Obsługa IT a Faktura.rar

W polskim Internecie regularnie pojawiają się fale zmasowanych ataków hakerskich wykorzystujących podrobione e-maile do rozsyłania wirusów.

Nadrzędną rolą obsługi IT w zakresie ochrony antywirusowej jest edukacja.  Jest duża szansa, że w ostatnich miesiącach na Twoją skrzynkę trafiła wiadomość przygotowana przez hakera. Atakującemu najpewniej chodziło o wykradzenie poufnych danych albo zainfekowanie komputera złośliwym oprogramowaniem. Jak najłatwiej mógł tego dokonać? Uprzejmie poprosić o uruchomienie i zainstalowanie wirusa z załącznika? Zażądać wysłania danych karty kredytowej?

Najłatwiej użytkownika przekonać do otworzenia podejrzanego załączonego pliku lub kliknięcia w przygotowany link poprzez sfabrykowanie jakiejś sytuacji, którą odbiorca zwykle wykonuje (niestety) automatycznie. Np. otwarcie otrzymanej faktury czy kliknięcie linku do sprawdzenia śledzenia przesyłki. Takie działania nazywamy socjotechniką. Poniżej przykład takiego działania sprzed raptem kilku dni:.

Przykład ataku z użyciem spakowanego wirusa

W tym przypadku atakujący za pomocą socjotechniki – podszywając się pod znaną firmę kurierską – chciał namówić mnie do otworzenia spakowanego pliku. Zauważ, że w treści nie ma nic o szczegółach zamówienia. Nadawca liczy na to, że ciekawość weźmie górę i załącznik zostanie pobrany i otworzony. Po otworzeniu załącznika, komputer prawdopodobnie zostałby zainfekowany wirusem. Niezamówionym.

Adres nadawcy może nam dużo powiedzieć o e-mail-u.

Należy zwrócić tu uwagę na formę podszywania się. Jeszcze nie tak dawno temu dość prosto było podszyć się pod czyjś adres e-mail.  Wystarczyło w programie pocztowym, przy konfiguracji skrzynki, po prostu wpisać inny adres nadawcy, niż ten, z którego rzeczywiście wysyła się wiadomości. W chwili obecnej serwery pocztowe mają wdrożone rozwiązania, które odrzucają takie wiadomości, ale imię i nazwisko adresata zawsze można wpisać dowolne. Jeżeli mamy jakiekolwiek obiekcje co do wiadomości, pierwszą rzeczą która powinniśmy sprawdzić jest właśnie adres nadawcy. Jeżeli adres mailowy nie wskazuje na prawidłową domenę, ale np. wygląda tak:

przesyłka@firma-kurierska.pl

możemy być pewni, że coś z tą wiadomością jest nie tak. To jest kluczowe w tym ataku – udając kogo innego,  namawiamy do otworzenia pliku.

Dlaczego nie otwierać?

Programy antywirusowe mają za zadanie eliminować zainfekowane pliki. Robią to skanując plik w poszukiwaniu złośliwego kodu. Przenoszony mailem plik jest skanowany na wielu etapach. Może być skanowany przez serwer wychodzący, przez serwer przychodzący i przez Twój komputer. Ale tak jak pisałem w Ludzka twarz certyfikatu SSL. – jeżeli coś jest zaszyfrowane, to nie wiemy co tam jest. Tak w skrócie wygląda wektor ataku. Spakowany plik jest często niezrozumiały dla antywirusa, należy go najpierw rozpakować przed analizą zawartości.

Obsługa IT: jak zachować się w przypadku otwarcia podejrzanego pliku?

Po pierwsze – koniecznie wyłącz komputer, np. naciskając przycisk zasilania, przez minimum 5 sekund. To, że nie widzisz efektów, nie znaczy, że nic się nie dzieje. W tle może (ale nie musi) działać ten wirus, którego przeważnie pierwszym krokiem jest zagwarantowanie sobie działania w przypadku restartu komputera. Następnie sugerujemy skontaktować się ze swoją obsługą IT, informując o szczegółach wiadomości – od kogo była wysłana, co było w treści. Obecnie zagrożenia często pojawiają się falowo i firmy oferujące obsługę it posiadają świeże informacje o typowych treściach wiadomości, nadawcach, wirusach w załączniku. Na pewno koniecznymi działaniami są:

  • skanowanie komputera za pomocą aktywnego antywirusa
  • skanowanie komputera w poszukiwaniu malware
  • można rozważyć wysłanie pliku do virtustotal.com celem namierzenia rodzaju wirusa

Powyższych kroków nie wykonasz jednak, jeśli – zgodnie z zaleceniami – komputer jest wyłączony. Co więcej, jeśli wirus zdążył rozgościć się w systemie (a zazwyczaj zdążył i wyłączenie pomaga głównie w zablokowaniu dalszych strat w systemie), prawdopodobnie system nie uruchomi się wcale albo uruchomi witając Cię grafiką z żądaniem okupu za odzyskanie dostępu do danych.

Niektóre programy antywirusowe dają możliwość uruchamiania w trybie awaryjnym lub nawet przed uruchomieniem systemu. Chodzi tu o to, żeby przeskanować komputer gdy wirus nie działa. Możemy to zrobić albo właśnie w trybie awaryjnym, albo gdy ściągniemy i uruchomimy system z odpowiedniego pliku ISO.

Dlaczego ludzie to robią?

To chyba najczęściej spotykane pytanie – po co ludzie tworzą wirusy? Powodów jest conajmniej kilka. Pierwszy to chęć sprawdzenia siebie, czy znam już na tyle dobrze programowanie, że jestem w stanie obejść zabezpieczenia? Kolejne są niestety dużo poważniejsze jak np. przemycenie konia trojańskiego, szyfrowanie Twoich plików lub dodanie komputera do botnet-u rozsyłającego spam i wirusy do kolejnych komputerów.

Czerwona lampka. Jakie wiadomości powinny wzbudzić Twoje podejrzenia?

Należy być czujnym w przypadku korespondencji z powszechnie rozpoznawaną firmą (głównie firmy kurierskie i firmy wystawiające rachunki za media i usługi jak prąd i dostęp do Internetu). Elementem socjotechniki jest próba wpływu  na decyzję otwarcia załącznika. Należy również zwrócić uwagę na kodowanie znaków. Jeżeli w mailu znajdujemy taki problem jak niżej, czyli brak w wiadomości polskiego znaku np. „Ą”. W takim przypadku wiadomość powinna być od razu zaliczana do tych podejrzanych.

Przykład pomyłki hackera

W profesjonalnie wykonanym mailingu takie sytuacje przeważnie się nie zdarzają. Działy marketingowe przykładają szczególną wagę do poprawności wizerunkowej. Tego typu błędy zdarzają się w przypadku niskiego budżetu, używania translatorów lub słabej znajomości mechanizmów internetowych.

Innym dość popularnym atakiem jest po prostu przedstawienie się jako administrator systemu, poinformowanie o problemach ze skrzynką (przepełnienie albo inny problem techniczny) i poproszenie o podanie hasła. Oczywiście po podaniu hasła bardzo szybko tracimy dostęp do swojego konta i całą jego zawartość możemy uznać za dostępną dla osób niepowołanych.

Jeżeli jednak otworzyłeś podejrzany plik, może uda nam się coś Ci podpowiedzieć. Zapraszam do działu Kontakt

Udostępnij