Спам с оптическим прицелом
28 сентября 2020
Наши специалисты провели анализ целевой атаки, предположительно из Китая, на объекты российской критической инфраструктуры. Надеемся, вы видели новость. Если нет, обязательно прочитайте и возвращайтесь. Сейчас мы хотим обратить внимание на ряд важных моментов.
Преступникам (или служащим какой-либо структуры) невыгодно атаковать каждого сотрудника компании. Массовая рассылка спама или тотальное сканирование компьютеров компании заметят (мы надеемся) службы безопасности. Например, в нашем бизнес-решении Dr.Web Enterprise Security Suite есть функционал защиты от эпидемий – администратор получает автоматическое уведомление, если в сети происходит множество одинаковых событий вредоносной направленности. Так что удар должен быть нанесен точно по уязвимому месту. Но как найти слабое звено?
Проведенное расследование установило, что непосредственно перед атакой производилась разведка в виде рассылки писем с изображениями. Это делалось с целью сбора информации для определения «надежного» адресата, который в последующем гарантированно откроет спам-письмо. Чтобы вычислить сотрудника, который откроет письмо, при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Если злоумышленники знали, кто получил письмо, то они могли подготовить следующее уже исходя из должности атакуемого. Если же нет, то тоже неплохо. Некто открывает такие письма – значит, он уязвим.
Таким образом, киберпреступники перешли ко второму этапу атаки уже зная тех, кто откроет письма. Массовая рассылка вредоносных файлов могла и не производиться.
И тут мы переходим к критически важному месту. Если бы каждый сотрудник сейчас работал под защитой корпоративных средств защиты, то при получении вредоносного письма она (защита) должна была его по тем или иным признакам заблокировать. Но сегодня многие работают удаленно и очень часто не защищены корпоративными решениями. Или вообще не используют антивирус. Если на компьютере сотрудника нет корпоративного антивируса, то специалисты, отвечающие за корпоративную безопасность, могут и не заметить атаку: уведомления они не получат.
Можно ли определить, кто из сотрудников работает удаленно?
При обращении к прикрепленному файлу происходит HTTP-запрос на сервер, где файл физически расположен. При входящем обращении, оба хоста обмениваются данными о себе, в том числе IP-адресами, соответственно — почтовый клиент, обратившись за ccs-фалом или графическим изображением вложенным в письмо, моментально передает IP-адрес получателя письма.
IP адрес Вы определили, теперь можно воспользоваться бесплатной базой http://www.maxmind.com/en/home для определения геолокации указанного IP-адреса. Вероятность попадания около 95-98%. Для российских IP можно для уточнения использовать еще и эту базу:
http://ipgeobase.ru/
Запрос HTTP также будет содержать заголовок агента пользователя, которая обеспечивает краткое описание вашего браузера и операционной системы.
Вполне возможно, что точное местоположение определить не удастся, но станет понятен регион. И если он отличается от адреса вашей компании, то, вероятно, вы работаете удаленно.
#антиспам #корпоративная_безопасность #уязвимость #почта #спам #ВКИ #мошенническое_письмо #отслеживание_местоположения
Антивирусная правДА! рекомендует
- Отключите загрузку изображений в вашем почтовом клиенте. Инструкции можно взять, например, тут.
- Не открывайте письма от неизвестных отправителей.
- Используйте корпоративный антивирус.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Vadim987
05:25:16 2020-11-11
Вячеслав
10:10:13 2020-11-09
Filip_s
20:02:46 2020-10-28
Slava90
16:59:23 2020-09-30
Baikal_40
17:01:42 2020-09-29
Lia00
22:59:03 2020-09-28
Неуёмный Обыватель
22:44:29 2020-09-28
Но не менее интересным оказалось почитать комментарии. Некоторые перлы достойны занесения в анналы.
Dvakota
21:25:41 2020-09-28
tigra
20:38:09 2020-09-28
tigra
20:32:13 2020-09-28
tigra
20:31:11 2020-09-28
"Любовь и голуби 1984г."
Шалтай Александр Болтай
20:22:21 2020-09-28
anatol
20:15:53 2020-09-28
vkor
20:09:26 2020-09-28
Dmur
20:03:33 2020-09-28
Toma
19:56:14 2020-09-28
Геральт
19:48:51 2020-09-28
Masha
19:44:46 2020-09-28
EvgenyZ
19:27:23 2020-09-28
matt1954
18:48:15 2020-09-28
L1t1um
18:30:04 2020-09-28
Альфа
18:01:14 2020-09-28
Татьяна
17:54:08 2020-09-28
dyadya_Sasha
15:09:36 2020-09-28
Кто открывает письмо не глядя на отправителя?
У кого жажда посмотреть содержимое письма переливает за порог безопасности?
Для кого ответственность, правила и порядок лишь понятия ограничивающие его свободу?
Есть слабое звено!
Киселёва им в помощь. ;)
GREEN
13:58:02 2020-09-28
Хошь не хошь, а бери и плати :)
GM.
13:29:36 2020-09-28
Денисенко Павел Андреевич
12:59:52 2020-09-28
runikot
12:29:37 2020-09-28
vinnetou
12:26:16 2020-09-28
GREEN
11:29:36 2020-09-28
И рад бы отказаться, да некуда деваться! Все стороннее общение идет, как правило, через электронку ...
Вот и получается:
«Откусишь с одной стороны — подрастешь, с другой — уменьшишься... С одной стороны чего? И с другой стороны чего?!»
Alexander
11:15:14 2020-09-28
На сети-ловушки навесили фото скоромные, да к каждой ниточку с бубенцом и приклеили.
Рыбка глупая на заманку уставится, глазками полупает, да ловцу-прохиндею проявится.
Сеть иная тогда будет брошена. Рыбка с гарантией будет оглушена. И ловцом уж не будет отпущена...
Опять атака... Хитрая... Просчитанная и неотвратимая... Вроде бы... На первый взгляд...
Но на каждую хитрость, как говорится, есть своя яма... Вот Dr.Web и прищучил этих ловцов...
kozinka.ru
11:12:13 2020-09-28
Zserg
09:47:38 2020-09-28
maestro431
09:34:52 2020-09-28
admin_29
09:22:20 2020-09-28
Mara
09:20:25 2020-09-28
Vlad X
08:08:17 2020-09-28
открываю,но осторожно.
Пaвeл
07:49:14 2020-09-28
ka_s
07:27:58 2020-09-28
Sergey
07:08:24 2020-09-28
SGES
07:00:37 2020-09-28
Любитель пляжного футбола
06:37:58 2020-09-28
Morpheus
06:13:17 2020-09-28