Скам

  • 10 тактики, с които хакерите се опитват да ви прилъжат да отворите заразени файлове

    За да разпространят злонамерения софтуер, хакерите създават спам кампании, маскирани под формата на имейли за фактури, покани, информация за плащане, информация за доставка, гласови съобщения и др. В тези имейли обикновено са включени прикачени файлове на Word и Excel или връзки към тях, които при отваряне и активиране на макросите ще инсталират опасен/зловреден софтуер на компютъра на жертвата.

    По подразбиране, макросите са забранени в MS Office, и поради тази причина от жертвата се изисква да кликне върху бутоните „Активиране на редактирането“ (Enable Editing) или „Активиране на съдържанието“ (Enable Content), за да разреши изпълнението им. Това, разбира се, не трябва да правите!

    НЕ активирайте макросите на прикачените файлове!
    НЕ активирайте макросите на прикачените файлове!

    За да прилъжат потребителите да щракнат върху тези бутони обаче хакерите използват различни тактики.

    Една от тях е прикачване на Word и Excel файлове с видимо „счупени“ текстове и/или изображения. Хакерите визуализират предупреждения, че има проблем с показването на документа и приканват потребителите да кликнат на бутоните за Активиране на съдържанието или Активиране на редактирането, за да видят „правилната“ визуализация на съдържанието.

    Комбинациите от текст и изображения в тези злонамерени прикачени файлове се наричат ​​„документни шаблони“. По-долу са представени различни шаблони на документи, които са били използвани в кампании за изпращане на нежелана поща (SPAM) за някои от по-широко разпространените инфекции със зловреден софтуер.

    Трябва да се отбележи, че тези т.нар. „темплейти“  могат да се използват и със зловреден софтуер, различен от тези, описани по-долу. Освен това, тук ще видите само примери за по-често срещаните темплейти, а в реалния живот може да с сблъскате с много други, подобни на тях.

    BazarLoader

    BazarLoader е злонамерен софтуер, таргетиращ различни по вид и размер компании, разработен от групата, която стои зад създаването на троянския кон TrickBot. Когато бъде инсталиран, хакерите използват BazarLoader / BazarBackdoor за отдалечен достъп до вашия компютър, който след това се експлоатира за компрометирането и на останалата част от фирмената мрежа.

    След инфектирането на мрежата с BazarLoader, най-често се стига до заразяване с криптовируса Ryuk, който криптира начин цялата информация и искаа откуп за декрептирането й.

    Фишинг имейлите, които разпространяват BazarBackdoor, обикновено съдържат връзки към предполагаеми документи, хоствани в Google Docs и Google Sheets. При зареждането им, се вижда предупреждение за „проблем с визуализацията“ и подканване за изтегляне на документа. След клик обаче всъщност не изтегляте какъвто и да било документ, а изпълним файл, който инсталира Bazar Loaded, както е показано по-долу.

    Разширението на файла (.exe) не е сред официалните файлови разширения за Word документи .
    Разширението на файла (.exe) не е сред официалните файлови разширения за Word документи .

    Dridex

    Dridex е усъвършенстван троянски кон, разполагащ с най-различни непрекъснато актуализирани модули. Забелязан е като инструмент, таргетиращ банкови институции, за първи път през 2014 г.

    След заразяване с Dridex, той ще изтегли различни модули, които могат да се използват за кражба на пароли, осигуряване на отдалечен достъп до компютър или извършване на други злонамерени дейности.

    Когато Dridex компрометира мрежата, това обикновено води до криптиране с BitPaymer или други криптовируси, свързани с групата.

    Предполага се, че и друг известен криптовирус като WastedLocker е свързан с Dridex, но една компания за киберсигурност не е напълно съгласна с тези твърдения.

    За разлика от други кампании за разпространение на злонамерен софтуер, групировката Dridex обикновено използва по-стилизирани шаблони за документи, които показват малко или замъглено съдържание и ви подканват да щракнете върху „Активиране на съдържанието“, за да го видите по-добре.

    Например в шаблона по-долу се посочва, че документът е трудно четим, защото е създаден на по-стара версия на Microsoft Office Word.

    Dridex: шаблон „примерен остарял Word файлов формат“.
    Dridex: шаблон „примерен остарял Word файлов формат“.

    Dridex използва и по-стилизирани шаблони за документи, представящи се за информация за доставка от DHL и UPS.

    Dridex: шаблон „Фалшива информация за доставка от DHL.
    Dridex: шаблон „Фалшива информация за доставка от DHL.

    Разбира се няма как да се пропусне „класиката“ в жанра, а именно –  фактури за плащане. Първоначално те са трудно четими, докато не щракнете върху „Активиране на редактирането“, за да го видите “правилно”.

    Dridex: шаблон „фалшива фактура от Intui
    Dridex: шаблон „фалшива фактура от Intui

    Както можете да видите от примерите по-горе, от Dridex обичат да използват изображения на вградени документи с фирмени лога и бланки, за да подмамят потребителите да активират макросите.

    Emotet

    Emotet е най-широко разпространеният зловреден софтуер чрез фишинг имейли, съдържащ злонамерени Word или Excel документи. Веднъж инсталиран, Emotet ще открадне имейла на жертвата и ще използва заразения компютър, за да изпрати спам към други получателите от цял свят.

    Потребителите, заразени с Emotet, в крайна сметка ще бъдат след това отново заразени с троянски коне като TrickBot и QakBot. И двата вида троянски коне се използват за кражба на пароли, бисквитки, файлове и водят до компрометиране на цялата мрежа на организацията.

    След инфектиране на мрежата с TrickBot, най-вероятно ще се използват криптовирусите Ryuk или Conti за криптиране на информацията. Засегнатите машини с инсталиран QakBot могат да бъдат инфектирани от криптовируса ProLock.

    За разлика от Dridex, Emotet не използват изображения на действителни документи в техните темплейти. Вместо това те включват широка гама от шаблони, които показват предупредително поле, че документът не може да се визуализира правилно, и че потребителите трябва да кликнат върху „Активиране на съдържанието“, за да го прочетат.

    Например шаблонът „Red Dawn“, показан по-долу, гласи, че „Този ​​документ е защитен“ и след това ви подканва да разрешите съдържанието (Enable content), за да го прочетете.

    Emotet: шаблон „Този документ е защитен. 
    Emotet: шаблон „Този документ е защитен.

    Следващият шаблон гласи, че не може да бъде отворен правилно, тъй като е създаден на „iOS устройство“.

    Emotet: шаблон „Създаден на iOS устройство. 
    Emotet: шаблон „Създаден на iOS устройство.

    Според този шаблон, документът е създаден на „Windows 10 Mobile“, което е странно съобщение, при положение че Windows 10 Mobile е спрян от известно време.

    Emotet: Шаблон „Създаден на Windows 10 mobile
    Emotet: Шаблон „Създаден на Windows 10 mobile

    Това може би е един от най-легитимно изглеждащите шаблони, твъдейки че документът е в „Защитен изглед“ и потребителят трябва да кликне върху „Активиране на редактирането“, за да го визуализира правилно.

    Emotet: шаблон „Защитен изглед. 
    Emotet: шаблон „Защитен изглед“.

    Следващият шаблон е малко по-интересен, тъй като казва на потребителите да приемат лицензионното споразумение на Microsoft, преди да могат да видят документа.

    Emotet: Шаблон „Приемане на лицензионното споразумение"
    Emotet: Шаблон „Приемане на лицензионното споразумение“

    Друг интересен шаблон се представя като съветник за активиране на Microsoft Office, който подканва потребителите да активират редактирането, за да завършат активирането на Office.

    Emotet: шаблон „активиране на MS Office.”
    Emotet: шаблон „активиране на MS Office.”

    Emotet също така е известен с това, че използва темплейт, който се представя за съветник за преобразуване на Microsoft Office.

    Емотет: шаблон „Съветник за трансформиране на Microsoft Office.”
    Емотет: шаблон „Съветник за трансформиране на Microsoft Office.”

    Както можете да се убедите от екранните снимки по-горе, вместо стилизирани шаблони на документи, Emotet използва общи предупреждения, за да се опита да убеди потребителите да активират макросите в прикачения файл.

    QakBot

    QakBot или QBot е също троянски кон, насочен основно към банковия сектор. Той се разпространява чрез фишинг кампaнии, съдържащи зловредни Microsoft Word документи като прикачени файлове.

    QakBot също съдържа различни модули и има способността да краде банкова информация, да инсталира друг зловреден софтуер или да осигури отдалечен достъп до заразената машина.

    Както други троянски коне, описани в тази статия, QakBot също си партнира с криптовируса ProLock, който е финалната фаза на атаката (криптиране на информацията).

    В сравнение с Emotet, SPAM кампаниите на QakBot използват по-стилизирани темплейти. Най-често използваният шаблон се представя, че е от DocuSign, както е показано по-долу.

    QakBot: шаблон “DocuSign.”
    QakBot: шаблон “DocuSign.”

    Другите шаблони имитират Microsoft Defender или екран за актуализация и активиране на Word, като този по-долу.

    QakBot: шаблон „Грешка при актуализация и активиране на Word. “
    QakBot: шаблон „Грешка при актуализация и активиране на Word. “

    Блокиране на изпълними прикачени файлове

    За да избегнете появата на гореописаните екранни снимки на вашият десктоп, никога не отваряйте прикачени файлове с разширение .vbs, .js, .exe, .ps1, .jar, .bat, .com или .scr. , тъй като тези разширения могат да изпълняват програми/команди на вашият компютър.

    Повечето имейл услуги като Office и Gmail блокират изпълнимите прикачени файлове, но злонамерените лица са намерили изход и от тази ситуация. Все по-често се наблюдава към SPAM имейлите да се добавя прикачен файл с парола, като самата парола е упомената в съобщението. По този начин съдържанието не се сканира/блокира и достига своята крайна цел.

    Примерен прикачен файл с .jar разширение.
    Примерен прикачен файл с .jar разширение.

    За съжаление, Microsoft реши да скрие разширенията на файловете по подразбиране, което позволява на злонамерените лица да подлъжат потребителите да отворят опасни (изпълними) файлове.

    Фишинг имейлите са едни от най-често използваните вектори за атака, целящи компрометирането на вътрешната инфраструктура. Причините за това са доста и въобще не са необясними: човешкият фактор е най-подценяваният, а също и най-лесно експлоатираният вектор в една инфраструктура. Докато на ниво сървъри и системи могат да се приложат различни и разнообразни мерки за сигурност, от гледна точка на човешкият ресурс доказано най-добрият подход са регулярните обучения на персонала.

    В повечето случаи обаче те липсват или ако ги има се силно подценени и са по-скоро фиктивни. Именно поради тази причина злонамерените лица използват SPAM съобщения и все повече се стремят да заблудят крайният потребител, като например добавянето на reCaptcha на техния фишинг сайт. След като компрометират машината и си осигурят достъп до вътрешната система, атакуването на важните и критични системи става много по-лесна и постижима задача. Примерите са не един или два.

    Някои общо валидни препоръки, с които може да намалите шанса да бъдете фишнати са:

    1. Имплементиране на решение, което да сканира входящата поща за зловредни прикачени файлове и за нежелана поща (SPAM).
    2. Добавяне на двуфакторна автентикация – По този начин дори някой от потребителите да си въведе потребителското име и паролата във фишинг страницата, те няма да свършат кой знае каква работа на злонамерените лица ако не е наличен вторият фактор за завършване на удостоверяването.
    3. НЕ отварайте и НЕ кликайте върху писма и линкове от непознати податели !
  • „Проблеми с пощата“ в Outlook – не се поддавайте на тази измама!

    „Важно съобщение. оправете проблеми с получаването на писма. Входящи съобщения до вас не са били доставени!“

    Такова е част от предупредителен имейл, получен на 19 август 2020 г. от всички членове на екипа, отговарящ за киберсигурността на Sophos.

    За специалистите веднага става ясно, че съобщението не е генерирано автоматично от собствената им имейл система. Все пак те споделят, че подобен phishing би могъл да заблуди дори информирания потребител в края на натоварен ден.

    Проведеното разследване е показало, че инструкциите за „оправяне“ на проблема с входящата поща, отвеждат потребителя до фалшива страница. Тя имитира уеб-приложението на Outlook. Целта й – кражба на акаунта (потребителско име и парола) на потребителя.

    Съветите на специалистите за избягване на подобен спам:

    • Винаги проверявайте линковете, преди да кликнете върху тях
    • Обръщайте внимание на URL адреса на страницата, преди да въведете данните си за достъп
    • Като правило, избягвайте достъпа чрез линкове, които сте получили в имейл
    • Използвайте двуфакторна автентикация
    • Никога не изключвайте и не променяйте настройките си за сигурност, само защото имейл съобщение ви приканва да го направите
    • Веднага променете паролите си ако се съмнявате, че може да сте жертва на phishing

     

  • 5 съвета за по-сигурен имейл

    Имейлът е гръбнакът в комуникацията на огромна част от съвременния бизнес. През електронната поща се обменят оферти, договори, фактури и други критични за една организация документи. Въпреки това, все още масовата защита за имейла на един бизнес остава само потребителско име и парола. Какво още може да направите, за да защитите имейл кореспонденцията на бизнеса си?

    1. Защитете съдържанието на съобщенията

    Ако сте изпращали хартиена пощенска картичка, знаете, че съдържанието и е лесно достъпно за всеки. Освен, ако не я затворите в пощенски плик – така ще се знае кой е подателят и получателят на съобщението, както и откъде докъде трябва да стигне то. Но не и какво пише в него. Подобна е ситуацията и с имейлите ви.

    „Пликът“ за имейла се нарича transport-level криптиране. Предимството на този метод е достъпността – обикновено такъв тип криптиране не изисква допълнителни действия от страна на потребителите. Недостатъкът е като при хартиеното писмо – по пътя на мейла, някой може да отвори плика и да прочете съобщението, без подателят и получателят да разберат.

    Малко по-сложен за потребителя, но малко по-сигурен метод за защита е end-to-end encryption – когато криптирането се извършва още преди изпращането на писмото, а получателят трябва да има специален ключ и софтуер, за да го прочете. По-сложно, но препоръчано.

    2. Филтрирайте нежеланите съобщения

    Огромна част от съвременната мейл кореспонденция е спам, скам, фишинг и др. Филтрирането на такъв тип нежелани писма още на входа на мрежата може да ви спести много зарази с вируси и загубено време от страна на екипа ви. Не малка част от доставчиците на имейл услуги предоставят някакво ниво на защита от подобна нежелана кореспонденция. Атаките, обаче, стават все по-сложни и трудни за засичане, а зловредните кодове – все по-добре прикрити. Това означава, че просто един blacklist (списък със забранени домейни) може да е крайно недостатъчен.

    От друга страна много служители изпращат информация под формата на документи, електронни таблици или презентации, без дори да е необходимо те да бъдат споделяни през имейл. Този процес може да бъде ограничен чрез въвеждане на политики относно правата на съответния служител да получава или изпраща корпоративна информация онлайн и налагането им чрез адекватни DLP решения.

    3. Двуфакторна автентикация

    Само парола, колкото и да е сложна тя, може да е крайно недостатъчна за защита на имейла на организацията ви. Решението: имплементиране на двуфакторна автентикация. Това е  едно добро начало да решите проблема със загубени, компрометирани или просто твърде просто за отгатване пароли на служителите ви.

    4. Защита от подмяна на изпращач и получател

    Иначе казано – защита от до болка познатата от години тактика да се подменя съдържание на имейл, например. Представете си, че изпращате имейл с фактура. Но някой подменя приложения в имейла файл, в който подменя вашия IBAN с фалшив такъв.

    Така, ако бъде платена, парите по тази фактура ще отидат в чужда сметка.

    Ами, ако някой изпрати имейл от ваше име – и от вашия домейн (spoofing)? Преди да комуникирате на воля, помислете за тези атаки и отново: наложете двуфакторна автентикация и политика за подмяна на пароли навреме (включително и политика за сложност на паролите, които използват служителите ви).

    5. Защита на софтуера

    От съществена важност за ограничаване на злоупотребите с информацията в имейла е и редовното актуализирате на използвания софтуер, включително операционната система, приложението и браузъра, който се използва за достъп.

    Това са само част от стъпките, които е хубаво да предприемете. И не забравяйте – защитата ви е непрекъснат процес, добрата конфигурация е само началото. Не спирайте да осъвременявате и гарантирате за спазването на политиките ви.

  • Scam измамите стигнаха и в космоса или как нигерийските принцове станаха космонавти

    Внимание! Написаното по-долу е история, разказана по scam имейл. Историята на Абача Тунде не е истинска. Ако получите такъв мейл не отговаряйте на него!

    Надали има интернет потребител, който да не е получавал съобщение от нигерийски принцове или милионери с обещания за несметни богатства. И, ако до скоро тези scam измами бяха относително скучни и еднотипни – обещавайки милиони долари от наследство или просто в замяна на услуга за „освобождаването им“ от определени банки, сега креативността на създателите им буквално се изстреля в космоса.

    Защо в Kосмоса? Защото из мейлите си може да намерите зов за помощ от майора от нигерийските военновъздушни сили Абача Тунде, който се нуждае от дарения, за да се върне на Земята след близо 30 години изгнание в Космоса. Пълната му история може да видите в текста на имейла по-долу, но резюмето е:

    • Абача Тунде е първия африканец в космоса, осъществил секретен полет до орбиталната станция Салют 6 през 1979 г.
    • През 1989 г. Тунде отново лети – този път до Салют 8Т през 1989 г. – и така не стига обратно до Земята
    • Причината за заточението му е фактът, че мястото му е било заето от товара, който е трябвало да бъде върнат на Земята
    • От 1990 г. и до момента към Тунде са изпращани доставки на провизии посредством мисии на снабдителния кораб Прогрес
    • По време на престоя си в космоса нигерийският астронавт е натрупал завидните 15 млн. USD от плащания по заплатите му и лихвите по тях (все пак, в Космоса най-вероятно няма за какво толкова да се харчи)
    • Завръщането му на Земята би струвал 3 млн. USD – които трябва да бъдат платени от горната сума, която от своя страна е съхранявана от Lagos National Savings and Trust Association
    • За освобождаването на самата сума, обаче, се очаква помощта на получателя на мейла – каква точно е тя, не се споменава
    • Като благодарност за спасението на Тунде, изпращащите мейла обещават 20% от сумата, натрупана по сметките му

    А ето и самото писмо – в оригинал:

    Subject: Nigerian Astronaut Wants To Come Home
    Dr. Bakare Tunde
    Astronautics Project Manager
    National Space Research and Development Agency (NASRDA)
    Plot 555
    Misau Street
    PMB 437
    Garki, Abuja, FCT NIGERIA

    Dear Mr. Sir,

    REQUEST FOR ASSISTANCE-STRICTLY CONFIDENTIAL

    I am Dr. Bakare Tunde, the cousin of Nigerian Astronaut, Air Force Major Abacha Tunde. He was the first African in space when he made a secret flight to the Salyut 6 space station in 1979. He was on a later Soviet spaceflight, Soyuz T-16Z to the secret Soviet military space station Salyut 8T in 1989. He was stranded there in 1990 when the Soviet Union was dissolved. His other Soviet crew members returned to earth on the Soyuz T-16Z, but his place was taken up by return cargo. There have been occasional Progrez supply flights to keep him going since that time. He is in good humor, but wants to come home.

    In the 14-years since he has been on the station, he has accumulated flight pay and interest amounting to almost $ 15,000,000 American Dollars. This is held in a trust at the Lagos National Savings and Trust Association. If we can obtain access to this money, we can place a down payment with the Russian Space Authorities for a Soyuz return flight to bring him back to Earth. I am told this will cost $ 3,000,000 American Dollars. In order to access the his trust fund we need your assistance.

    Consequently, my colleagues and I are willing to transfer the total amount to your account or subsequent disbursement, since we as civil servants are prohibited by the Code of Conduct Bureau (Civil Service Laws) from opening and/ or operating foreign accounts in our names.

    Needless to say, the trust reposed on you at this juncture is enormous. In return, we have agreed to offer you 20 percent of the transferred sum, while 10 percent shall be set aside for incidental expenses (internal and external) between the parties in the course of the transaction. You will be mandated to remit the balance 70 percent to other accounts in due course.

    Kindly expedite action as we are behind schedule to enable us include downpayment in this financial quarter.

    Please acknowledge the receipt of this message via my direct number 234 (0) 9-234-XXXX only.

    Yours Sincerely, Dr. Bakare Tunde
    Astronautics Project Manager
    [email protected]

    http://www.nasrda.gov.ng/

     

Back to top button