Аналитики компании KELA сообщают, что в даркнете выставлены на продажу не менее 225 000 учетных записей электронной почты. При этом купить доступ к украденной корпоративной почте можно всего за 2 доллара США, а основные «потребности» киберпреступников покрывают всего несколько маркетплейсов (Xleet, Lufix, Odin, Xmina). Исследователи говорят, что крупнейшими магазинами по продаже доступов к чужой почте являются Xleet и Lufix, на каждом из которых на продажу выставлены более 100 000 взломанных учетных записей. Стоимость таких доступов варьируется в диапазоне от 2 до 30 долларов (и больше для особенно «интересных» организаций). Как правило, учетные записи воруют посредством брутфорса или атак типа credential stuffing, то есть подстановки учетных данных, которые ранее были украдены с помощью фишинга или куплены у других киберпреступников. Полученный доступ к корпоративным почтовым ящикам хакеры используют для таргетированных атак, включая целевой фишинг, социальную инженерию (направленную на более глубокое проникновение в сеть) и BEC-атаки (Business Email Compromise). Отчет KELA гласит, что продажи доступов к корпоративной почте на черном рынке остаются стабильной «сферой» уже несколько лет, и злоумышленники на всех основных хак-форумах давно продают «комбинированные списки» почтовых доступов. К примеру, недавно операторы вымогателя Everest предлагали доступ к почтовым ящикам некой аэрокосмической производственной компании за 15 000 долларов. Комбо-предложение Однако такие продажи неизменно подразумевают под собой утомительный процесс ведения переговоров с продавцом, связаны с определенными рисками, а валидность данных часто подвергается сомнению. В итоге это способствовало появлению автоматизированных магазинов, вроде упомянутых Xleet, Odin, Xmina и Lufix, которые позволяют хакерам покупать доступ к учетным записям электронной почты по собственному выбору. Главная страница Xleet Продавцы на таких площадках не используют никнеймы, а маскируются при помощи номеров, которые им присваивает система. Например, Odin предлагает посмотреть более подробную информацию о продавце, включая количество проданных товаров, общий объем продаж и средний пользовательский рейтинг. Информация о продавце «Многие из этих магазинов предоставляют расширенные функции, включая “доказательства” того, что доступ к веб-почте действительно работает. Такие доказательства включают в себя проверку электронной почты в режиме реального времени для подтверждения доступа или демонстрацию снимка экрана входящих сообщений скомпрометированной учетной записи», — рассказывают эксперты. На Odin и Xleet дополнительно сообщается, как именно были получены доступы к почтовым ящикам: hacked (взломаны), cracked (крякнуты), logs (из логов) или created (созданы с нуля). При этом большинство (98%) учетных записей в Xleet относятся к категориям hacked и cracked. Наиболее популярными на этих площадках являются учетные записи Office 365, на которые приходится почти половина всей веб-почты, а за ними следуют хостинг-провайдеры (cPanel, GoDaddy и Ionos). 09.12.2022 https://xakep.ru/2022/12/09/compromised-corporate-emails/