Spam jest najczęściej wysyłany masowo do wielu odbiorców. Często jest spersonalizowany i zawiera dane osobowe. Chodzi o to, aby odbiorca nie zorientował się, że ma do czynienia z podstępem. W treści zazwyczaj widnieje prośba o kliknięcie w zamieszczony link lub zachęta do pobrania załącznika.
Często wiadomości-śmieci próbują:
wyrządzić szkodę użytkownikowi lub komputerowi, np. zaszyfrować pliki – malware,
podszyć się pod zaufanego adresata, np. bank – phishing.
Uwaga na niebezpieczne e-maile tego typu!
Poniżej prezentujemy niebezpieczne wiadomości, które trafiły do skrzynek naszych klientów. Niektóre to typowe przykłady phisingu, inne zaś to e-maile zawierające niebezpieczne programy. Zobaczcie, jak pomysłowi są hakerzy!
1. Podszywanie się pod PKO Bank Polski
Do jednego z naszych klientów został wysłany taki e-mail. Zawierał potwierdzenie transakcji z banku PKO. Jak widać, załącznik ma rozszerzenie programu Excel, który najprawdopodobniej zawiera makro (wbudowany program komputerowy). Podejrzenie odbiorcy powinna również wzbudzić treść pisana łamaną polszczyzną.
Tak wygląda powiadomienie, które dostał nadawca po próbie wysłania e-maila z potencjalnie niebezpiecznym załącznikiem. W tym przypadku była to typowa wiadomość złośliwa, jednak użytkownikom często zdarza się wysyłać treści z poprawnymi załącznikami. Nadawca powinien wówczas dostać wiadomość zwrotną z informacją, że jego e-mail nie został dostarczony ze względu na załącznik. Jeżeli wysyłającym jest osoba, a nie automat, to postąpi zgodnie z instrukcją i wyśle maila jeszcze raz.
A oto droga, którą pokonała wiadomość. Dokładnie widzimy, że mail wyszedł z serwera vm1841.jn-hebergement.com (o adresie IP 95.143.69.85), a nie z ipko.pl. W celu weryfikacji prawdziwości takiego e-maila wystarczy sprawdzić zawartość rekordu SPF, czyli czy dany serwer jest dopuszczony do wysyłania wiadomości w imieniu domeny ipko.pl. W dobrych filtrach antyspamowych te działania są wykonywane automatycznie dla każdej przychodzącej wiadomości. Dlatego warto korzystać ze sprawdzonych i bezpiecznych rozwiązań.
Zawartość rekordy SPF dla domeny ipko.pl.
Jak widać, nie znajduje się w niej adres serwera (95.143.69.85), z którego wyszła treść, więc należy założyć, że ktoś się podszywa pod domenę. Jeżeli okazałoby się, że e-mail jest poprawny, to wina za niedostarczenie tej wiadomości adresatowi leżałaby po stronie administratorów ipko.pl, ponieważ nie dodali adresu serwera służącego do wysyłania maili do rekordu SPF domeny ipko.pl.
2. Podszywanie się pod Uniwersytet Warszawski
Drugi przykład podszywania się pod inną domenę. Rzekomy nadawca to admin@adm.uw.edu.pl, jednak doskonale wiemy, że to zupełnie ktoś inny. Po sprawdzeniu w nagłówku adresu serwera oraz rekordu SPF domeny wiemy, że e-mail został wysłany z serwera nieuprawnionego do nadawania wiadomości w imieniu tej domeny. Podobnie jak w pierwszym przypadku, treść napisano łamaną polszczyzną, co powinno już na początku wzbudzić podejrzenia potencjalnego odbiorcy. Nieufność powinien wywołać również sam załącznik, który miał być wnioskiem, jednak jest zapisany jako prezentacja (posiada rozszerzenie aplikacji PowerPoint). Kolejnym dowodem potwierdzającym fałszywość są linki do portali społecznościowych, które zamiast prowadzić do profili Uniwersytetu Warszawskiego, prowadzą do innej zagranicznej uczelni.
3. Plik *.exe w archiwum 7zip
Ten przykład to odpowiedź na pytanie: dlaczego warto mieć pocztę z dobrym skanerem pozwalającym na przeskanowanie archiwów? W poniższym przykładzie mail został wysłany z przechwyconej skrzynki na wp.pl, więc sprawdzanie rekordów SPF nic nam nie da, ponieważ będą się zgadzać. Nie może to jednak uśpić naszej uwagi… Archiwum 7zip zawierało spakowany plik *.exe. Po jego otworzeniu na komputerze uruchomił by się program komputerowy, który z pewnością spowodowałby nieprzyjemne konsekwencje.
Dlaczego przestępcy wysyłają wirusy wewnątrz archiwów?
Często antywirusowe skanery pocztowe nie potrafią skanować archiwów. Druga kwestia to specjalna flaga, którą domyślnie są oznakowane pliki pobierane z Internetu. Taki wyróżnik powoduje, że system operacyjny wyświetla informacyjne okno, które oznajmia, że plik, który chcemy uruchomić, może być niebezpieczny. Plik z naszego przykładu również pochodzi z Internetu. Czy powinien otrzymać taką flagę? Otóż nie! Z sieci będzie pobrany plik archiwum INV039434.7z. Po jego uruchomieniu nic złego się nie stanie. Dopiero po otworzeniu pliku znajdującego się wewnątrz tego archiwum, mogą powstać szkody. Dla komputera plik wewnątrz już jest plikiem lokalnym, dlatego nie dostaniesz tego rodzaju ostrzeżenia przed jego uruchomieniem.
4. Niebezpieczna faktura
Następny przykład to również mail z przechwyconej skrzynki. W załączniku znajduje się faktura w pliku Excela *.xlsm, czyli zawierający makro. Jak często dostajesz faktury w Excelu, a jak często w PDF? Dlaczego taki plik może ominąć skaner antywirusowy? Ponieważ sam .xlsm nie zawiera złośliwego kodu. Zawiera on jedynie komendę pobrania pliku z Internetu, a następnie uruchomienia go. Stanie się to bez wiedzy użytkownika. Czasami, aby pozostawić użytkownika w nieświadomości, że doszło do oszustwa, w pliku będzie się znajdowało zdjęcie jakiejś faktury.
5. Udawanie pliku PDF
Tutaj z kolei mamy do czynienia ze sprytną socjotechniką zaszytą w nazwie pliku. Zwróć uwagę, że rozszerzenie pliku to *.zip, czyli archiwum, a nie *.pdf, czyli dokument. Mało techniczny użytkownik może się łatwo nabrać na tego rodzaju atak, ponieważ uzna ten plik za zwykły PDF. Tym bardziej, że po zapisaniu załącznika na komputerze ukaże mu się nazwa New Order.pdf – domyślnie system Windows ma wyłączoną opcję pokazywania rozszerzeń znanych typów plików.
6. Próba podszycia się pod dostawcę poczty
W programie pocztowym wszystko wygląda poprawnie (nadawca posiada prawidłową domenę). Rzekomy administrator poczty próbuje nakłonić do weryfikacji konta poprzez kliknięcie w link, który prowadzi prawdopodobnie do panelu logowania. Przestępcy w ten sposób będą próbować wyłudzić dane osobowe. Często takie fałszywe panele logowania są bardzo dobrze podrobione i łatwo się na nie nabrać. Akurat w tym wypadku oszuści się nie postarali i podpisali się jako firma „cloud Server”, chociaż poczta w domenie adresata znajduje się w usłudze Microsoft Exchange Online. Ale czy wszyscy pracownicy firmy wiedzą, kto jest dostawcą poczty? Argumenty przestępców, które mają namówić do weryfikacji swojego konta, to jego utrata i blokada maili. Któż by tego chciał? Do tego dochodzi ostrzeżenie, że jest to ostatnie przypomnienie! Cała wiadomość jest skonstruowana tak, żeby nakłonić odbiorcę do określonego działania, gdyż w przeciwnym wypadku stanie się coś złego.
7. E-mail od samego siebie
Na koniec jeszcze jeden przykład straszenia użytkownika utratą poczty. W tym przykładzie dostajemy mail od samego siebie (przynajmniej tak to wygląda). W rzeczywistości adres nadawcy został podrobiony. W e-mailu znajduje się prośba o kliknięcie w link w celu synchronizacji. Jeśli odbiorca by to zrobił, w ciągu 24 godzin straciłby swoje maile.
Etykieta i miejsce docelowe linku
Ważną kwestią jest zdolność „czytania” linków w programie pocztowym, czyli umiejętność zauważenia, dokąd faktycznie prowadzi otrzymane łącze. Każdy link składa się z dwóch części – etykiety widocznej dla użytkownika i miejsca docelowego. W tym przypadku to, co widzimy www.apis.eu.pl/jakub@apis.eu.pl/synchronization-data/newbackup to etykieta widoczna dla użytkownika. Natomiast miejsce docelowe to https://firebasestorage.googleapis.com/v0/b/plangen-31c76.appspot.com/o/august_plangen%2Findex2hum.html?alt=media&token=3d595a4d-7f77-433b-8c11-60af83cfddd0#jakub@apis.eu.pl i to właśnie w to miejsce użytkownik zostanie skierowany po kliknięciu. Powyższy przykład to dobrze przygotowany atak, który jest ukierunkowany na firmę ze spersonalizowaną wiadomością dla użytkowników wyglądającą jak prawdziwa.
Jeżeli czujesz, że Twoja firma może być nieodporna na tego typu ataki, to zapraszamy do skorzystania z naszych usług.
bezpłatnego audytu poczty,
bezpłatnej konsultacji ze specjalistą,
testów phisingowych dla użytkowników,
wdrożenia bezpiecznej poczty.