Вы используете устаревший браузер!

Страница может отображаться некорректно.

Под прицелом

Под прицелом

  • добавить в избранное
    Добавить в закладки

Спам с оптическим прицелом

Прочитали: 1453 Комментариев: 40 Рейтинг: 65

Наши специалисты провели анализ целевой атаки, предположительно из Китая, на объекты российской критической инфраструктуры. Надеемся, вы видели новость. Если нет, обязательно прочитайте и возвращайтесь. Сейчас мы хотим обратить внимание на ряд важных моментов.

Преступникам (или служащим какой-либо структуры) невыгодно атаковать каждого сотрудника компании. Массовая рассылка спама или тотальное сканирование компьютеров компании заметят (мы надеемся) службы безопасности. Например, в нашем бизнес-решении Dr.Web Enterprise Security Suite есть функционал защиты от эпидемий – администратор получает автоматическое уведомление, если в сети происходит множество одинаковых событий вредоносной направленности. Так что удар должен быть нанесен точно по уязвимому месту. Но как найти слабое звено?

Проведенное расследование установило, что непосредственно перед атакой производилась разведка в виде рассылки писем с изображениями. Это делалось с целью сбора информации для определения «надежного» адресата, который в последующем гарантированно откроет спам-письмо. Чтобы вычислить сотрудника, который откроет письмо, при отправке писем различным адресатам в запросах на загрузку изображения использовались разные параметры запроса или же уникальные имена изображений. Если злоумышленники знали, кто получил письмо, то они могли подготовить следующее уже исходя из должности атакуемого. Если же нет, то тоже неплохо. Некто открывает такие письма – значит, он уязвим.

Таким образом, киберпреступники перешли ко второму этапу атаки уже зная тех, кто откроет письма. Массовая рассылка вредоносных файлов могла и не производиться.

И тут мы переходим к критически важному месту. Если бы каждый сотрудник сейчас работал под защитой корпоративных средств защиты, то при получении вредоносного письма она (защита) должна была его по тем или иным признакам заблокировать. Но сегодня многие работают удаленно и очень часто не защищены корпоративными решениями. Или вообще не используют антивирус. Если на компьютере сотрудника нет корпоративного антивируса, то специалисты, отвечающие за корпоративную безопасность, могут и не заметить атаку: уведомления они не получат.

Можно ли определить, кто из сотрудников работает удаленно?

При обращении к прикрепленному файлу происходит HTTP-запрос на сервер, где файл физически расположен. При входящем обращении, оба хоста обмениваются данными о себе, в том числе IP-адресами, соответственно — почтовый клиент, обратившись за ccs-фалом или графическим изображением вложенным в письмо, моментально передает IP-адрес получателя письма.

Источник

IP адрес Вы определили, теперь можно воспользоваться бесплатной базой http://www.maxmind.com/en/home для определения геолокации указанного IP-адреса. Вероятность попадания около 95-98%. Для российских IP можно для уточнения использовать еще и эту базу:
http://ipgeobase.ru/

Источник

Запрос HTTP также будет содержать заголовок агента пользователя, которая обеспечивает краткое описание вашего браузера и операционной системы.

Источник

Вполне возможно, что точное местоположение определить не удастся, но станет понятен регион. И если он отличается от адреса вашей компании, то, вероятно, вы работаете удаленно.

#антиспам #корпоративная_безопасность #уязвимость #почта #спам #ВКИ #мошенническое_письмо #отслеживание_местоположения

Dr.Web рекомендует

  1. Отключите загрузку изображений в вашем почтовом клиенте. Инструкции можно взять, например, тут.
  2. Не открывайте письма от неизвестных отправителей.
  3. Используйте корпоративный антивирус.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей