Треджекинг (Threadjacking): Захват цепочек писем и риски спама

Определение

Треджекинг (Threadjacking) — это захват существующей цепочки писем путем вставки в неё контента или тем, не имеющих отношения к исходному обсуждению. Такое поведение нарушает ход беседы, путает участников и часто используется спамерами для обхода фильтров за счет «примазывания» к легитимной переписке.

Примеры ситуаций

Спамеры, отвечающие в треды тикетов поддержки для рекламы своих услуг

Фишинг-атаки внутри корпоративной почты через «ответ» в старую ветку

Сотрудники, начинающие обсуждение нового проекта через «Re:» к старому письму ради скорости

Рекламные предложения в цепочках обсуждения отраслевых мероприятий

Вставка поддельных счетов в ветку общения с поставщиком

Рассылка вирусов во вложениях внутри активных рабочих переписок

Менеджеры по продажам, пытающиеся пробиться к ЛПР через его прошлые ответы

Чем опасен треджекинг

Для компаний это риск потери важной информации: критические обновления проекта могут затеряться под слоем постороннего шума. С точки зрения безопасности, это частый прием фишинга. Злоумышленник, взломав один аккаунт, вклинивается в доверенную переписку и шлет вредоносную ссылку — уровень доверия к такому письму гораздо выше, чем к новому сообщению от незнакомца.

Как работает треджекинг

Треджекинг использует механизм группировки писем в почтовых клиентах. Когда кто-то отвечает на письмо, клиент вшивает заголовки «In-Reply-To», связывая сообщения. Злоумышленник (или нетактичный коллега) берет старый тред и шлет в него ответ на совершенно другую тему. В результате все участники цепочки получают уведомление о «новом сообщении в беседе», которое на самом деле является спамом или посторонним вопросом.

Лучшие практики

Всегда начинайте новое письмо для новой темы — не используйте кнопку «Ответить» для смены контекста

Обучайте сотрудников распознавать резкую смену темы в доверенных тредах

Используйте решения безопасности, анализирующие аномалии в цепочках писем

Пишите конкретные темы писем и обновляйте их, если обсуждение плавно ушло в сторону

Проверяйте адреса всех участников в копии перед отправкой чувствительных данных

Внедрите SPF, DKIM и DMARC для защиты своих тредов от подделки извне

Не нажимайте «Ответить всем», если ваш вопрос касается только одного человека

Часто задаваемые вопросы

В чем разница между треджекингом и спуфингом?

Спуфинг — это подделка адреса отправителя. Треджекинг — это вставка чужой темы в живой диалог. Часто они работают вместе для убедительности атаки.

Как распознать захваченную цепочку?

Резкая смена темы, странные вложения, которых не было раньше, или изменение тона общения отправителя. Всегда проверяйте адрес отправителя, даже если он в цепочке.

Вреден ли случайный треджекинг?

Да. Он портит архив почты, делает невозможным поиск информации по теме в будущем и просто раздражает коллег лишними уведомлениями.

Треджекинг (Threadjacking)

Все термины email, которые вам нужно знать для освоения email-маркетинга и доставляемости, объяснённые просто и понятно.