Проблемы информационной безопасности Билайн

Преамбула

В один прекрасный день мне надоело удалять очередные рекламные письма от компании Билайн и я решил отписаться от получения этих рассылок. Перейдя по ссылке в письме, которая явно служила для отписки от рассылки, и выполнив нехитрые манипуляции, я благополучно отписался. Я так думал.

Через какое то время я вновь получил письмо. Отписался. Ещё письмо. Отписался. Ещё письмо… Тут я решил сделать скриншот экрана и сохранить изображение, что бы, если получу очередное письмо, убедиться в том, что я не сошёл с ума и уже отписывался. Очередное письмо я, конечно же, получил.

Решил написать в поддержку и сообщить им о том, что отписка через письма у них не работает и попросил удалить мой адрес электронной почты из рассылки. И тут началось…

Безопасность

Очередной представитель Билайн сообщил мне что адрес электронной почты, с которой я получаю рассылку, а именно bee4you@beeline.ru, не принадлежит компании Билайн и является, скорее всего, мошеннической. Та-дам!

Представляете масштаб бедствия? Кто-то смог создать почту в домене beeline.ru и совершает несанкционированную рассылку. Правда мошенники какие-то странные, рекламируют сервисы Билайн и все ссылки имеют utm-метки.

Начинаю разбираться в проблеме глубже. Смотрю заголовки письма мошенника и вижу что почта отправлена с ip адреса 89.179.138.70 (домен mxtech1.beeline.ru).

Проверяем dns записи домена beeline.ru и видим что этот ip в списке spf записи.

Запись SPF определяет почтовые серверы и домены, которым разрешено отправлять электронную почту от имени вашего домена.

Всё ещё хуже чем я думал. Враг сидит глубоко. Он не только создал почтовый адрес с доменом beeline.ru, так он ещё и рассылку осуществляет с почтовых серверов компании.

Выводы

Информационная безопасность компании оставляет желать лучшего, т. к. злоумышленники смогли:

Все выводы основаны на полученных ответах представителей компании и доступных инструментов для анализа.