Do stworzenia tego wpisu zainspirowała mnie analiza maila, z którym miałem ostatnio przyjemność się zetknąć. Chciałbym się podzielić moimi radami w tym zakresie.
Atakujący oczywiście tworzą tego typu wiadomości dla pieniędzy Trzy najczęstsze cele ataków to:
- pozyskanie dostępu do bankowości internetowej ofiary
- zaszyfrowanie danych ofiary i żądanie okupu
- pozyskanie zasobów komputera i wykorzystanie go jako część botnetu do rozsyłania spamu lub przeprowadzania ataków
Każdy z tych celów przynosi konkretne dochody, zatem nie dziwi fakt, że hakerzy coraz bardziej dopracowują metody ataku. A najbardziej podatni jesteśmy niestety my sami.
Na powyższym obrazku widnieje treść maila ze szkodliwym załącznikiem. Całość jest napisana bardzo profesjonalnie, nienaganną polszczyzną. Co jednak powinno wzbudzić naszą uwagę przed uruchomieniem załącznika ?
Moje uwagi dotyczą nie tylko tego konkretnego maila:
- Adres nadawcy. Czy znamy nadawcę i oczekujemy od niego maila ? Trzeba zwrócić uwagę czy w domenie adresata nie ma przypadkiem błędu, nawet jednej zmienionej litery. Czasami atakujący rejestruje bardzo podobną domenę, która na pierwszy rzut oka nie różni się od oryginalnej.
- Temat maila. Czy rzeczywiście znam firmę DapUnited lub AXL Sp. z o.o. ? Czy nadawca jest upoważniony do wysyłania dokumentów drogą elektroniczną ?
- Załącznik. To szerszy temat. Czasami atakujący szyfruje załączniki (zazwyczaj rozszerzenie zip) oraz podaje nam hasło w treści maila. Nie ma to nic wspólnego z bezpieczeństwem, bo hasło i plik są w jednym miejscu. Hakerowi zależy wyłącznie na ukryciu złośliwego kodu przed skanerami poczty elektronicznej, dla których plik zaszyfrowany jest nieczytelny. Często załączniki mają podwójne rozszerzenie np. faktura.pdf.pif Windows ma możliwość ukrycia znanych rozszerzeń i wtedy ofiara widzi tylko nazwę pliku faktura.pdf. Nigdy nie należy otwierać żadnych załączników z podwójnym rozszerzeniem. Czasami w załączniku mamy dokument programu Word i prośbę o uruchomienie makra. Makra praktycznie nigdy nie są potrzebne do dostarczenia klientowi dokumentu czy faktury. Zatem nigdy nie uruchamiamy makr w takim przypadku. Mimo, że w treści maila link wygląda bardzo przyjaźnie (doc.onlineviewer.eu) to po najechaniu myszą odnajdujemy prawdziwy cel linku. Już pierwszy rzut oka upewnia nas, że nie jest to nic dobrego. Wylądujemy na domenie przypisanej do Luxemburga…
Zatem podsumowując zalecam sporą podejrzliwość do wszelkich załączników. A jeśli mimo wszystko haker przekonał nas do uruchomienia załącznika – najlepszą metodą jest jak najszybsze wyłączenie komputera i kontakt z działem IT. Może to zminimalizować straty np. przy szyfrowaniu danych w celu okupu.
Mariusz Kozłowski
Jeden komentarz do “Wirus w mailu”