Не знаю что это было, но похоже это какая-то проверка со стороны нашего руководителя IT-отдела и его замут, просто по-другому не скажешь. А может я ошибаюсь.

Пишет руководитель IT-отдела мне письмо, точнее пересылает, письмо следующего содержания:

From: 124@amlgo.ru <124@amlgo.ru>

Sent: Wednesday, October 9, 2024 11:37 AM

To: ekzorchik <ekzorchik@ekzorchikdom.ru>

Subject: Изменение корпоративной парольной политики

Коллеги, добрый день! С 10.10.2024 в организации в целях усиления защиты от несанкционированного доступа в информационную инфраструктуру вводится в действие новая корпоративная парольная политика для сотрудников.

В связи с этим, просим Вас в кратчайшие сроки изменить пароль от своей корпоративной учетной записи в соответствии с новыми требованиями. Новый пароль должен быть длиной не менее 8 символов и обязательно содержать буквы в нижнем и верхнем регистре, цифры и спецсимволы.

Быстро и просто произвести смену пароля можно с помощью корпоративной веб-почты https://mail.ekzorchikdom.ru/

Напоминаем Вам, что функция изменения пароля находится в "Настройки -> Учетная запись -> Безопасность -> Изменить пароль".

после спрашивает, в чем подвох в этом письме.

Отвечаю, что когда на водишь курсор мыши на ссылку https://mail.ekzorchikdom.ru во всплывающем окне другая ссылка вида: https://mail.amlgo.ru/?docindex=GC4dKQa

+ отправителем значится почта 124@amlgo.ru

+ если в тестовой среде перейти по ссылке то открывается страница

Окно ввода домен + логин + пароль на фишинговой странице.

у нас Outlook не выставлен в интернет вот такой вот формой.

т.е. на лицо явно фишинговая рассыла, по базе whois пробиваю домен amlgo.ru и вижу, что его зарегистрировали в августе 2024 года.

whois amlgo.ru

% TCI Whois Service. Terms of use:

% https://tcinet.ru/documents/whois_ru_rf.pdf (in Russian)

% https://tcinet.ru/documents/whois_su.pdf (in Russian)

 

domain:        AMLGO.RU

nserver:       ns1.reg.ru.

nserver:       ns2.reg.ru.

state:         REGISTERED, DELEGATED, UNVERIFIED

person:        Private Person

registrar:     REGRU-RU

admin-contact: http://www.reg.ru/whois/admin_contact

created:       2024-08-30T12:26:21Z

paid-till:     2025-08-30T12:26:21Z

free-date:     2025-09-30

source:        TCI

 

Last updated on 2024-10-09T09:51:30Z

Пишу на почтовый адрес abuse@reg.ru что нас с домена который зарегистрирован у Вас присылаются фишинговые письма, прошу разобраться.

Затем на srv-mail01-cas (Exchange 2010) открываю ORF Log View нахожу отправителя 124@amlgo.ru из заношу в блок лист, как домен так и поддомены + через ping до amlgo.ru выявляю IP адрес и его также заношу в блок лист, но уже на шлюзе (TMG).

Далее также на srv-mail01-cas Запускаю консоль Exchange Management Shell и по всем серверам на которых у меня стоит роль Mailboxпроизвожу удаление письма где поле Subject совпадает с текстом: Изменение корпоративной парольной политики

[PS] C:\Windows\system32>Get-Mailbox -Server "srv-01-mb" -ResultSize unlimited | search-mailbox -searchquery 'subject:"Изменение корпоративной парольной политики"' -deletecontent

Confirm

Deleting content from mailboxes polygon.local/Users/Administrator

[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [?] Help (default is "Y"): A

дабы никто из сотрудников не смог все же перейти по замаскированной ссылке.

Далее на будущее создаю на Exchange 2010 в Organization Configuration - Hub Transport — вкладка Transport Rules - New Transport Rules (создаю правило которое будет удалять письма такого рода)

  • Name: Block External Mail to Subject
  • when the Subject filed contains specific words: отмечаю
  • добавляю "Изменение корпоративной парольной политики"
  • Delete the message without notifying anyone: Отмечаю галочкой

т.е. посредством данного правила я буду удалять после прохождения письма через ORF правилом на Exchange данные письма.

И на вопрос от руководителя что мы можем сделать, я ответил что я уже все сделал.

Ну а если кто-либо перешел и указала данные своего пароля, то меняем ее пароль и проводим беседу и возвращаемся к памятке по работе с информационными ресурсами.

Итого, из такой ситуации я делаю вывод, что как хорошо, что я все разобрал до этого и на всякий случай у меня все есть и я могу быстро, ну насколько возможно отреагировать в рамках имеющихся средств на сложившуюся ситуация.

На этом пока все, с уважением автор блога Олло Александр aka ekzorchik.

 

От ekzorchik