Адреса и адресаты
29 сентября 2020
Как уже знают наши постоянные читатели, недавно специалисты «Доктор Веб» провели анализ атаки на объекты российской критической инфраструктуры. Эта атака предположительно была организована из Китая. Вот наш предыдущий выпуск на эту тему. Возможно, кое-что ускользнуло от вашего внимания при чтении этих материалов. Напомним:
В июне этого года злоумышленники начали использовать новое доменное имя — sports[.]manhajnews[.]com.
…
Текст письма явно указывал на то, что его автор не является носителем русского языка.
…
Домен, с которого загружается полезная нагрузка, вновь замаскирован под новостной сайт…
…
В ходе исследования мы обнаружили еще один домен, который использовался в ходе этой кампании, — news[.]microotf[.]com
По этим цитатам видно, что:
- мошенники используют домены, имена которых замаскированы под новостные;
- эти домены – не их тех, к которым часто обращаются рядовые сотрудники. Многие ли читают новости на сайте «Майкрософта»?
И вопрос: вас ничего не насторожило? Обратили внимание, что второй домен – не microsoft, а microotf? В глаза это не бросается, автор этого выпуска, например, при первом беглом прочтении исследования это к стыду своему упустил 😒 А ведь это известный мошеннический прием, рассчитанный как раз на невнимательность. Понятно, что вряд ли мошенники увели домен у «Майкрософта».
Но вернемся к теме выпуска. Все ли сотрудники должны быть открыты для мира? Например, менеджеры по закупкам и продажам должны получать любые письма, равно как и секретариат. Естественно, с пометкой, спам это или нет, но получать всю почту им просто необходимо.
А вот, скажем, работникам склада это ни к чему – им письма должны приходить по внутренней почте. Бухгалтерия, скорее всего, тоже общается с определенным кругом организаций, перечень которых известен.
Также можно настроить ограничения по странам: к примеру, получать письма только из России. Страна происхождения письма определяется по IP-адресу отправителя, а не по каким-либо характеристикам, указанным в сообщении.
#ВКИ #корпоративная_безопасность #мошенническое_письмо #настройки_Dr.Web #почта #спам #фишинг
Антивирусная правДА! рекомендует
Взгляните на результаты одного нашего опроса:
Как видим, для удаленно работающих сотрудников в огромном количество случаев ограничений нет. И это радует злоумышленников. А для большинства компаний ситуация в ближайшее время вряд ли изменится: потери, понесенные бизнесом в период пандемии, привели к сокращению бюджетов.
Но есть ведь и бесплатные возможности! Перечисленные нами ограничения в большинстве случаев настраиваются на почтовом сервере, и делают это администраторы сети. Есть возможность настроить различные ограничения и в нашем решении для защиты почтовых серверов на UNIX-платформах (в том числе тех, которые используются в рамках импортозамещения).
В персональных продуктах ограничений меньше, но все же. Так, наш антиспам позволяет не получать письма на азиатских языках:
Не пренебрегайте почтовыми ограничениями, особенно в нынешние времена.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Slava90
16:48:03 2020-09-30
Lia00
01:09:52 2020-09-30
Korney
23:31:13 2020-09-29
Шалтай Александр Болтай
22:27:18 2020-09-29
— Зачем тебе танк?
— Да так... заеду по нескольким адресам, чисто поздороваться...
Masha
22:14:24 2020-09-29
Toma
21:39:24 2020-09-29
Татьяна
21:33:38 2020-09-29
Dmur
21:21:32 2020-09-29
Dvakota
20:41:12 2020-09-29
anatol
20:09:54 2020-09-29
tigra
20:08:12 2020-09-29
matt1954
18:32:37 2020-09-29
L1t1um
18:28:41 2020-09-29
dyadya_Sasha
17:46:57 2020-09-29
Геральт
17:25:07 2020-09-29
Baikal_40
17:04:19 2020-09-29
Денисенко Павел Андреевич
16:43:12 2020-09-29
vinnetou
15:11:59 2020-09-29
Альфа
15:11:40 2020-09-29
Любитель пляжного футбола
13:54:28 2020-09-29
Людмила
13:40:00 2020-09-29
Интересно, анализ атаки на объекты российской критической инфраструктуры остался только анализом или последовало продолжение?
- мы следим за развитием ситуации. она точно на этом не закончилась.
Людмила
13:38:15 2020-09-29
Хотелось бы видеть больше параметров в настройках спам модуля для персональных продуктов.
= каких именно настроек вам не хватает? как можно еще улучшить наш продукт? будем признательны за подсказки
Любитель пляжного футбола
13:32:45 2020-09-29
Ограничение по странам, полагаю, можно обойти так же, как обходится блокировка запрещённых в стране сайтов, кому надо, тот это сделает.
Ну, придёт, скажем, мне письмо с текстом на азиатском языке, чего я делать-то с ним буду? :)))))) Али эта настройка антиспама для неуёмно любопытных, которые сразу в Google-переводчик полезут, чтоб узнать, что сие иероглифы значат? :)))
vkor
12:51:47 2020-09-29
runikot
12:47:37 2020-09-29
admin_29
12:26:18 2020-09-29
MaNiV
12:03:29 2020-09-29
EvgenyZ
10:27:07 2020-09-29
marisha-san
10:06:56 2020-09-29
DrKV
09:30:31 2020-09-29
У меня как и у @ka_s, тоже возник такой вопрос, пока читал выпуск. Но что-то мне подсказывает, что дальше анализа дело не пошло.
Alexander
09:24:26 2020-09-29
Как бороться с нападениями, подставами и провокациями? Знаниями, умениями и внимательностью!!! Два подхода: "не допустить" и "не взять". Концовка одинаковая, - не иметь опасного контакта. Но способы достижения разные. Полагаю, что для правильной организации безопасности необходимы оба варианта. И дополнительно не помешает "туз в рукаве".
Сегрегация - это не приемлемо, сепарация - иногда необходима и полезна. А фильтрация почты - это жизненная потребность, - способ сохранения здоровья и безопасности.
Поэтому, - включать антиспам Dr.Web Security Space необходимо всегда! А включение мозгов - тоже желательно... но при необходимости и возможности... :))
Vlad X
08:46:12 2020-09-29
Проверил свой IP-адрес,показывает совсем другой город.
Zserg
08:09:50 2020-09-29
Пaвeл
08:04:28 2020-09-29
GREEN
07:53:51 2020-09-29
Неплохие рекомендации, но для огромного числа мелких (практически полное отсутствие как почтовых серверов, так и сисадминов) и большей части средних компаний (у которых, как правило, есть и то, и другое) это вряд ли применимо, так как для этого требуются желание руководства и жесткие адм. меры, а не повседневное разгильдяйство и пофигизм ("ну уж с нами этого никогда не случится").
Вот когда "клюнет жареный петух", тогда и ... (посмеёмся?).
ka_s
07:23:21 2020-09-29
Sergey
06:34:48 2020-09-29
SGES
06:09:16 2020-09-29
achemolganskiy
04:50:54 2020-09-29
Morpheus
04:37:37 2020-09-29
Неуёмный Обыватель
03:25:29 2020-09-29