Как идентифицировать письмо зараженное вирусом?

от Olivia Morelli - -

Спам и фишинг — это две самые эффективные техники, которые помогают криминалистам получить их недобросовестные выгоды. По мере того как человечество становится все боле и более зависимо от технологий, особенно от интернета, мы замечаем как преступники объединяются в организационные кибер-группы, что упорно трудятся для осуществления злонамеренных проектов, которые будут приносить деньги от ничего не подозревающих жертв. Некоторые эксперты считают, что дезорганизационная преступность уже перестала существовать. Когда многие склонны думать, что кибер криминалисты являются супер продвинутыми хакерами, которые знают как использовать код для вторжения через системы безопасности и даже получения отдаленного контроля над компьютерами пользователей, реальность немного другая. В большинстве случаев, эти злодеи просто способные мошенники, которые используют методы социальной инженерии чтобы обмануть пользователей установить вредоносную программу на их компьютеры. Использование спама и фишинга для распространения вредоносного ПО является наилучшим доказательством этого, и фактически, может быть определено как логическая эволюция киберпреступности. Не надо тратить часы времени, создавая сложные схемы атаки, когда все что требуется для взлома – убедить  пользователя открыть вложение электронной почты, которое выглядит как чье-то резюме. Такие техники оказать очень эффективными и значительно ускорили распространение вредоносных программ. Например, 2016 год широко признан как год вымогателей, а факт что даже 93% фишинговых писем в первом квартале 2016 года содержали вымогателя, просто доказывает это. Ясно, что есть разумные основания полагать, что степень спама и фишинга в 2017 достигнет еще большего числа.

It is hard to recognize phishing emails

Письма содержащие вредоносные программы до сих пор являются самым эффективным вектором атаки. Спамеры широко используют текущие события (спортивные мероприятия, распродажи, налоговый сезон и т.д.) и рассылают сотни тысяч тематических сообщений, также некоторые трюки работают целый год. Приведенные ниже примеры раскрывают фишинговые емейлы, которые обычно используются для распространения паразитов. Надеемся, эти примеры помогут вам идентифицировать фишинговые письма в будущем и заставят вас скептически относиться к надежности электронных сообщений, отправленных вам от незнакомых людей.

Примеры вредоносных писем

Пример 1: Письма с резюме или вакансией на роботу 

Фишинговые сообщения, которые содержат вложенное резюме обычно отправляется специалистами, менеджерами или владельцами компании, кто делает решение о принятие на роботу. Такие сообщения обычно содержат только несколько строчек текста, приглашая получателя открыть прикрепленное резюме. Как правило, мошенники ожидают, что эти фишинговые письма будут убедительными, пытаясь заразить определенную компанию или  организацию здравоохранения. Такие письма в основном использовать в спам-кампаниях CryptoWall 3.0GoldenEye, и Cerber. Смотрите некоторые примеры таких фишинговых писем ниже.

Malware-laden resume

Пример 2: Фишинговые письма утверждающие, что они принадлежат гиганту электронной коммерции Amazon

Кибер-преступники склонны обманывать пользователей Amazon фальшивыми электронным письмам, отправленными с фиктивных учетных записей электронной почты, которые с первого взгляда кажутся законными. Такие фишинг-письма можно использовать для вытаскивания денег с жертвой или для доставки вложения к электронному письму, которое несет серьезный компьютерный вирус. Например, мошенники использовали autoshipping@amazon.comадрес для рассылки тысяч писем, содержащих Locky вымогатель. Такие электронные письма имели ​​тему: «Ваш заказ Amazon.com был отправлен (#номер_заказа)» и содержали ZIP вложение, в котором хранился вредоносный JS-файл, который после открытия загружал вымогателя с определенного веб-сайта . Ниже вы можете увидеть пример вредоносного сообщения, доставляющего Locky, и пример, который был получен во время анализа рекламной кампании Spora.

Amazon email scams

Пример 3: Квитанции

Еще один очень успешный метод, который помог увеличить распространение ремиксов Locky вымогателя, включал фишинговые письма, которые содержали вложение под названием “ATTN: Invoice-[случайный код]”. Эти обманчивые письма содержали несколько строк текста в поле сообщения, прося жертву “просмотреть прилагаемую квитанцию (Microsoft Word Document)”. Единственная проблема заключается в том, что документ Word на самом деле содержит вредоносный скрипт, который активируется с помощью функции макроса. Ниже приведен пример описанного фишингового сообщения.

Malicious emails distributing Locky

Пример 4: Спам, который использует тему крупных спортивных событий

Любите спорт? Тогда вы должны знать о спортивно-тематическом спаме. В последнее время исследователи Kaspersky заметили увеличение электронных сообщений, ориентированных на пользователей, заинтересованных в чемпионате Европы по футболу, предстоящих чемпионатах мира в 2018 и 2022 годах, а также на Олимпийских играх в Бразилии. Такие сообщения содержат вредоносный ZIP-архив, содержащий троянскую программу (загрузочную угрозу) в виде JavaScript файла. По мнению экспертов, троянец настроен загрузить еще больше паразитов на компьютер. Смотрите пример вредоносного сообщения ниже.

Malicious spam targeting FIFA fans

Пример 5: Террористическо-тематический спам

Мошенники не забывают, что терроризм является одним из тех субъектов, который вызывает наибольший интерес. Неудивительно, что эта тема также используется во вредоносном спаме. Террористическо- тематический спам не является одним из любимчиков для мошенников; однако вы должны знать, чего ожидать. Ниже приведен пример такого сообщения электронной почты. Как сообщается, такой тип спама обычно используется для кражи персональных данных, выполнения DDoS-атак и распространения вредоносного ПО.

Terrorism-based phishing emails

Пример 6: Письмо предоставляющие “отчеты о безопасности”

Исследователи обнаружили еще одну кампанию, которая распространяла вредоносные документы Word через электронную почту. Оказывается, эти документы также содержат заражающие макросы, которые загружают и запускают CryptXXX вымогателя, как только жертва активирует требуемую функцию. Такие письма содержат такую ​​тему: “Security Breach — отчет о безопасности #[случайный код]”. В сообщении содержится IP-адрес жертвы и местоположение компьютера, заставляя жертву чувствовать, что сообщение является подлинным и заслуживающим доверия. Сообщение предупреждает жертву о несуществующих угрозах, таких как нарушения безопасности, которые якобы были предотвращены, и предлагает проверить отчет, прикрепленный к сообщению. Конечно, вложениевредоносное.

Phishing emails delivering ransomware

Пример 7: Вредоносный спам предположительно отправленный легитимными компаниями

Чтобы убедить жертву открыть файл, прикрепленный к письму, мошенники притворяются кем-то, кем они не являются. Самый простой способ обмануть пользователя в открытии вредоносного приложения — создать обманную учетную запись электронной почты, которая почти идентична той, что принадлежит законной компании. Используя такие фиктивные адреса электронной почты, мошенники атакуют пользователей с красиво составленными электронными письмами, которые несут вредоносную нагрузку в прикрепленном к ним файле. В приведенном ниже примере показано электронное письмо, отправленное мошенниками, которые притворялись, что работают в Europcar.

Scammers impersonate Europcar employees

Приведенный ниже пример показывает, какие сообщения использовались при атаке на клиентов компании A1 Telekom. Эти фишинг-сообщения включали обманчивые URL-адреса DropBox, которые приводили к вредоносным ZIP или JS файлам. Дальнейший анализ показал, что эти файлы содержат Crypt0l0cker вирус.

Mail spam targeting A1 Telekom users

Пример 8. Срочное задание от вашего боса

В последнее время мошенники начали использовать новый трюк, который помогает им получать деньги от ничего не подозревающих жертв за несколько минут. Представьте, что вы получили письмо от своего босса, говорящее, что он/она находится в отпуске, и вам необходимо срочно внести платеж в какую-либо компанию, потому что босс скоро будет недоступен. К сожалению, если вы спешите подчиняться командам и не проверяете мелкие детали, прежде чем делать это, вы можете в конечном итоге перевести деньги компании преступнику или, что еще хуже, заразить всю компьютерную сеть вредоносными программами. Другой трюк, который может убедить вас открыть такую ​​вредоносную привязанность, притворяется вашим коллегой. Этот трюк может быть успешным, если вы работаете в крупной компании, и вы не знаете всех своих коллег. Ниже вы можете увидеть несколько примеров таких фишинговых писем.

Task from boss spam

Пример 9. Налогово-тематический фишинг

Мошенники охотно следуют разным национальным и региональным налоговым расписаниям и не упускают шанс инициировать кампании по рассылке с учетом налогов для распространения вредоносных программ. Они используют разнообразную тактику социальной инженерии, чтобы обмануть несчастных жертв на загрузку вредоносных файлов, которые приходят с этими обманчивыми виртуальными письмами. Такие приложения в основном содержат банковские трояны (кейлогеры), которые после установки крадут личную информацию, такую ​​как имя жертвы, фамилию, логины, информацию о кредитной карте и аналогичные данные. Вредоносная программа может скрываться в вредоносном вложении электронной почты или ссылке, вставленной в сообщение. Ниже вы можете увидеть пример сообщения электронной почты, которое предоставляет фальшивую квитанцию ​​для заполнения налогов, что на самом деле является троянским конем.

Income Tax Receipt virus

Мошенники также пытаются привлечь внимание пользователя и заставить его открыть вредоносное приложение, заявив, что против него ожидаются действия правоохранительных органов. В сообщении говорится, что что-то нужно сделать “с уважением, суд”, которое прилагается к сообщению. Конечно, прикрепленный документ не является повесткой в ​​суд — это вредоносный документ, который открывается в защищенном виде и просит жертву разрешить редактирование. Следовательно, вредоносный код в документе загружает вредоносное ПО на компьютер.

Tax Subpoena scam

В последнем примере показано, как мошенники пытаются обмануть бухгалтеров в открытии вредоносных вложений. Похоже, что письмо приходит от кого-то, кто обращается за помощью к CPA и, конечно же, содержит вложение или два. Это просто типичные вредоносные Word документы, которые активируют скрипт и загружают вредоносное ПО с удаленного сервера, как только жертва их открывает.

Tax Phishing

Как идентифицировать вредоносные письма и держаться в безопасности?  

Существует несколько основных принципов безопасности, при попытке избежать вредоносных писем.

  • Забудьте папку спам. Есть причина почему сообщения попадают в секцию Спам или Нежелательные. Это означает, что фильтры электронной почты автоматически идентифицируют, что одинаковые или похожие электронные письма отправляются тысячам людей или что огромное количество получателей уже отметили такие сообщения, как спам. Легитимные письма попадают в эту категорию только в очень редких случаях, так что лучше держать подальше от папки Спам и нежелательные.  
  • Проверьте отправителя сообщения перед его открытием. Если вы не уверены в отправителе, не копайтесь в содержимом такого письма вообще. Даже если у вас есть антивирусная или антивредоносная программа, не нажимайте на ссылки, добавленные в сообщение, и не открывайте прикрепленные файлы, не задумываясь. Помните — даже лучшие программы безопасности могут не идентифицировать новый вирус, если вы оказались одной из первых целей, выбранных разработчиками. Если вы не уверены в отправителе, вы всегда можете позвонить в компанию, из которой предположительно отправитель, и спросить о полученном вами электронном письме.
  • Держите ваши программы безопасности обновленными. Важно не иметь старых программ в системе, потому что они, как правило, полны уязвимостей безопасности. Чтобы избежать таких рисков, включите автоматическое обновление программного обеспечения. Наконец, используйте хорошую антивирусную программу для защиты от вредоносных программ. Помните — только последняя версия программы безопасности может защитить ваш компьютер. Если вы используете старую версию, и если вы пытаетесь отложить установку ее обновлений, вы просто позволяете вредоносным программам быстро входить в ваш компьютер — без их идентификации и блокировки.
  • Узнайте безопасен ли URL не нажимая на него. Если полученное электронное письмо содержит подозрительный URL-адрес, наведите указатель мыши на него, чтобы проверить его правильность. Затем посмотрите на нижний левый угол вашего веб-браузера. Вы должны увидеть реальный URL-адрес, на который вы будете перенаправлены. Если он выглядит подозрительным или заканчивается на .exe, .js или .zip, не нажимайте на него!
  • Киберпреступники обычно имеют слабый уровень написания. Поэтому, они часто не могут оставить даже краткое сообщение без орфографических или синтаксических ошибок. Если вы заметили некоторые, держитесь подальше от вставленных в сообщение URL или прикрепленных файлов.
  • Не спешите! Если вы видите, что отправитель настойчиво говорит вам открыть вложение или ссылку, лучше подумайте дважды перед тем как сделать это. Прикрепленный файл скорее всего содержит вредоносную программу.
Как идентифицировать письмо зараженное вирусом? снимок
Как идентифицировать письмо зараженное вирусом? снимок

О авторе

Olivia Morelli
Olivia Morelli

Аналитик по вредоносным программа...

Источник: https://www.2-spyware.com/how-to-identify-an-email-infected-with-a-virus

Читать на других языках


Файлы
Программы
Сравнить
Нравится, мы в Facebook’e