Как да идентифицираме имейл, заразен с вирус?

Спам и фишинг са двете най-ефективни техники, които помагат на престъпниците да постигнат своите зловредни цели. Тъй като човечеството става все по-зависимо от технологиите и по-специално Интернет, забелязваме как кибер престъпниците се обединяват в организирани престъпни групи, които се трудят усилено да осъществят злонамерените си проекти и да откраднат парите на нищо неподозиращите жертви.

В действителност, според някои специалисти неорганизираната кибер престъпност вече е спряла да съществува. Докато много хора смятат, че кибер престъпниците са много добри хакери, които знаят как да използват код, за да пробият системите за сигурност и дори да поемат управлението над компютрите на потребителите от разстояние, действителността е доста различна.

В повечето случаи, тези кибер престъпници са просто квалифицирани измамници, които използват методите на социалното инженерство за да подведат потребителите да инсталират зловреден софтуер на компютрите си. Използването на спам и фишинг за разпространението на зловреден софтуер е най-доброто доказателство за това и всъщност може да бъде определено като логичната еволюция на кибер престъпността.

Всъщност не е нужно да прекарвате часове да създавате сложни схеми за атака, когато всичко, което трябва да направите, за да хакнете компютърна мрежа, е да убедите някой наивен служител да отвори прикачения файл от имейла си, представен като автобиография.

Тези техники са се доказали като доста ефективни и определено ускоряват разпространението на зловреден софтуер. Например, 2017 година е широко призната за годината на рансъмуера и фактът, че почти 93% от фишинг имейлите през първото тримесечие на 2017 съдържат рансъмуер, е достатъчно доказателство за това. Като цяло, имаме разумни основания да смятаме, че количеството на спам и фишинг през 2018 ще достигне дори по-високи стойности.

Към момента, електронните писма заредени със зловреден софтуер са най-ефективните вектори на атаката. Измамниците бързат да се възползват от текущи събития (спортни прояви, разпродажби, данъчни кампании и др.) и разпращат стотици хиляди тематични имейл съобщения, въпреки че някои трикове се ползват и целогодишно. Дадените по-долу примери показват фишинг имейлите, които най-често се използват при разпространението на зловреден софтуер. Да се надяваме, че тези примери ще ви помогнат да разграничавате фишинг имейлите в бъдеще и ще ви накарат да сте по-скептични към надеждността на имейли, изпратени от непознати.

Примери за зловреден спам

Пример No. 1: Имейли с автобиография или кандидатстване за работа

Фишинг имейлите, които съдържат прикачена автобиография обикновено се изпращат към специалист по подбор на персонал, управители или собственици на компании, които взимат решенията за наемането на персонал. Подобни имейли обикновено съдържат няколко реда текст, подканващ получателя да отвори автобиографията в прикачения файл. Логично, измамниците очакват тези фишинг имейли да бъдат убедителни, когато се опитват да засегнат точно определена компания или здравна организация. Подобни имейли са използвани най-вече в спам кампаниите на CryptoWall 3.0, GoldenEye и Cerber. По-долу ще видите примери за подобни фишинг имейли.

Malware-laden resume

Пример No. 2: Фишинг имейли от гиганта в електронната търговия – Amazon

Кибер престъпниците изпращат имейли на потребителите на Amazon с фалшиви съобщения, изпратени от фалшиви имейл профили, които на пръв поглед изглеждат легитимни. Подобни фишинг имейли се използват за измъкване на пари от жертвата или за транспортиране на зловреден прикачен файл, който пренася опасен компютърен вирус. Например, изманиците използват имейл адреса [email protected] за да разпратят хиляди имейли, съдържащи рансъмуера Locky. Предметът на тези имейли е: „Your Amazon.com Order Has Dispatched (#order_number)/ Вашата поръчка от Amazon.com е изпратена (номер на поръчка)” и съдържат ZIP прикачен файл, който пренася зловреден JS файл, който след като бъде отворен изтегля рансъмуер от определена уеб страница. По-долу ще видите пример за зловреден имейл, пренасящ Locky и пример, който е получен по време на анализа на разспространителската кампания на Spora.

Amazon email scams

Пример No. 3: Фактури

Друга много успешна техника, която помага за разцвета в разпространението на рансъмуера Locky включва фишинг имейли, които пренасят прикачен файл на име “ATTN: Invoice-[random code]/Фактура (случаен номер)”. Тези измамни имейли съдържат няколко реда текст в полето на съобщението, който моли жертвата да „погледне прикачената фактура (Документ на Microsoft Word)“. Единственият проблем е, че този Word документ в действителност съдържа зловреден скрипт, който се активира чрез Macro функцията. По-долу е представен пример за описания фишинг имейл.

Malicious emails distributing Locky

Пример No. 4: Спам залагащ на големи спортни събития

Обичате спорта? То тогава е добре да сте запознати и с тематичния спортен спам. Напоследък, изследователите на Kaspersky забелязват увеличение на имейлите, чиято цел са потребители, интересуващи се от Европейския футболен шампионат, предстоящите Световни купи през 2018 и 2022 година, както и Олимпийските игри в Бразилия. Подобни съобщения пренасят зловреден ZIP архив, който съдържа Троянски кон (даунлоудър на зловреден софтуер) под формата на JavaScript файл. Според специалистите, Троянският кон е предназначен да изтегля още злонамерен софтуер на компютъра. По-долу ще видите пример за зловредно съобщение.

Malicious spam targeting FIFA fans

Пример No. 5. Спам свързан с тероризъм

Кибер измамниците не забравят, че тероризмът е една от темите представляващи особен интерес. Не е изненада, че тази тема се използва и при спам имейлите. Спамът свързан с тероризъм, обаче, не е от любимите на изманиците, но все пак е добре да сте наясно какво може да очаквате. По-долу сме дали пример за един такъв имейл. Според данните, с които разполагаме, този тип спам обикновено се използва за кражба на лични данни, осъществяване на DDoS атаки и разпространяване на зловреден софтуер.

Terrorism-based phishing emails

Пример No. 6 Имейли предоставящи „отчети за сигурност“

Изследователите са засекли още една имейл кампания, която разпространява зловредни Word документи. Оказва се, че тези документи също съдържат зловредни макроси, които изтеглят и стартират CryptXXX рансъмуера веднага щом жертвата активира съответната функция. Тези имейли съдържат като предмет: “Security Breach – Security Report #[random code]/Пробив в сигурността – Отчет за сигурност [случаен номер]”. Съобщението съдържа IP адреса на жертвата и местоположението на компютъра, което я кара да си мисли, че съобщението е автентично и надеждно. Съобщението предупреждава жертвата за несъществуваща заплаха като пробиви в сигурността, които са били предотвратени и предлагат да разгледате отчета, който е прикачен към съобщението. Разбира се, този прикачен файл е зловреден.

Phishing emails delivering ransomware

Пример No. 7. Зловреден спам, изпратен уж от името на легитимни компании

За да убедят жертвата да отвори прикачения файл, измамниците се представят за някой друг. Най-лесният начин да подведат потребителя да отвори зловреден прикачен файл е да се създаде фалшив имейл профил, който е почти идентичен на този на легитимната компания. С използването на тези фалшиви имейл профили, измамниците атакуват потребителите с добре съставени имейли, които пренасят зловреден товар в прикачения към тях файл. По-долу дадения пример показва имейл изпратен от измамниците, които се представят, че работят за Europcar.

Scammers impersonate Europcar employees

Даденият по-долу пример показва, че съобщението е било използвано в атака срещу клиенти на компанията A1 Telekom. Тези фишинг съобщения съдържат измамен DropBox URL адрес, който води до зловреден ZIP или JS файл. По-подробни анализи разкриват, че тези файлове съдържат вируса Crypt0l0cker.

Mail spam targeting A1 Telekom users

Пример No. 8. Спешна задача от шефа

Наскоро измамниците започват да използват нов трик, който им помага да измъкнат пари от неподозиращи жертви за няколко минути. Представете си, че сте получили имейл от шефа си, в който ви казва, че е на почивка и трябва спешно да направите плащане към някоя компания, защото той скоро няма да има обхват. За съжаление, ако бързате да изпълните тези заповеди и не проверите подробностите, може да преведете служебните пари на компанията на кибер престъпниците или дори по-лошо да заразите цялата компютърна мрежа със зловреден софтуер. Друг трик, който може да ви убеди да отворите такъв зловреден прикачен файл е, ако измамниците се представят за ваш колега. Този номер може да се окаже успешен, ако работите в голяма компания и не познавате всичките си колеги. Може да видите няколко примера за подобни фишинг имейли по-долу. Task from boss spam

Пример No. 9. Фишинг свързан с данъци

Измамниците съвсем съзнателно следят данъчните кампании на различните държави и региони и не пропускат възможност да започнат спам кампания на данъчна тематика, за да разпространяват зловредни програми. Те използват различни техники на социалното инженерство за да подвеждат нещастните жертви да изтеглят зловредни файлове, които да придружават виртуалните писма. Тези прикачени файлове най-вече пренасят банкови Троянски коне (кийлогъри), които веднъж инсталирани, крадат лична информация като име на жертвата, презиме, данни за вход, информация за кредитни карти и други подобни данни. Зловредната програма може да се крие в зловреден прикачен файл или линк вграден в съобщението. По-долу ще видите пример за имейл, който пренася фалшиви бележки за данъци, което всъщност е Троянски кон.

Income Tax Receipt virus

Измамниците също така се опитват да привлекат вниманието на потребителя и да го принудят да отвори зловредния прикачен файл, като твърдят, че предстоят съдебни действия срещу някого. Съобщението казва, че трябва да се направи нещо “във връзка с призовката от данъчната служба”, която е прикачена към съобщението. Разбира се, прикаченият документ не е призовка – това е зловреден документ, който се отваря в Защитен изглед (Protected view) и иска от жертвата да Позволи редактирането (Enable Editing). Впоследствие, зловредният код в документа се изтегля на компютъра.

Tax Subpoena scam

Последният пример показва как измамниците се опитват да подведат счетоводителите да отворят зловредни прикачени файлове. Имейлът изглежда, че е представен от някой, който търси съдействието на сертифициран експерт-счетоводител и, разбира се, съдържа зловреден файл или файлове. Това са просто обикновени зловредни Word документи, които активират скрипт и изтеглят зловреден софтуер от отдалечен сървър веднага щом жертвата ги отвори.
Tax Phishing

Как да откривате зловредните имейли и да сте в безопасност?

Има няколко основни принципа, с които трябва да се съобразявате, за да избегнете зловредни имейли.

  • Забравете за папка Спам. Има причина имейл писмата да попадат точно в тази папка. Това означава, че автоматичните филтри на електронната поща определят, че един и същ имейл се разпраща на хиляди хора или че голяма част от получателите вече са го означили като спам. Легитимни имейли попадат в тази папка само в много редки случаи, така че е по-добре да избягвате спам папките – Spam и Junk.
  • Проверете подателя на имейла преди да го отворите. Ако не сте сигурни за подателя, изобщо не се занимавайте със съдържанието на имейл съобщението. Дори да разполагате с антивирусна или програма против зловреден софтуер, не кликвайте на линковете, които са в съобщението и не отваряйте прикачените файлове. Не забравяйте, че дори и най-добрите програми за сигурност могат да не успеят да засекат някой съвсем нов вирус, ако се окаже, че сте една от първите му жертви. Ако не сте сигурни за получателя, винаги може да се обадите на компанията, от която се представя, че е и да попитате за имейла, който току що сте получили.
  • Поддържайте програмите си за сигурност актуализирани. Много е важно да нямате остарели програми в системата си, защото те обикновено са пълни с пропуски в сигурността. За да избегнете подобни рискове, включете автоматичното обновяване на софтуера. Най-накрая използвайте добра програма против зловреден софтуер, която да ви предпазва от малуера. Не забравяйте, че само актуализирани програми могат да защитят компютъра ви. Ако използвате стара и ако се бавите с инсталирането на актуализациите, чисто и просто позволявате на зловредни програми да нахлуят в компютъра ви – без да бъдат засечени и блокирани.
  • Разберете дали URL адреса е безопасен без да кликвате върху него. Ако имейлът, който сте получили съдържа съмнителен URL адрес, преминете с мишката върху него (без да кликвате), за да проверете легитимността му. След това погледнете в долния ляв ъгъл на браузъра. Там ще видите истинския URL адрес, към който ще бъдете пренасочени. Ако ви изглежда съмнителен или завършва на .exe, .js или .zip, не кликвайте върху него!
  • Кибер престъпниците обикновено имат лош правопис. Точно затова те често не успяват да създадат дори кратко съобщение без правописни или граматически грешки. Ако забележите такива, избягвайте URL адресите, вмъкнати в съобщението или в прикачените файлове.
  • Не бързайте! Ако забележите, че подателят ви притиска да отворите прикачения файл или линка, по-добре си помислете пак преди да направите каквото и да е. Много вероятно е прикаченият файл да съдържа зловреден софтуер.
За автора
Olivia Morelli
Olivia Morelli

Малуер аналитик...

Свържете се с Olivia Morelli
За компанията Esolutions

Прочети на друг език
Файлове
Софтуер
Сравни