact: http://www.reg.ru/whois/admin_contact
created: 2024-08-30T12:26:21Z
paid-till: 2025-08-30T12:26:21Z
free-date: 2025-09-30
source: TCI
Last updated on 2024-10-09T09:51:30Z
Пишу на почтовый адрес abuse@reg.ru
что нас с домена который зарегистрирован у Вас присылаются фишинговые письма, прошу разобраться.
Затем на srv-mail01-cas (Exchange 2010)
открываю ORF Log View
нахожу отправителя 124@amlgo.ru
из заношу в блок лист, как домен так и поддомены + через ping
до amlgo.ru
выявляю IP
адрес и его также заношу в блок лист, но уже на шлюзе (TMG).
Далее также на srv-mail01-cas
Запускаю консоль Exchange Management Shell
и по всем серверам на которых у меня стоит роль Mailboxпроизвожу удаление письма где поле Subject
совпадает с текстом: Изменение корпоративной парольной политики
[PS] C:\Windows\system32>Get-Mailbox -Server "srv-01-mb" -ResultSize unlimited | search-mailbox -searchquery 'subject:"Изменение корпоративной парольной политики"' -deletecontent
Confirm
Deleting content from mailboxes polygon.local/Users/Administrator
[Y] Yes [A] Yes to All [N] No [L] No to All [?] Help (default is "Y"): A
дабы никто из сотрудников не смог все же перейти по замаскированной ссылке.
Далее на будущее создаю на Exchange 2010
в Organization Configuration - Hub Transport
— вкладка Transport Rules - New Transport Rules
(создаю правило которое будет удалять письма такого рода)
Name: Block External Mail to Subject
when the Subject filed contains specific words: отмечаю
добавляю "Изменение корпоративной парольной политики"
Delete the message without notifying anyone: Отмечаю галочкой
т.е. посредством данного правила я буду удалять после прохождения письма через ORF
правилом на Exchange
данные письма.
И на вопрос от руководителя что мы можем сделать, я ответил что я уже все сделал.
Ну а если кто-либо перешел и указала данные своего пароля, то меняем ее пароль и проводим беседу и возвращаемся к памятке по работе с информационными ресурсами.
Итого, из такой ситуации я делаю вывод, что как хорошо, что я все разобрал до этого и на всякий случай у меня все есть и я могу быстро, ну насколько возможно отреагировать в рамках имеющихся средств на сложившуюся ситуация.
На этом пока все, с уважением автор блога Олло Александр aka ekzorchik.