Хакеры притворяются вами: разбор атаки на Blesta
Анатомия атаки через подмену email
В конце июня интернет облетела настораживающая новость. Пользователи по всему миру начали получать письма с обратным адресом support@blesta.com. Тема — «Blesta Compromised». Внутри: обвинения во взломе серверов и требование выкупа.
Пока расследование продолжается, главный вывод уже очевиден: подделать email в 2024 году — плевое дело.
Почему эта атака была особенно изощрённой
Интересна не сама угроза — подобные письма приходят постоянно. Интересен источник. Сообщение якобы отправлено с домена самой компании. Именно это и эксплуатируют атакующие — доверие к знакомым адресам.
Когда человек видит письмо от support@название-компании.ru, мозг автоматически помечает его как безопасное. Этот психологический ярлык — настоящая находка для злоумышленников.
Техническая правда: ваша почта не так защищена, как кажется
Без правильных протоколов аутентификации email кто угодно может отправить письмо якобы с вашего домена. Три главных механизма защиты — SPF, DKIM и DMARC — созданы именно для борьбы с этим:
- SPF (Sender Policy Framework): определяет, какие серверы имеют право отправлять почту от вашего домена
- DKIM (DomainKeys Identified Mail): добавляет цифровую подпись, подтверждающую целостность письма
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): требует соблюдения SPF и DKIM, а также отправляет отчёты о нарушениях
Если бы в DNS Blesta эти протоколы были настроены с жёсткой политикой, подмена была бы заблокирована или как минимум помечена как подозрительная.
Что это значит для вашего бизнеса
Для владельцев доменов
Если DMARC не настроен с политикой p=reject, ваш домен могут использовать в подобных атаках уже завтра. Злоумышленники постоянно сканируют сеть в поисках доменов со слабой почтовой защитой. Найденные домены идут в ход для:
- Фишинговых кампаний против ваших клиентов
- Мошенничества с корпоративной почтой (BEC)
- Атак с подделкой бренда
Для получателей писем
Этот случай напоминает: никогда не судите о письме только по обратному адресу. Тревожные сигналы в истории с Blesta:
- Срочная, запугивающая формулировка с требованием немедленных действий
- Размытые заявления о взломе без конкретики
- Требование выкупа — нормальные компании так не работают
Позиция Vibe Hosting
В NameOcean мы видели десятки доменов, скомпрометированных из-за слабой почтовой защиты. Наша платформа Vibe Hosting включает встроенные инструменты для настройки аутентификации email, и мы настоятельно рекомендуем:
- Включить DMARC сразу при регистрации домена
- Регулярно проверять DMARC-отчёты на предмет ошибок аутентификации
- Использовать специализированные сервисы рассылки (Amazon SES, SendGrid) вместо прямого SMTP для транзакционных писем
- Обучить команду процедурам проверки подозрительных сообщений
Звонок для всей индустрии
История с Blesta должна стать триггером для хостинг-компаний и SaaS-сервисов: пора провести аудит почтовой безопасности. Доверие клиентов — это не только качество продукта, но и каждое письмо, несущее имя вашего бренда.
Важный момент: это была именно подмена, а не реальный взлом. Blesta, вероятно, не пострадала инфраструктурно. Но удар по репутации — это тоже урон. И он показывает, почему защита почты заслуживает такого же внимания, как защита приложений.
Вместо заключения
Email остаётся главным оружием киберпреступников — и неспроста. Комбинация психологического давления и технической маскировки создаёт угрозу, от которой не застрахован никто.
Решение не требует танцев с бубном, но нужны осознанные действия:
- Настройте SPF, DKIM и DMARC прямо сейчас
- Выставите DMARC политику
p=reject - Следите за репутацией домена
- Научите команду перепроверять странные запросы через второй канал
Ваш домен — это ваша цифровая личность. Относитесь к нему соответственно.
Оставайтесь в безопасности, не теряйте бдительности и помните: в вопросах кибербезопасности доверяй, но проверяй — единственно верный подход.