Jak zidentyfikować email zainfekowany wirusem?

stworzone przez Olivia Morelli - -

Spam i phishing to dwa najefektywniejsze sposoby pomagające przestępcom zdobywanie lewych profitów. W czasach, w których ludzkość staje się coraz bardziej zależna od technologii – szczególnie od internetu – zauważyliśmy, jak cyberprzestępcy zjednoczyli się tworząc zorganizowane grupy przestępcze, ciężko pracujące nad powodzeniem złośliwych projektów wyciągających pieniądze od niczego nie spodziewających się ofiar.

W rzeczy samej, niektórzy eksperci są zdania, że niezorganizowani przestępcy dawno przestali istnieć. Podczas, gdy wielu myśli, że cyberprzestępcy są niezwykle zaawansowanymi hakerami wiedzącymi, jak użyć kodu, by przechodzić przez systemy zabezpieczeń jak przez masło, a nawet zdalnie przejmować komuptery użytkowników.

Rzeczywistość jest jednak inna – w większości przypadków rzeczeni cyberprzestępcy są tylko uzdolnionymi oszustami korzystającymi z metod związanych z inżynierią społeczną w celu nakłonienia użytkowników do zainstalowania malware na ich komputerach. wykorzystanie spamu i phishingu w celu rozpowszechniania złośliwego oprogramowania jest tego najlepszym przykładem – może by też zdefiniowane jako logizna ewolucja cyberprzestępczości.

Nie potrzeba przecież spędzać godzin na tworzeniu przystosowanych planów ataku, jeśli jedyną rzeczą potrzebną do włamania się na sieć firmy jest nakłonienie jednego naiwnego pracownika do otwarcia załącznika wyglądającego jak raport. Takie sposoby okazały się niezwykle skuteczne – przez to przyspieszyły dystrybucję malware.

Przykładowo, rok 2017 jest szeroko znany jako rok ransomware'ów i fakt, że 93% wiadomości phishingowych z pierwszego kwartału 2017 roku zawierało ransomware, tylko to potwierdza. Można więc stwierdzić, że spam i phishing w 2018 roku będzie jeszcze większy.

Przykłady złośliwego spamu

Wiadomości wyładowane malwarem są na chwilę obecną najefektywniejszym sposobem ataku. Spamerzy szybko korzystają z informacji o nadchodzących wydarzeniach (zawody sportowe, wyprzedaże, sezon podatkowy itd.) i wysyłają setki tysięcy tematycznych wiadomości.

Dodatkowo, część sztuczek działa przez okrągły rok. Przykłady przedstawione poniżej pokazują, że maile phishingowe są zwykle uzywane do rozprzestrzeniania się malware. Mamy nadzieję, że tkie przykłady pomogą Ci zidentyfikować wiadomości tego typu w przyszłości i uczynią Cię bardziej sceptycznym na temat wiadomości wysyłanych przez nieznanych tobie nadawców.

Przykład nr 1: Życiorysy i dokumenty rekrutacyjne

Wiadomości phishingowe zawierające życiorysy zwykle są wysyłane do rekruterów, menedżerów, właścicieli bądź osób, które decydują o przyjmowaniu pracowników. Takie wiadomości zwykle zawierają kilka linijek tekstu, zapraszających adresata do otwarcia załączonych dokumentów.

Zwykle, oszuści spodziewają się, że wiadomości będą przekonującena tyle, że pozwolą na atak na wyznaczoną firmę bądź klinikę. Wiadomości tego typu zostały wykorzystane w kampaniach  dla tkich wirusów, jak CryptoWall 3.0, GoldenEye, i Cerber. Kilka przykładów takich wiadomości poniżej.

Przykład nr 2: Maile phishingowe wyglądające na wiadomości od giganta ekomercyjnego Amazon

Cyberprzestępcy wykazują tendencję do atakowania użytkowników Amazona fałszywymi mailami wysyłanymi z podrobionych mailów na pierwszy rzut oka sprawiających wrażenie rzeczywistych. Takie wiadomości phishingowe mogą zostać wykorzystane do wyciągnia pieniędzy od ofiary bądź dostarzają jej złośliwy załącznik zawierający niebezpiecznego wirusa.

Przykładowo, oszuści korzystali z adresu auto-shipping@amazon.com, by wysyłać tysiące wiadomości zawierających ransomware'a Locky. Wiadomości te zawierają taki temat: „Your Amazon.com Order Has Dispatched (#order_number)” i zawierają w załączniku archiwum ZIP ze złośliwym skryptem JS w środku.

Ten, po otwarciu, pobiera ransomware z określonej strony. Poniżej możesz zobaczyć przykład wiadomości dostarczającej Locky'ego orz przykładową wiadomość zdobytą podczas analizy dystrybucji wirusa Spora.

Amazon email scams

Przykład nr 3: Faktury

Inną niezwykle skuteczną techniką pomagającą rozprzestrzeniać się ransomwareowi Locky są wiadomości posiadające załącznik znany jako “ATTN: Invoice-[random code].” Te zwodnicze maile zawierały parę linijek tekstu w treści wiadomości i pytały się ofirę o sprwdzenie załączonej fktury (w formie dokumenty Microsoft Word). Jedynym problemem był złośliwy skrypt ukryty w dokumencie, aktywowany poprzez makro. Przykład opisywanego maila poniżej.

Malicious emails distributing Locky

Przykład nr 4: Spam o tematyce ważnych zawodów sportowych

Lubisz sport? Musisz być więc świadom spamu w tej tematyce. Ostatnio, badacze z Kaspersky'ego zauwazyli przyrost liczby maili mających na celowniku użytkowników zainteresowanych Mistrzostwami Europy w Piłce Nożnej, nadchodzącymi Mistrzostwami Świata oraz Igrzyskami Olimpijskimi.

Takie wiadomości  przenoszą złośliwe archiwum ZIP zawierające Trojana (w tym wypadku program do pobrania malware) w formie pliku JavaScript. Trojan ten jest nastawiony na pobieranie jeszcze większej liczby wirusów. Przykład poniżej.

Malicious spam targeting FIFA fans

Przykad nr 5: Spam o tematyce terrorystycznej

Cyberoszuści nie zapomnieli o tym, że terroryzm jest zawsze interesującym tematem. Nie dziwi więc wykorzystanie tego motywu w złośliweym spamie. Nie jest on jednym z lubianych przez złoczyńców – musisz jednak wiedzieć, czego się spodziewać. Dlatego poniżej znajdziesz przykład wiadomości. Taki rodzaj spamu jest zwykle wykorzystywany do kradzieży danych osobistych, przeprowadzania ataków DDoS oraz rozpowszechniania malware.

Terrorism-based phishing emails

Przykłąd nr 6: Emaile zapewniające „raporty bezpieczeństwa”

Badacze wykryli jeszcze jedną kampanię mailową rozpowszechniającą złośliwe dokumenty w Wordzie. Wygląda na to ,że takie dokumenty także zawierają makra pobierające i uruchamiające ransomware CryptXXX od razu po tym, jak ofiara uruchomi odpowiednią funkcję. Takie emaile zawierają następujący tekst w temacie: “Security Breach – Security Report #[random code].”

Wiadomość zawiera adres IP ofiary oraz lokacją komputera, sprawiając wrażenie informacji ważnej i godnej zaufania. Wiadomość ostrzega ofiarę o nieistniejącym problemie takim, jak luka w bezpieczeństwie, która została ostatnio załatana oraz sugeruje sprawdzenie raportu dołączonego do wiadomości. Oczywiście, załącznik jest groźny.

Phishing emails delivering ransomware

Przykład nr 7: Złośliwy spam podający się za wysłany z rzeczywistych firm

W celu przekonania ofiary o otwarciu pliku dołączonego do wiadomości, oszyści podaja się za kogoś, kim nie są. Najprostszym sposobem by sprawić, że użytkownik otworzy złowieszczy załącznik jest utworzenie zwodniczego adresu email, łudząco podobnego do tego posiadanego przez rzeczywistą firmę.

Korzystając z takiego adresu, scammerzy atakują użytkowników odpowiednio przygotowanymi wiadomościami zawierającymi złośliwą zawartość w pliku do nich dołączonym. Przykład poniżej pokazuje wiadomość wysłaną przez oszusta podającego się za pracownika Europcaru.

Scammers impersonate Europcar employees

Ten zaś przykład pokazuje, jakie wiadomoścu zostały wykorzystane w ataku przeciwko klientom firmy A1 Telekom. Wiadomości ta zawierająlinko do DropBoxa prowadzące do złośliwych plików ZIP lub JS. Dalsza analiza wykazała w tych plikach obecność wirusa Crypt0l0cker.

Mail spam targeting A1 Telekom users

Przykład nr 8: Ważne zadanie od szefa

Ostatnio oszuści zaczęli korzystać z nowej sztuczki, która pomoże im ukraść pieniądze niczego nie spodziewającym się ofiarom w parę minut. Wyobraź sobie, że otrzymałeś email od szefa, w którym informuje on o swoim pobycie na wakacjach oraz o konieczności szybkiego przelewu z powodu krótkiego czasudostępu szefa do sieci.

Niestety, jeśli śpieszysz się, by wykonać polecenie i nie sprawdzasz szczegółów przed wykonaniem polecenia, możesz wysłać pieniądze firmy do przestępcy, lub – co gorsze – zainfekować caly komputer złośliwym malwarem. Inna sztuczka mogąca przekonać do otwarcia załącznika to podszywanie się pod kolegę z pracy. Trik może się udać, jeśli pracujesz w dużej firmie i nie wiesz prawie nic o swoich kolegach. Możesz zobaczyć kilka przykładów emaili poniżej. Task from boss spam

Przykład nr 9: Phishing podatkowy

Scammerzy trzymają się też harmonogramów podatkowych w wielu krajach i nie zaprzepaszczą okazji, by uruchomić kampanię spamową o tematyce podatkowej, by rozpowszechniać złośliwe aplikacje. Korzystają oni z różnorodnych sposobów socjotechnicznych, by nakłonić ofiary do pobrania złośliwych plików dołączonych do zwodniczych listów elektronicznych.

Takie załączniki zwykle przenoszą bankiwe Trojany (keyloggery), które po instalacji wykradają informacje osobiste takie, jak dane osobiste, loginy, informacje o kartach kredytowych i podobne dane. Złośliwy program może czekać w złowieszczych załącznikach bądź w linkach zamieszczonych w wiadomości. Poniżej, możesz zobaczyć przykład emaila dostrczającego fałszywą deklarację podatkową, która w rzeczywistości jest koniem trojańskim.

Income Tax Receipt virus

Oszuści próbują też zwrócić uwagę użytkownika i zmusić do otwarcia złośliwych załączników mówiąc, że przeciwko adresatowi zostało wszczęte postępowanie sądowe. Wiadomość informuje o konieczności dokonania korekty „dokumentu znajdującego się w załączniku”.  Oczywiście w załączniku nie znajdziesz tego dokumentu – znajdziesz natomiast złośliwy dokument otwierający się w widoku chronionym i proszący o włączenie edytowania. W konsekwencji, dkod zawarty w dokumencie pobiera malware na komputer.

Tax Subpoena scam

Ostatnią sztuczką jest sposób, jaki oszuści stosują wobec księgowych, jeśli chcą by to oni otworzyli złośliwe dokumenty. Email wygląda, jakby był od osoby poszukującej wsparcia księgowego i – oczywiście – zawiera kilka załączników. Tymi są typowe dokumenty Worda aktywujące skrypty pobierania malware ze zdalnych serwerów, jak tylko ofiara otworzy podane dokumenty.

Tax Phishing

Jak zidentyfikować złośliwy email i być bezpiecznym?

Istnieje kilka zasad, których warto się trzymać, jeśli chcesz uniknąć złośliwych emaili.

  • Zapomnij o folderze Spam. Są powody, dla których emaile lądują w folderze Spamu lub Śmieci. Znaczy to, że automatyczne filtry zauważyły, że taka sama bądź podobna wiadomość została rozesłana po tysiącach ludzi bądź że sporo użytkowników oznaczyło taką wiadomość jako Spam. Zwykłe wiadomości bardzo rzadko lądują w takim miejscu. Lepiej więc trzymać się z daleka od takich folderów.
  • Sprawdź nadawcę przed otwarciem wiadomości. Jeśli nie jesteś pewny wobec nadawcy, nie sprawdzaj zawartości tego maila. Nawet, jeśli posiadasz antywirusa bądź program anty-malware, nie klikaj na linki dodane do wiadomości i nie otwieraj załączników bezmyślnie. Pamiętaj – nawet najlepsze programy mogą zawieść, jeśli jesteś pierwszym celem na liście zupełnie nowego wirusa. Jeśli nadawca wydaje Ci się nie być pewnym, możesz zawsze skontaktować się z firmą, w której podobno nadawca pracuje, i zapytać się o wiadomość.
  • Posiadaj w pełni zaktualizowane oprogramowanie. Ważne jest, by nie posiadać starych programów w systemie, ponieważ takie aplikaccje pełne są luk. By zapobiec ryzyku, włącz aktualizacje automatyczne. Dodatkowo, kozystaj z dobrego programu anty-malware, by pozbyć się złośliwych programów. Pamiętaj – tylko aktualne oprogramowanie może ochronić Twój komputer. Jeśli korzystasz ze starego programu i opóźniasz aktualizacje, pozwalasz złośliwym programom na dostanie się do komputera, bez identyfikacji ani blokowania.
  • Sprawdź, czy adres jest bezpieczny bez klikania na niego. Jeśli email zawiera podejrznay dres URL, najedź na niego myszką, by sprawdzić jego wiarygodność. Następnie spójrz na lewy dolny róg swojej przeglądarki. Zobaczysz tam, gdzie przekieruje adres. Jeśli wygląda podejrzanie lub kończy się na .exe, .js lub .zip – nie klikaj na niego!
  • Sprawdź pisownię wiadomości. Cyberprzestępcy zwykle mają mikre umiejętności pisania. Przez to często nie dają rady napisać nawet krótkiej wiadomości bez błędów gramatycznych bądź językowych. Jeśli zauważyłeś jakieś, trzymaj się z daleka od adresów znajdujących się w wiadomości lub plików do niej dołączonych.
  • NIe spiesz się! Jeśli widzisz, że nadawca notorycznie prosi o otworzenie załącznika lub linku, pomyśl dwa razy zanim to zrobisz. Dołączony plik najpewniej zawiera malware.

O autorze

Olivia Morelli
Olivia Morelli

Analityk oprogramowania malware...

Skontaktuj się z autorem
O firmie Esolutions

Przeczytaj także w innych językach


Pliki
Software
Porównaj
Polub nas na Facebooku