A vírussal fertőzött e-mailek azonosítása

írta: Olivia Morelli - -

A spam és az adathalászat a hackerek két leghatékonyabb módszere Ahogyan az emberiség egyre inkább függ a technológiától és az internettől, úgy figyelhetjük meg, hogy az internetes bűnözők csoportokba verődnek, és csoportosulva egyre nagyobb erőbedobással dolgoznak azon, hogy különböző módszerekkel megszerezzék a mit sem sejtő áldozatok pénzét. Egyes szakértők szerint a szervezetlen internetes bűnözés mára egyszerűen megszűnt.

Sokan gondolják, hogy az internetes bűnözők rendkívül nagy tudású hackerek, akik bravúros módszerekkel jutnak át biztonsági rendszereken és távolról átveszik az irányítást az áldozatok rendszerei felett – pedig valójában nem ez történik. A támadók általában csak ügyes csalók, akik pszichológiai manipuláció segítségével egyszerűen ráveszik az áldozatokat a malware-ek telepítésére.

Tökéletesen példázzák ezt a spamek és adathalászat útján terjesztett malware-ek. Ezekre a módszerekre akár az internetes bűnözés fejlődésének legújabb lépcsőfokaként is tekinthetünk. A hackereknek nem kell napokat tölteniük azzal, hogy kifinomult támadásokat eszeljenek ki, hiszen egyetlen naiv alkalmazottnak küldött, például állásjelentkezésnek tűnő e-mail is elegendő ahhoz, hogy bejussanak a vállalat hálózatába.

Ezek a módszerek rendkívül hatásosnak bizonyultak, és jelentősen felgyorsították a malware-ek terjedését. Nem meglepő, hogy 2017-ot sokan a zsarolóvírusok évének nevezték, és mi sem támasztja ezt alá jobban, mint hogy a 2017 első negyedévében terjedő adathalász e-mailek 93%-a tartalmazott zsarolóvírust. Nem elrugaszkodó feltételezés, hogy a spamek és az adathalász próbálkozások 2018-ben még ennél is nagyobb számokat érhetnek el.

Kártékony e-mailek példái

A malware-t rejtő e-mailek bizonyulnak a támadás leghatékonyabb módjának. A spammerek meglepően gyorsan reagálnak a világ eseményeire (sportesemények, leárazások, adóbevallás stb.), több százezer tematikus e-mailt küldenek ki – és számos további trükk egész évben aktuális marad. Az alábbi példák a malware-terjesztés leggyakoribb adathalász e-mailjeit mutatják be. Reményeink szerint a példák segítenek majd az olvasót a később előállított adathalász levelek azonosításában, és abban, hogy óvatosabban álljon az ismeretlen feladóktól érkező e-mailekhez.

1. példa: Önéletrajzot vagy állásjelentkezést tartalmazó e-mailek

Az önéletrajzot tartalmazó adathalász e-maileket általában a toborzásért felelős alkalmazottaknak, illetve a felvételi döntésekért felelős személyeknek küldik. Ezek az e-mailek jellemzően csak pár sort tartalmaznak, amelyben a csatolt önéletrajz megnyitását kérik. A támadók meglehetősen sok reményt fűznek az ilyen fajta, vállalatoknak vagy egészségügyi szervezeteknek címzett e-mailekhez. Ilyen e-maileket használt például a CryptoWall 3.0, a GoldenEye és a Cerber spamhulláma is. Lentebb konkrét példákat is láthat.

2. példa: Látszólag az Amazontól származó e-mailek

A támadók gyakran célozzák az Amazon felhasználóit is különböző álcímekről, amelyek első pillantásra valódinak tűnhetnek. Ezekkel az adathalász e-mailekkel pénzt próbálnak kicsalni, vagy vírust rejtő kártékony csatolmányt terjesztenek. Bizonyos támadók például az auto-shipping@amazon.com álcázott címről küldtek ki Locky zsarolóvírust tartalmazó több ezer levelet.

A tárgy mező ilyen jellegű szövegeket tartalmazhat: „Your Amazon.com Order Has Dispatched (#order_number)”. A csatolmány ZIP archívum lehet, amely kártékony JavaScript fájlt tartalmaz – ez megnyitáskor letölti a zsarolóvírust a megadott webcímről. Lentebb konkrét példát láthat Locky-t terjesztő e-mailre, valamint egy másik példát, amelyet a Spora terjedése során sikerült megfigyelni.

Amazon email scams

3. példa: Számlák

A Locky ransomware terjedését segítő másik sikeres módszer során egy „ATTN: Invoice-[véletlenszerű kódszám]” nevű csatolmányt küldtek szét. Ezek a megtévesztő e-mailek is csak néhány soros szöveget tartalmaztak, amelyben arra kérték a címzettet, hogy nyissa meg a csatolt Microsoft Word formátumú számlát.

A probléma az, hogy a Word dokumentum kártékony szkriptet rejtett, amelyet a makró funkció engedélyezésével az áldozat azonnal működésbe is hozott. Lentebb konkrét példát láthat erre az adathalász e-mailre is.

Malicious emails distributing Locky

4. példa: Nagyobb sporteseményeket kihasználó spamek

Érdeklik a sportok? Akkor érdemes tudnia a sport témájú spamekről. A Kaspersky szakértői nemrégiben észlelték, hogy megnövekedett a száma azoknak az e-maileknek, amelyek az UEFA-bajnokság, a 2018-as és 2022-es világbajnokság, valamint a brazíliai olimpia érdeklődőit célozzák. Ezek az üzenetek JavaScript-alapú trójai vírust (malware-letöltőt) tartalmazó kártékony ZIP archívumot terjesztenek. A szakértők szerint a trójai több malware-t is letölthet. Tanulmányozza át az alábbi konkrét példát.

Malicious spam targeting FIFA fans

5. példa: Terrorizmus témájú spamek

A támadók nem felejtik el, hogy sajnos a terrorizmus is aktuális téma. Nem meglepetés, hogy a kártékony spamekben is felbukkan. A terrorizmus témájú spamek nem jelentenek kifejezetten népszerű módszert, de jó, ha tud róluk. Lentebb példát láthat. Az ilyen spamek általában személyes adatok megszerzésére, DDoS támadásokra és malware-terjesztésre koncentrálnak.

Terrorism-based phishing emails

6. példa: „Biztonsági jelentéseket” tartalmazó e-mailek

A szakértők egy további olyan e-mail-kampányt azonosítottak, amely kártékony Word dokumentumokat terjeszt. Kiderült, hogy ezek a dokumentumok is rosszindulatú makrókat tartalmaznak, méghozzá olyanokat, amelyek a CryptXXX zsarolóvírust töltik le, ha az áldozat aktiválja a makrófunkciót. Ezek az e-mailek a következő tárggyal érkeznek: “Security Breach – Security Report #[véletlenszerű kód].”

Az üzenet az áldozat IP-címét és számítógépének megközelítőleges helyzetét is tartalmazza, amely valószínűleg megbízhatóvá teszi az üzenetet a címzett szemében. Az üzenet valójában nem létező fenyegetésekre figyelmezteti az áldozatot, például megakadályozott támadásokra, és a csatolt jelentés átolvasását javasolja. A csatolmány természetesen kártevőt rejt.

Phishing emails delivering ransomware

7. példa: Látszólag valódi vállalatoktól származó kártékony e-mailek

Hogy rávegyék a címzettet a csatolt fájl megnyitására, a támadók gyakran kiadják magukat valakinek. Ezt legegyszerűbben úgy tehetik meg, hogy megtévesztő e-mail címet készítenek, amely nagyon hasonlít a vállalat tényleges címére. A hamis e-mail címeket felhasználva a támadók jól megfogalmazott üzeneteket küldenek ki, amelyek csatolmányként tartalmazzák a fertőzést. A lenti példában a csalók az Europcar dolgozóinak adják ki magukat.

Scammers impersonate Europcar employees

Az alábbi példán az A1 Telekom vállalat ellen indított támadások üzenetei láthatók. Ezek az adathalász üzenetek megtévesztő Dropbox linkeket tartalmaznak, amelyek kártékony ZIP vagy JS fájlokhoz vezettek. A későbbi elemzések során kiderült, hogy a Crypt0l0cker vírust rejtették.

Mail spam targeting A1 Telekom users

8. példa: Sürgős feladat a főnöktől

A spammerek egy ideje újabb trükköt vetnek be, szintén azzal a céllal, hogy pénzt csaljanak ki a mit sem sejtő címzettek zsebéből. Képzelje el, hogy látszólag a főnökétől kap e-mailt, amely szerint éppen elutazott, ezért önnek mielőbb pénzt kell utalnia egy vállalatnak, mert az ő főnökük is csak rövid ideig lesz elérhető..

Ha követi az utasítást, és nem ellenőrzi a levél apróbb részleteit, akkor a vállalat pénzét bűnözőknek továbbítaná, vagy a teljes vállalati hálózatot malware-rel fertőzné meg. Egy másik hasonló trükk, hogy kollégának adják ki magukat. Hatásos lehet, ha a címzett nagyobb vállalatnál dolgozik, ahol nem ismer mindenki mindenkit. Lentebb erre az adathalász üzenetre is láthat néhány példát. 

Task from boss spam

9. példa: Adó témájú adathalászat

A csalók gyakran követik a különböző országok adózási határidőit, és természetesen nem felejtenek el adó témájú e-mailekkel malware-t terjeszteni. A pszichológiai manipuláció számos trükkjével próbálhatják meg rávenni a címzetteket a megtévesztő e-mailekhez csatolt fájlok megnyitására. Ezek a csatolmányok jellemzően banki trójaiakat (billentyűzetmegfigyelőket) terjesztenek, amelyek telepítés után olyan személyes információkhoz férhetnek hozzá, mint az áldozat neve, bejelentkezési és bankkártyaadatai stb. A program rejtőzhet kártékony üzenetben, de beillesztett hivatkozás mögött is. Lentebb olyan e-mailt láthat, amely hamisított visszajelzést küld bejelentett adóinformációkról – és trójait rejt.

Income Tax Receipt virus

A csalók azzal is megpróbálhatják felkelteni a címzettek figyelmét, hogy folyamatban lévő rendőrségi eljárásra hivatkozva csatolnak fájlt. Az üzenetben például tanúidézésről beszélhetnek. A csatolt dokumentum persze nem beidézés, hanem kártékony dokumentum, amely habár védett nézetben nyílik meg, de azonnal a szerkesztés engedélyezését kéri. Ezt követően a dokumentumba rejtett kód malware-t tölt a számítógépre.

Tax Subpoena scam

Az utolsó példán azt láthatja, hogy hogyan próbálják rávenni a vállalati könyvelőket a fertőző fájlok megnyitására. Az e-mailben látszólag a könyvelő segítségét kérik, méghozzá (természetesen) a csatolt fájlokkal kapcsolatban. Ezek szokványos rosszindulatú Word dokumentumok, amelyek szkriptet aktiválnak és malware-t töltenek le megnyitáskor.

Tax Phishing

A rosszindulatú e-mailek azonosítása és az azokkal szembeni védelem

Csak néhány tudnivalót kell észben tartania, hogy elkerülhesse a kártékony e-maileket.

  • Felejtse el a Levélszemét mappát. Az e-mailek nem véletlenül kerülnek a Spam vagy Levélszemét mappába. Azt jelenti, hogy a szűrők azt észlelték, hogy ezt a levelet (vagy hozzá nagyon hasonlót) több ezer címzettnek terjesztik, vagy más címzettek már levélszemétként jelölték meg. Az ártalmatlan e-mailek csak nagyon-nagyon ritkán kerülnek ebbe a kategóriába, tehát jobb, ha messziről elkerüli.
  • Ellenőrizze a feladót a levél megnyitása előtt. Ha bizonytalan a feladót illetően, ne nyissa meg az e-mailt. Akkor se kattintson az üzenetben lévő hivatkozásra vagy csatolmányra, ha van antivírus/antimalware szoftvere. Tartsa észben, hogy még a legjobb biztonsági szoftverek sem tudják azonosítani a legújabb vírusokat, ha ön az első célpontok közé tartozik. Ha kétségei vannak, érdemes felhívnia a személyt/vállalatot, akitől a levél látszólag érkezett, és kérdezze meg, hogy tényleg ők küldték-e.
  • Tartsa naprakészen számítógépe biztonsági rendszerét. Fontos, hogy ne használjon elavult programokat, mert sok esetben jól ismert biztonsági réseket tartalmazhatnak. Érdemes bekapcsolni minden lehetséges automatikus frissítést. Végül pedig: használjon egy jó antimalware programot. Ne feledje, hogy csak a naprakész biztonsági programok nyújtanak megfelelő védelmet. Ha régi szoftvert használ és a frissítéseket sem telepíti, akkor zöld utat ad a fertőzéseknek – semmi sem fogja megakadályozni a bejutásukat.
  • Kattintás előtt ellenőrizze az URL-ek megbízhatóságát. Ha egy beérkező levél gyanús webcímet tartalmaz, húzza fölé a kurzort, hogy ellenőrizhesse. Olvassa el a böngésző bal alsó sarkában megjelenő címet. Ez a tényleges webcím, amely kattintáskor meg fog nyílni. Ha gyanús, vagy a végződése .exe, .js vagy .zip, ne kattintson rá!
  • A támadók nem fogalmaznak jól. Gyakran még a rövidebb üzeneteket sem tudják megírni gépelési vagy nyelvtani hibák nélkül. Ha ilyesmit lát, ne kattintson a linkekre és a csatolmányokra!
  • Ne siessen! Kétszer is gondolja át a helyzetet, ha egy e-mail csatolmány vagy hivatkozás megnyitására sürgeti. Lehet, hogy vírust próbálnak küldeni.

A szerzőről

Olivia Morelli
Olivia Morelli

Malware-elemző...

Üzenet neki: Olivia Morelli
A vállalatról: Esolutions

Forrás: https://www.2-spyware.com/how-to-identify-an-email-infected-with-a-virus

Olvassa más nyelveken


Fájlok
Szoftverek
Összehasonlítás
Like-oljon a Facebookon