T1589.002: АДРЕСИ ЕЛЕКТРОННОЇ ПОШТИ

Зловмисники можуть збирати адреси електронної пошти, які можуть бути використані під час вибору цілі. Навіть якщо існують внутрішні екземпляри поштових систем, організації можуть мати зовнішню поштову інфраструктуру та адреси для співробітників.

Зловмисники можуть легко збирати адреси електронної пошти, оскільки вони можуть бути вільно доступні та представлені в онлайн-ресурсах або інших доступних наборах даних (наприклад, соціальні мережі або пошук на вебсайтах, що належать жертві). Адреси електронної пошти також можуть бути отримані за допомогою більш активних засобів (Active Scanning), таких як зондування та аналіз відповідей від служб автентифікації, які можуть розкрити дійсні імена користувачів у системі.

Наприклад, зловмисники можуть перераховувати адреси електронної пошти в середовищах Office 365, опитуючи різноманітні публічно доступні кінцеві точки API, такі як autodiscover та GetCredentialType.

Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук на відкритих вебсайтах або фішинг для отримання інформації), створення оперативних ресурсів (поштові акаунти) та/або початкового доступу (фішинг або перебір паролів через зовнішні віддалені сервіси).

Як хакери «витягують» вашу пошту?

• OSINT (Відкрита розвідка): Використання інструментів типу theHarvester, Hunter.io або Skymem. Ці сервіси сканують увесь інтернет, соцмережі (LinkedIn) та кеш пошуковиків, щоб знайти будь-які згадки адрес у потрібному домені.
• Аналіз документів: Метадані в PDF або DOCX файлах на сайті компанії часто містять адресу автора в полі “Author” або “Company”.
• Енумерація через API (Office 365/Google Workspace): Хакери використовують скрипти (наприклад, o365recon), які надсилають запити до серверів Microsoft. Якщо сервер відповідає, що для цієї адреси потрібен пароль — значить, пошта існує. Якщо каже “користувача не знайдено” — адреса невірна.
• Витоки даних: Старі бази даних зламаних сайтів містять мільйони зв’язок “ПІБ + Пошта”. Зловмисник просто фільтрує їх за доменом вашої компанії.

Чому це небезпечно?

• Точне націлювання: Хакер не шле спам усім підряд. Він знає пошту головного бухгалтера або системного адміністратора і готує Spear Phishing (цільовий фішинг).
• Username = Email: У більшості сучасних систем адреса пошти є логіном для входу. Знаючи пошту, хакеру залишається лише підібрати пароль (Brute Force / Password Spraying).
• Соціальна інженерія: Знаючи імена та пошти колег, зловмисник може написати листа від імені директора (director@company.ua) новому співробітнику, чию пошту він також знайшов.

Як захиститися?

• Мінімалізм на сайті: Не публікуйте особисті пошти співробітників на сайті. Використовуйте загальні адреси типу info@, sales@ або форми зворотного зв’язку.
• Приховування в LinkedIn: Навчіть співробітників приховувати свою робочу пошту в налаштуваннях приватності соцмереж.
• Блокування перерахування (Enumeration): Налаштуйте поштові сервери та хмарні сервіси так, щоб вони видавали однакову помилку як для існуючих, так і для неіснуючих користувачів (якщо це дозволяє конфігурація).
• Моніторинг логів: Слідкуйте за великою кількістю запитів до сервісів автентифікації з однієї IP-адреси, які намагаються «вгадати» імена користувачів.