Спам с оптическим прицелом

Под прицелом

добавить в избранное

Спам с оптическим прицелом

Прочитали: 17679 Комментариев: 43 Рейтинг: 68

28 сентября 2020

Наши специалисты провели анализ целевой атаки, предположительно из Китая, на объекты российской критической инфраструктуры. Надеемся, вы видели новость. Если нет, обязательно прочитайте и возвращайтесь. Сейчас мы хотим обратить внимание на ряд важных моментов.

Преступникам (или служащим какой-либо структуры) невыгодно атаковать каждого сотрудника компании. Массовая рассылка спама или тотальное сканирование компьютеров компании заметят (мы надеемся) службы безопасности. Например, в нашем бизнес-решении Dr.Web Enterprise Security Suite есть функционал защиты от эпидемий – администратор получает автоматическое уведомление, если в сети происходит множество одинаковых событий вредоносной направленности. Так что удар должен быть нанесен точно по уязвимому месту. Но как найти слабое звено?

Проведенное расследование установило, что непосредственно перед атакой производилась разведка в виде рассылки писем с изображениями. Это делалось с целью сбора информации для определения «надежного» адресата, который в последующем гарантированно откроет спам-письмо. Чтобы вычислить сотрудника, который откроет письмо, при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Если злоумышленники знали, кто получил письмо, то они могли подготовить следующее уже исходя из должности атакуемого. Если же нет, то тоже неплохо. Некто открывает такие письма – значит, он уязвим.

Таким образом, киберпреступники перешли ко второму этапу атаки уже зная тех, кто откроет письма. Массовая рассылка вредоносных файлов могла и не производиться.

И тут мы переходим к критически важному месту. Если бы каждый сотрудник сейчас работал под защитой корпоративных средств защиты, то при получении вредоносного письма она (защита) должна была его по тем или иным признакам заблокировать. Но сегодня многие работают удаленно и очень часто не защищены корпоративными решениями. Или вообще не используют антивирус. Если на компьютере сотрудника нет корпоративного антивируса, то специалисты, отвечающие за корпоративную безопасность, могут и не заметить атаку: уведомления они не получат.

Можно ли определить, кто из сотрудников работает удаленно?

При обращении к прикрепленному файлу происходит HTTP-запрос на сервер, где файл физически расположен. При входящем обращении, оба хоста обмениваются данными о себе, в том числе IP-адресами, соответственно — почтовый клиент, обратившись за ccs-фалом или графическим изображением вложенным в письмо, моментально передает IP-адрес получателя письма.

Источник

IP адрес Вы определили, теперь можно воспользоваться бесплатной базой http://www.maxmind.com/en/home для определения геолокации указанного IP-адреса. Вероятность попадания около 95-98%. Для российских IP можно для уточнения использовать еще и эту базу:
http://ipgeobase.ru/

Источник

Запрос HTTP также будет содержать заголовок агента пользователя, которая обеспечивает краткое описание вашего браузера и операционной системы.

Источник

Вполне возможно, что точное местоположение определить не удастся, но станет понятен регион. И если он отличается от адреса вашей компании, то, вероятно, вы работаете удаленно.

#антиспам #корпоративная_безопасность #уязвимость #почта #спам #ВКИ #мошенническое_письмо #отслеживание_местоположения

Антивирусная правДА! рекомендует

Отключите загрузку изображений в вашем почтовом клиенте. Инструкции можно взять, например, тут.
Не открывайте письма от неизвестных отправителей.
Используйте корпоративный антивирус.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Vadim987
05:25:16 2020-11-11

Если тело письма является html-документом и подгружает картинки из внешнего мира - это одно. А если к письму прикреплен документ в формате .doc или .docx или возможно .odf и вдруг он подгружает картинки из внешнего мира, это уже наверное другое. Особенно если смотреть с точки зрения выводов какие может сделать злоумышленник.

Вячеслав
10:10:13 2020-11-09

приходящие письма спама сразу блокирую не открывая

Filip_s
20:02:46 2020-10-28

Мне всяких писем неизвестных приходит в день по 10 штук, а все из-за того, что на сайте уже очень давно расположены незащищённые формы. Вот и прёт всякий спам. Я их сразу удаляю через диспетчер задач в почтовой программе, но есть пару особенно настырных спамеров по 5 раз в день одно и тоже письмо присылают уже второй месяц подряд. Соберу как нибудь всех настырных и отправлю в лабораторию Dr.Web

Slava90
16:59:23 2020-09-30

Интересный и полезный выпуск спасибо. Надо Быть внимательнее и надеется на антивирусную защиту.

Baikal_40
17:01:42 2020-09-29

Нет покоя в этом мире

Lia00 Собкор
22:59:03 2020-09-28

что только в мире не бывает...

Неуёмный Обыватель Собкор
22:44:29 2020-09-28

Интересная новость и выпуск. Спасибо!
Но не менее интересным оказалось почитать комментарии. Некоторые перлы достойны занесения в анналы.

Dvakota
21:25:41 2020-09-28

Да минует меня чаша сия !

tigra Собкор
20:38:09 2020-09-28

@Любитель_пляжного_футбола, "Я в США третий год живу,а они до сих пор русский не выучили..." а вы, милостивый сударь, за китайцев... однако))))))

tigra Собкор
20:32:13 2020-09-28

@Шалтай_Александр_Болтай, чем больше(толше) личность, смею добавить))))

tigra Собкор
20:31:11 2020-09-28

"...провели анализ целевой атаки, предположительно из Китая"... Чего ж-то они на нас все рыпаются? ©
"Любовь и голуби 1984г."

Шалтай Александр Болтай Собкор
20:22:21 2020-09-28

Чем ярче личность, тем легче прицеливаться.

anatol
20:15:53 2020-09-28

Вспоминается знаменитое выражение"Кадры решают все" и остается добавить - как хорошее, так и плохое.

vkor
20:09:26 2020-09-28

В почту хоть не входи совсем, но на уда без почты нельзя.

Dmur
20:03:33 2020-09-28

Не открывай письма от неизвестных отправителей, и будет тебе счастье.

Toma
19:56:14 2020-09-28

Я тоже подозрительные письма удаляю. Спасибо за информацию!

Геральт Собкор
19:48:51 2020-09-28

Подозрительные письма сразу в корзину.

Masha
19:44:46 2020-09-28

Да уж, с почтой, особенно рабочей, нужно быть внимательной.

EvgenyZ
19:27:23 2020-09-28

Лучше не открывать подобные письма.

matt1954
18:48:15 2020-09-28

А сколько ещё "сюрпризов" будет от удалённой работы :-)...

L1t1um
18:30:04 2020-09-28

Стараюсь сразу же удалять, не читая, письма из неизвестных источников.

Альфа
18:01:14 2020-09-28

Спасибо за рекомендации. Почтой почти не пользуюсь.

Татьяна
17:54:08 2020-09-28

Полезные рекомендации. Но не всегда удается ими воспользоваться.

dyadya_Sasha Собкор
15:09:36 2020-09-28

"...Но как найти слабое звено?..."

Кто открывает письмо не глядя на отправителя?
У кого жажда посмотреть содержимое письма переливает за порог безопасности?
Для кого ответственность, правила и порядок лишь понятия ограничивающие его свободу?

Есть слабое звено!

Киселёва им в помощь. ;)

GREEN Собкор
13:58:02 2020-09-28

@runikot, Да, счета ...
Хошь не хошь, а бери и плати :)

GM.
13:29:36 2020-09-28

Проблема спама стара как мир. Меняются методы рассылки, их цель и соответственно способы и эксплуатируемые при этом средства противодействия угрозам. Тем мне менее, материал очень полезен и найдет своего благодарного читателя.

Денисенко Павел Андреевич
12:59:52 2020-09-28

Никогда не открываю письма от незнакомых отправителей.

runikot
12:29:37 2020-09-28

@GREEN, так и счета приходят на электронную почту. Так что, пока это неотъемлемая часть нашей жизни

vinnetou
12:26:16 2020-09-28

Спасибо за информацию!!! Письма от неизвестных отправителей стараюсь не открывать.

GREEN Собкор
11:29:36 2020-09-28

ПОЧТА - она такая, она загадочная. Ждешь письма, ждешь, а его всё нет и нет (хотя кто сейчас пишет письма, м.б. только ФНС или ДПС?). Тем более электронная. там еще и СПАМ в нагрузку, а к нему (в последнее время!?) и вирусы в придачу :)
И рад бы отказаться, да некуда деваться! Все стороннее общение идет, как правило, через электронку ...

Вот и получается:
«Откусишь с одной стороны — подрастешь, с другой — уменьшишься... С одной стороны чего? И с другой стороны чего?!»

Alexander Собкор
11:15:14 2020-09-28

Закинули невод в море синее, да не рыбку ловить, да вытаскивать, а места обитания её вычислить.
На сети-ловушки навесили фото скоромные, да к каждой ниточку с бубенцом и приклеили.
Рыбка глупая на заманку уставится, глазками полупает, да ловцу-прохиндею проявится.
Сеть иная тогда будет брошена. Рыбка с гарантией будет оглушена. И ловцом уж не будет отпущена...

Опять атака... Хитрая... Просчитанная и неотвратимая... Вроде бы... На первый взгляд...

Но на каждую хитрость, как говорится, есть своя яма... Вот Dr.Web и прищучил этих ловцов...

kozinka.ru Собкор
11:12:13 2020-09-28

Хороший метод определения отправителя. За рекомендации - спасибо! Будем придерживаться.

Zserg
09:47:38 2020-09-28

Угроза докатилась до изображений, увы...

maestro431
09:34:52 2020-09-28

Спасибо за информацию! Приму к сведению.

admin_29
09:22:20 2020-09-28

если идет большое количество писем на почту по работе, все равно приходится открывать письма от неизвестных отправителей

Mara
09:20:25 2020-09-28

В больших компаниях почта - это прибыль. Совсем не открывать письма не получится, к сожалению.

Vlad X
08:08:17 2020-09-28

Совсем не открывать не получается.Сначала в папку спам,а затем
открываю,но осторожно.

Пaвeл Собкор
07:49:14 2020-09-28

Конечно, лучше не открывать письма от неизвестных отправителей. Но не всегда получается.

ka_s
07:27:58 2020-09-28

Рекомендации, конечно, хорошие. Но, если не открывать письма от неизвестных источников, как заводить контакты с новыми клиентами?

Sergey
07:08:24 2020-09-28

Недаром янки обвиняют китайцев в кибершпионаже (TikTok и т.п.). Мы хоть с китайцами друзья и стратегические партнеры, но реальная жизнь показывает, что доверять сейчас никому нельзя. Все входящее тщательно перепроверять, подозрительное не открывать даже если оно пришло от "стратегических друзей и партнеров", а уж работать в корпоративном секторе без антивируса - это верх безалаберности и попустительства.

SGES Собкор
07:00:37 2020-09-28

Без привету нет ответа.

Любитель пляжного футбола Собкор
06:37:58 2020-09-28

Прочитал ту новость, у китайцев явно сложности с великим и могучим. :)) Да что говорить, на том же Алиэкспресс порой такой корявый перевод при описании товара, да и не только на русский. Почему-то вместо слова "количество" (при выборе товара, когда речь идёт именно о количестве) стоит слово "цвет". Выбираю английский - там слово color, выбираю немецкий - там слово Farbe, что тоже означает "цвет". Явно машинный перевод использовался, машине всё равно, какое слово выбирать, если нет контекста, вот и выбирает первое по списку из словаря. :)))

Morpheus Собкор
06:13:17 2020-09-28

Америкосы китайцев подставляют?:) Зачем братьям китайцам атаковать наши объекты?

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Спам с оптическим прицелом

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей