Что рекомендуется сделать с файлами приходящими по электронной почте от неизвестных отправителей
Уязвимость, взорвавшая Сеть, была обнаружена в macOS некоторое время назад. В Apple отнеслись к ней как-то не слишком серьезно. Охотнику за уязвимостями, обнаружившему её, выплатили пятую часть минимального вознаграждения. Уязвимость не внесли в реестр уязвимостей. Её, всего лишь, устранили. Но, как вскоре выяснилось, не полностью. Она все еще угрожает нашей безопасности. Этой лазейкой может воспользоваться любой негодяй для захвата контроля над нашим Mac’ом. И творить на нем все, что ему угодно. Особенно теперь, когда про эту дыру в защите macOS известно всем. В сети можно найти пример её использования – пример работает – но он не доказывает что эта уязвимость опасна. Кстати, почтовые вложения от неизвестных отправителей вообще лучше не открывать – а сейчас особенно.
Не открывайте вложения от неизвестных отправителей, там могут быть вирусы
Apple призналась, что с 2019 года проверяет вашу почту. От этого нельзя отказаться
inetloc-файл можно скачать на диск – и открыть тот же Интернет-ресурс двойным щелчком уже в Finder’е. Но что случится если злоумышленники “пошаманят” с inetloc-файлом? Наверняка что-то ужасное. Охотника сообщившего об этой уязвимости кто-то (по словам охотника, “какой-то клерк”) попросил привести доказательства её опасности. Не дождавшись ответа, через месяц или два, охотнику сказали спасибо и заплатили ему утешительный приз в пять тысяч долларов. Обидев человека до глубины души.
Можно ли взломать Mac
По словам первооткрывателя уязвимости, ссылку на ресурс в Интернете в inetloc-файле можно заменить на несколько “любых” команд. Звучит угрожающе, но к счастью, это не совсем правда. В модифицированном inetloc-файле ссылку на Интернет-ресурс можно заменить на адрес файла в файловой системе macOS. Если этот файл существует, и это приложение или что-то исполняемое (какой-нибудь скрипт или сценарий), в ответ на двойной щелчок будет запущено оно (или он). Злоумышленник должен точно знать где находится этот файл.
Чаще всего пользователи сами помогают злоумышленникам взломать их Mac
Но где же “смертельная угроза”? Почему открыватель этой неуязвимости не предоставил экспертам по безопасности Apple её пример? С охотниками за уязвимостями, кстати, общаются не клерки, а эксперты по безопасности, многие из которых сами когда-то зарабатывали на жизнь охотой за уязвимостями. Я не утверждаю что они не могут не заметить что-то важное. Они и сами так не считают. И если серьезность уязвимости вызывает сомнения, её принято доказывать. Если вас интересуют подробности, следующий раздел для вас. Он сложней.
Компьютер сам запускает программы
Inetloc сам запускает приложения на компьютере без вашего участия
Но до сих пор никаких мер против ссылок на ресурсы другой природы не предпринималось. Приложения, скрипты и сценарии, указанные в inetloc-файле, легко и непринужденно запускались. Сейчас у меня нет возможности это проверить, но говорят что при запуске из inetloc-файла никаких проверок не проводится, и что таким способом можно запустить любое приложение, даже если оно не прошло нотаризацию Apple. Уровень безопасности, выбранный пользователем в системных настройках (“Запускать только приложения из App Store” или не только, но подписанное разработчиком) – игнорируются. Теоретически, с помощью уязвимости “inetloc” можно организовать проникновение в Mac, но как это можно сделать с помощью почтовых вложений, я не знаю.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
1. ZIP- и RAR-архивы
2. Документы Microsoft Office
Также среди киберпреступников популярны файлы Microsoft Office, особенно документы Word (.doc, .docx), электронные таблицы Excel (.xls, .xlsx, .xlsm), а также презентации и шаблоны. Эти файлы могут содержать встроенные макросы — небольшие программы, которые выполняются прямо внутри файла. Злоумышленники использовали их, например, как скрипты для скачки зловредов.
3. Файлы PDF
Если про опасность макросов в документах Microsoft Office многие уже знают, то от файлов PDF подвоха часто не ожидают. Тем не менее, в них тоже можно спрятать вредоносный код: формат позволяет создавать и выполнять скрипты JavaScript.
4. Образы дисков ISO и IMG
Файлы ISO и IMG по сравнению с предыдущими типами вложений используются не очень часто, но в последнее время злоумышленники все больше обращают на них внимание. Такие файлы — образы диска — представляют собой фактически виртуальную копию CD, DVD или других дисков.
С помощью подобных вложений злоумышленники доставляли жертвам, например, троян Agent Tesla, специализирующийся на краже учетных данных. Внутри образа диска находился вредоносный исполняемый файл, который запускался при открытии и устанавливал на устройство шпионскую программу. Любопытно, что в некоторых случаях преступники использовали, видимо, для верности, сразу два вложения — ISO и DOC.
Как себя вести с потенциально опасными вложениями
Само собой, отправлять в спам все письма с вложенными архивами или файлами в формате DOCX или PDF — слишком радикальный метод защиты. Чтобы не попасться на удочку мошенников, достаточно помнить несколько простых правил.
Вы получили подозрительное письмо. К вам обращаются по имени, но формулировки, требующие действовать немедленно, выглядят странно.
За неделю подобное может произойти не один раз. Знаете ли вы, что нужно делать с такими письмами? И чего делать точно не стоит?
Признаки подозрительного письма
Некоторые мошеннические письма могут быть очень убедительными, использовать официальный стиль и содержать фирменные логотипы. Не забывайте сделать паузу каждый раз, когда видите письмо, которое требует немедленно совершить какое-либо действие, способное раскрыть конфиденциальную информацию или установить что-либо на устройство.
Обратите внимание на признаки мошеннического письма:
У отправителя странное имя, длинный или запутанный адрес электронной почты.
Тема письма привлекает внимание или вызывает тревогу.
Письмо побуждает немедленно совершить какое-либо действие.
Обещается большая скидка.
Присутствует попытка получить ваши персональные данные, например, данные для входа в учетную запись на каком-нибудь сайте.
Письмо побуждает перейти по ссылке, не объясняя, куда она ведет.
К письму от неизвестного отправителя прикреплен файл.
«Многие мошеннические и фишинговые письма содержат специальные предложения, которые слишком хороши, чтобы быть правдой, — считает Алексей Савчин, аналитик Avast. — Или они пытаются обманом заставить пользователей быстро щелкнуть ссылку, предлагая мгновенный выигрыш или информацию о тех, кто за ними наблюдает».
Что делать, если получил мошенническое письмо?
Не нажимайте на вложения — они могут содержать вредоносные программы.
Не переходите по ссылкам, особенно если в тексте предлагается перейти на сайт и указать какую-либо информацию.
Не отвечайте на подозрительные письма, не звоните по номерам телефонов, указанным в письме.
Присмотритесь к почтовому адресу отправителя и ко всем веб-адресам, имеющимся в письме. Нет ли в них отличий от официального названия компании или имени отправителя?
Если вы пользуетесь корпоративной почтой, обратитесь к ИТ-специалистам. Они могут попросить вас переслать письмо им (сначала стоит спросить их об этом).
Если письмо пришло на личную почту и в нем говорится, что с вами пытается срочно связаться определенная компания, вы можете позвонить в эту компанию или связаться с ней иным способом, воспользовавшись контактной информацией, которую можно найти в интернете. Не пользуйтесь контактными данными, указанными в подозрительном письме.
Вы можете сообщить о фишинге с помощью специальной кнопки, расположенной в интерфейсе популярных почтовых сервисов.
Дополнительно
Узнайте, как защитить себя от взлома электронной почты на сайте Avast.
Узнайте, как реагировать на фишинг в Gmail на сайте Google.
Для защиты от вредоносных писем используйте антивирусные программ. Антивирус Avast постоянно получает высшие оценки от отраслевых экспертов и пользуется доверием 400 млн пользователей по всему миру. Avast Free Antivirus получил звание «Продукт года» от независимой лаборатории AV-Comparatives. Также, он бесплатен.
Следите за нашими страницами в социальных сетях ВКонтакте, Одноклассники, Facebook и Twitter, чтобы быть в курсе последних новостей и советов из области информационной безопасности и приватности данных.
В эпоху ИТ-гигантов, занимающихся кибербезопасностью более 20 лет, сложно создать вредоносные программы, способные не привлекать внимания со стороны комплекса защиты информационных систем и эффективно обходить его. Однако остаётся практически неизменной одна серьёзная уязвимость — человек. Поговорим о том, как неосведомлённые о соблюдении цифровой безопасности люди помогают злоумышленникам реализовывать вредоносные схемы на их устройствах через канал электронной почты.
Введение
Однако, хотя современная система безопасности информационного пространства в целом весьма надёжна, в ней по-прежнему сохраняется уязвимая составляющая — человек. Известный публичный хакер, а ныне консультант по информационной безопасности Кевин Митник писал, что куда проще «взломать» человека, нежели компьютерные системы безопасности, и что самые крупные хакерские атаки были результативными вследствие неопытности и невнимательности людей. Недаром в наше время наилучший результат (по соотношению затрат и выгод) дают те атаки, которые направлены на «взлом» человека путём внедрения вредоносной нагрузки в электронные письма и файлы.
Стоит отметить, что львиную долю жертв хакерских атак составляют пользователи операционной системы Windows — как самой нетребовательной к уровню профессиональных компьютерных знаний.
Основные цели вредоносных программ, распространяемых через электронную почту
Не существует активных пользователей интернета, которым на электронную почту не приходили бы странные письма с кричащими заголовками: «Вы выиграли миллион!», «Вам положена государственная выплата», «Срочно для исполнения!», «Вам поступил денежный перевод», «Я хочу сделать тебе приятное», «Официальное письмо от подрядчика». Если вы ничего такого не припоминаете, то загляните на вкладку «Спам» своего почтового клиента. Да, в настоящее время подобные письма обычно уходят в папку нежелательной почты, но программы для рассылки спама совершенствуются и некоторые письма всё же просачиваются через фильтры. Поэтому здесь мы будем говорить о том, что в принципе каждый пользователь сети «Интернет» является мишенью для вредоносной активности.
И если вы думаете, что у вас нет секретов и что вредоносным программам на вашем компьютере «будет скучно», то глубоко ошибаетесь. Даже если на вашем устройстве нет ценной информации, он отлично подойдёт для других задач, например для майнинга криптовалют или участия в бот-сетях (ботнете).
Впрочем, заработок хакера от заражения домашних устройств сравнительно невелик, поэтому основная цель злоумышленников — корпоративный сектор. Далеко не во всех компаниях выстроена правильная защита от атак через электронную почту, рядовые сотрудники не всегда проходят обучение обнаружению спам-писем с вредоносными программами, однако открытие подобного письма по неопытности, например, бухгалтером может привести к шифрованию баз данных всей организации, что принесёт огромные убытки. Таким образом, чтобы не допустить неожиданных финансовых и репутационных потерь, каждая уважающая себя компания должна организовывать постоянное обучение своих сотрудников безопасной работе с электронной почтой и иметь штатного специалиста по информационной безопасности.
Основные механизмы передачи вредоносных программ с использованием канала электронной почты
Значительная часть вредоносных программ по-прежнему доставляется по электронной почте. Раньше злоумышленники без затей прикрепляли к письму вложения с расширением «.exe», но со временем для большинства пользователей стало очевидным, что открывать подобные программы небезопасно, да и почтовые антивирусы предупреждали о рисках заражения, поэтому хакеры усовершенствовали тактику. В настоящее время вредоносные программы маскируются: инфекция приходит в составе менее подозрительных вложений (например, внутри обычных DOC- и PDF-файлов) либо скачивается по ссылке на вредоносный интернет-ресурс, находящейся в теле письма — причём нередко устроенной так, что реальный адрес отличается от показываемого пользователю. Сами письма тоже маскируются — выглядят так, что не отличаются от обычной деловой переписки сотрудников или официального письма компании-партнёра.
Так какие же виды вложений чаще всего используют злоумышленники? Почти треть от общего количества составляют архивы (ZIP, RAR), на долю которых приходятся четыре из десяти самых популярных форматов вредоносных файлов. Также встречаются и наборы команд, т. е. скрипты (например, на языке JS). Впрочем, антивирусная защита всё же выявляет основную часть опасных вложений, поэтому одними лишь прикреплёнными файлами дело не ограничивается: так, злоумышленники могут вставить в само тело письма скрипт для загрузки вредоносной программы. Такое письмо внешне будет выглядеть как обычный текст, однако если на этот текст нажать, запустится скачивание очередного хакерского инструмента.
Исходя из вышеизложенного можно сделать вывод о том, что при использовании канала электронной почты вредоносные программы в основном распространяются через вложения, а также через ссылки и скрипты в теле письма.
Основные типы вредоносных файлов, распространяющихся по электронной почте
На бытовом языке принято называть вредоносные компьютерные программы вирусами, однако применение этого понятия в подобном ключе некорректно, так как вирусы являются лишь одной из разновидностей опасных информационных объектов.
По типу распространения можно выделить следующие основные группы.
Вирусы
Под вирусом понимают вредоносный код, заражающий другие файлы (подобно настоящим вирусам, которые инфицируют биологические клетки с целью размножения). К слову говоря, подобная вредоносная программа может прийти и от реального партнёра, если его устройство заражено.
С помощью вируса можно получить доступ к компьютеру в фоновом режиме, украсть пароль или вызвать зависание (различные процессы заполняют оперативную память и загружают процессор).
Черви
Поведение червя напоминает поведение вируса; отличие состоит только в способе распространения. В то время как вирус может проникнуть только на тот компьютер, где человек запустил заражённую программу, червь распространяется самостоятельно с помощью компьютерных сетей (локальных и интернета). Опасность червя — в том, что он может создавать и отправлять письма со своей копией и таким образом весьма быстро попасть на большое количество компьютеров. Это — очень опасный тип вредоносных программ, особенно если он объединяется с другими видами деструктивной функциональности. Так, известными его представителями являются WannaCry и Petуa, которые при заражении устройства могли зашифровать все файлы и вымогать у жертвы деньги за восстановление доступа к ним.
Троянские программы
Под троянскими программами, или «троянами», исторически принято понимать инфекции, которые имитируют легитимное программное обеспечение.
Например, вам на почту пришла для бесплатного ознакомления вполне нормальная на вид утилита от компании — софтверного разработчика. «Эта программа повысит быстродействие вашего ПК в 2 раза», — говорится в описании. Да и устанавливается она, в общем-то, тоже как обычный программный продукт. Однако на деле в ней содержится скрытая вредоносная нагрузка, и после установки или запуска этот «троянский конь» начнёт функционировать в фоновом режиме совместно с нормальной утилитой. Таким образом разработчики троянской программы смогут получить доступ к компьютеру своей жертвы.
Ещё трояны позволяют мониторить активность на компьютере, соединять его с бот-сетью. Трояны используются для развёртывания сетевых шлюзов и скачивания различных видов вредоносных приложений на компьютер. Стоит отметить, что подобные вредоносные программы нечасто распространяются по электронной почте, в основном их внедряют в пиратский «софт». Однако риск есть и здесь: например, в маленьких компаниях до сих пор пренебрегают покупкой дорогих лицензий, и там вредоносные программы вполне можно получить по почте от коллеги.
Мы разобрали основные виды вредоносных программ по типу распространения, теперь же классифицируем их по способу воздействия на жертву.
Шифровальщики: цель преступников — зашифровать ценную информацию на серверах или клиентских устройствах и потребовать от жертвы плату за ключ дешифрования. Как правило, для перечисления выкупа применяются платёжные системы, не позволяющие отследить получателя.
Бэкдоры: программы, которые преступник устанавливает на компьютер с целью обеспечить себе возможность выполнять на нём какие-либо действия — например, удалённо управлять им.
Майнеры: инструменты для фоновой добычи (майнинга) криптовалюты. Пока пользователь работает за своим устройством, программа не проявляет ощутимой активности, однако когда компьютер не используется, майнер начинает эксплуатировать его вычислительные ресурсы.
Шпионские программы: с их помощью преступники получают информацию о действиях пользователя за компьютером. Типичный пример — кейлогер, т. е. средство слежки за нажатиями клавиш. Очевидно, что с помощью кейлогера без труда можно получить логины, пароли и переписку.
Рекламные программы обычно отображают надоедливые всплывающие окна и используется для получения прибыли от рекламы.
Логическая бомба: программа, в которой для запуска вредоносного кода используется некоторое условие (триггер). До срабатывания последнего программа находится в спящем режиме и никак себя не проявляет. Эффект может быть любым — например, стирание всех файлов на устройстве.
Не стоит забывать, что недобросовестный конкурент может и преследовать цель попросту разрушить инфраструктуру компании. Вредоносные программы, применяемые для подобных действий, классифицируются как вандальные.
Методы идентификации вредоносных вложений
Любой почтовый сервис стремится обезопасить своих пользователей от хакерских атак и применяет для этого современные фильтры и антивирусные решения, так что большинство писем с вредоносными вложениями не доходит до конечного пользователя. Но всё же различными хитростями и уловками злоумышленники обходят системы защиты и доставляют вредоносные письма адресатам.
Чтобы не стать очередной жертвой киберпреступника, необходимо быть внимательным и осторожным. Как правило, злоумышленники пытаются добиться немедленных необдуманных действий, используя заголовки «срочно», «немедленно к исполнению» и т. п., однако нужно спокойно, без спешки оценивать ситуацию и всегда придерживаться следующего алгоритма:
Выводы
Несмотря на свой возраст, электронная почта остаётся основным каналом распространения вредоносных программ и по сей день. Основная ОС, подверженная заражению, — широко распространённая Windows. Будьте бдительны и проверяйте каждое письмо внимательно. Есть сомнения в подлинности — позвоните отправителю, но в любом случае убедитесь, что в письме нет вредоносных вложений. Придерживайтесь алгоритма проверки писем.
Если вы хотите обезопасить свой бизнес от непредвиденных убытков, то обучайте людей основам информационной безопасности. Всегда помните: самое слабое звено в любой защите — человек, и именно на человеческие слабости опирается хакерская атака.
Читайте также: