Jak zjistit, že je e-mail infikovaný virem?

od Olivia Morelli - -

Spam a phishing jsou dvě nejúčinnější techniky, které pomáhají zločincům se obahatit. Jak se lidstvo stává stále více a více závislé na technologiích a zejména na internetu, všímáme si, že se kybernetičtí zločinci sdružují do organizovaných zločineckých skupin, které tvrdě pracují na špinavých projektech, které z netušících obětí vybírají peníze. Někteří odborníci se domnívají, že neorganizovaná kriminalita již neexistuje.

Zatímco si mnozí myslí, že kybernetičtí zločinci jsou super pokročilí hackeři, kteří vědí, jak používat kód k nabourání bezpečnostních systémů a dokonce převzít kontrolu nad počítači uživatelů na dálku, skutečnost je zcela jiná. Ve většině případů jsou tito kybernetičtí zločinci jen kvalifikovaní podvodníci, kteří používají metody sociálního inženýrství k tomu, aby uživatele přiměli na svých počítačích instalovat malware.

Použití spamu a phishingu pro šíření škodlivého softwaru je tím nejlepším důkazem a ve skutečnosti je lze definovat jako logický vývoj počítačové kriminality. Ve skutečnosti není potřeba trávit hodiny vytvářením komplikovaných plánů útoku, když vše, co je potřeba k hacknutí počítačové sítě, je přesvědčit jednoho naivního zaměstnance, aby otevřel e-mailovou přílohu, která vypadá jako životopis.

Takové techniky se ukázaly jako vysoce účinné a značně urychlily šíření malwaru. Například rok 2017 je široce uznáván jako rok ransomwaru a skutečnost , že 93% phishingových e-mailů v prvním čtvrtletí roku 2017 obsahovalo ransomware, to jednoznačně dokazuje. Je zřejmé, že existují důvody domnívat se, že rozsah nevyžádané pošty a phishingu v roce 2018 dosáhne ještě většího počtu.

Příklady škodlivého spamu

E-maily s malwarem jsou zatím nejúčinnější veličinou útoků. Spameři rychle využívají stávající události (sportovní události, prodej, daňové období atd.) A posílají stovky tisíc tematických e-mailových zpráv, i když některé triky fungují po celý rok. Níže uvedené příklady odhalují phishingové e-maily, které se obvykle používají k šíření malwaru. Doufejme, že tyto příklady vám pomohou identifikovat phishingové e-maily v budoucnu a zpochybňovat spolehlivost e-mailů zasílaných neznámými osobami.

Příklad č. 1: Emaily týkající se životopisu nebo žadatele o zaměstnání

Phishingové e-maily, které obsahují přiložený životopis, jsou obvykle zasílány odborníkům na nábor, manažerům nebo majitelům firem, kteří rozhodují o přijímání zaměstnanců. Takové e-maily obvykle obsahují jen několik řádků textu a vyzývají příjemce k otevření přiloženého životopisu. Obvykle podvodníci očekávají, že jsou tyto phishingové e-maily přesvědčivé při pokusu infikovat určitou společnost nebo zdravotnickou organizaci. Takové e-maily se používaly hlavně ve spamových kampaních CryptoWall 3.0, GoldenEye, a Cerber. Podívejte se na příklady e-mailů s phishingem níže.

Příklad č. 2: Phishingové e-maily, které tvrdí, že pocházejí z Amazonu eCommerce

Kybernetičtí zločinci mají tendenci posílat uživatelům Amazonu falešné emaily z falešných e-mailových účtů, které se na první pohled zdají legitimní. Takové phishingové e-maily mohou být použity k vyloudění peněz od oběti nebo k poskytnutí škodlivého e-mailu, který nese závažný počítačový virus. Podvodníci například používali e-mailovou adresu auto-shipping@amazon.com k odeslání tisíců e-mailů obsahujících Locky ransomware.

Takové e-maily měly předmět: „Vaše objednávka Amazon.com byla odeslána (#číslo_objednávky)“ a obsahovaly přílohu ZIP, která obsahovala škodlivý soubor JS, který po otevření stáhl ransomware z určitého webu. Níže naleznete příklad škodlivého e-mailu, který nese aplikaci Locky a příklad, který byl získán při analýze distribuční kampaně Spora.

Amazon email scams

Příklad č. 3: Faktury

Další velmi úspěšná technika, která pomohla podpořit distribuci Locky ransomwaru, se týkala phishingových e-mailů, které obsahovaly přílohu s názvem „ATTN: Faktura-[náhodný kód]“. Tyto klamavé e-maily obsahovaly několik řádků textu v poli zprávy, které daly příjemci vědět, že „v přiloze najde fakturu (dokument aplikace Microsoft Word).“ Jediným problémem je skutečnost, že dokument aplikace Word obsahuje škodlivý skript, který se aktivuje pomocí funkce Makro. Příklad popsaného phishingového e-mailu je uveden níže.

Malicious emails distributing Locky

Příklad č. 4: Spam, který využívá téma hlavních sportovních událostí

Máte rádi sport? Pak musíte být informováni o spamu se sportovní tématikou. V poslední době vědci z Kaspersky zaznamenali zvýšení e-mailů zaměřených na uživatele, kteří se zajímají o mistrovství Evropy ve fotbale, nadcházející světové poháry v roce 2018 a 2022, stejně jako olympijské hry v Brazílii. Takové zprávy obsahují škodlivý soubor ZIP, který obsahuje trojského koně (instalátor malwaru) ve formě souboru JavaScript. Podle odborníků je Trojan nastaven na stažení dalšího malwaru do počítače. Viz příklad níže uvedené škodlivé zprávy.

Malicious spam targeting FIFA fans

Příklad č. 5. Spam s tématikou terorismu

Počítačové podvody nezapomínají, že terorismus je jedním z témat, které jsou předmětem aktuálního zájmu. Není divu, že toto téma je také používáno ve škodlivém spamu. Nevyžádaná pošta s tématikou o terorismu není jedním z oblíbených podvodů; nicméně musíte vědět, co očekávat. Níže uvádíme příklad e-mailové zprávy. Takový typ spamu se zpravidla používá k odcizení osobních údajů, k útokům DDoS a šíření malwaru.

Terrorism-based phishing emails

Příklad č. 6 E-maily obsahující „bezpečnostní zprávy“

Výzkumníci objevili další e-mailovou kampaň, která distribuovala škodlivé dokumenty aplikace Word. Ukazuje se, že tyto dokumenty také obsahují infekční makra, která stahují a spouští ransomware CryptXXX, jakmile oběť aktivuje požadovanou funkci. Takové e-maily obsahují předmět s textem: „Porušení zabezpečení – bezpečnostní zpráva #[náhodný kód].“

Zpráva obsahuje IP adresu oběti a umístění počítače, takže má oběť pocit, že je zpráva pravá a důvěryhodná. Zpráva varuje oběti před neexistujícími hrozbami, jako jsou například bezpečnostní porušení, kterým bylo zdánlivě zabráněno, a navrhuje otevřít přiloženou zprávu. Příloha je samozřejmě škodlivá.

Phishing emails delivering ransomware

Příklad č. 7. Škodlivý spam údajně odeslaný legitimní společností

Aby oběť přesvědčili přílohu otevřít, podvodníci předstírají, že jsou někým, kým nejsou. Nejjednodušší způsob, jak uživatele přimět škodlivou přílohu otevřít, je vytvořit podvodný e-mailový účet, který je téměř totožný s účtem vlastněným legitimní společností. Pomocí takových falešných e-mailových účtů podvodníci napadají uživatele s pěkně upravenými e-maily, které nesou škodlivou přílohu. Níže uvedený příklad ukazuje e-mail, který poslali podvodníci, kteří předstírali, že pracují ve společnosti Europcar.

Scammers impersonate Europcar employees

Níže uvedený příklad ukazuje, jaké zprávy byly použity při útoku na klienty společnosti A1 Telekom. Taty phishingové zprávy zahrnovaly podvodné adresy DropBox, které vedly ke škodlivým souborům ZIP nebo JS. Další analýza ukázala, že tyto soubory obsahovaly virus Crypt0l0cker.

Mail spam targeting A1 Telekom users

Příklad č. 8. Naléhavý úkol od šéfa

Nedávno podvodníci začali používat nový trik, který jim pomůže vymámit z nic netušících obětí peníze během několika minut. Představte si, že jste obdrželi e-mail od svého šéfa, ve kterém píše, že je na dovolené a je třeba urychleně zaplatit nějaké firmě, protože šéf bude brzy mimo dosah.

Je smutné, že když spěcháte, abyste splnili příkazy a nevěnujete pozornost detailům, může to dopadnout tak, že převedete peníze společnosti zločincům nebo dokonce infikováním celé počítačové sítě malwarem. Další trik, který vás může přesvědčit, abyste otevřeli škodlivou přílohu je, že zločinci předstírájí být vaším kolegou. Tento trik může být úspěšný, pokud pracujete ve velké společnosti a neznáte všechny své kolegy. Níže naleznete několik příkladů takových e-mailů s phishingem. 

Task from boss spam

Příklad č. 9. Daňově motivovaný phishing

Podvodníci ochotně studují daňové programy různých zemí a regionů a nenechají si ujít šanci zahajovat spamovou kampaň týkající se daní se zájmem o rozšiřování škodlivých programů. Využívají různé taktiky sociálního inženýrství k tomu, aby nebohé oběti přiměli ke stažení škodlivých souborů, které přicházejí společně s podvodnými virtuálními dopisy.

Takové přílohy většinou obsahují bankovní trojské koně (keyloggery), které po instalaci ukradnou osobní informace, jako je jméno, příjmení, přihlašovací údaje, informace o kreditní kartě a podobné údaje. Škodlivý program může být v podobě přílohy škodlivého e-mailu nebo odkazu vloženého do zprávy. Níže můžete vidět příklad e-mailu, který obsahuje falešný doklad o zaplacených daních, který je ve skutečnosti trojský kůň.

Income Tax Receipt virus

Podvodníci se také pokoušejí upoutat pozornost uživatele a donutit je škodlivou přílohu otevřít tím, že prohlásí, že proti němu probíhá právní řízení. Ve zprávě se uvádí, že je třeba něco udělat „ohledně předvolání od daňového úřadu“, které je připojeno ke zprávě. Samozřejmě, že přiložený dokument není předvoláním – je to škodlivý dokument, který se otevře v Chráněném zobrazení a požádá oběť Povolit úpravy. Díky tomu škodlivý kód v dokumentu stáhne malware do počítače.

Tax Subpoena scam

Poslední příklad ukazuje, jak se podvodníci pokoušejí přimět účetní otevřít škodlivé přílohy. Zdá se, že e-mail pochází od někoho, kdo hledá pomoc od certifikované účetní, a samozřejmě obsahuje přílohu nebo dvě. Jedná se jednoduše o typické škodlivé dokumenty aplikace Word, které aktivují skript a stáhnou malware ze vzdáleného serveru, jakmile je oběť otevře.

Tax Phishing

Jak identifikovat škodlivé e-maily a zůstat v bezpečí?

Existuje několik hlavních principů, kterými se řídit, pokud se snažíte vyhnout škodlivým e-mailům.

  • Zapomeňte na složku Spam. Existuje důvod, proč emailové zprávy skončí v části Spam nebo Junk. Znamená to, že e-mailové filtry automaticky zjistily, že stejné nebo podobné e-maily jsou odesílány tisícům lidí nebo že obrovské množství příjemců již označilo takové zprávy jako Spam. Legitimní e-maily spadají do této kategorie pouze ve velmi, velmi ojedinělých případech, takže se raději držte od složky Spam a Junk dále.
  • Před otevřením e-mailu zkontrolujte odesílatele. Pokud si nejste jisti odesílatelem, nezabývejte se obsahem e-mailu vůbec. I když máte antivirový nebo anti malwarový program, neklikněte na odkazy přidané do zprávy a neotvírejte připojené soubory bez přemýšlení. Nezapomeňte – dokonce i ty nejlepší bezpečnostní programy mohou selhat při identifikaci zcela nového viru, pokud se stanete jedním z prvních cílů jeho vývojářů. Pokud si nejste jisti odesílatelem, můžete vždy zavolat firmě, pro kterou tvrdí, že pracuje, a zeptat se na e-mail, který jste právě obdrželi.
  • Udržujte zabezpečení počítače aktuální. Je důležité, abyste v systému neměli staré programy, protože jsou obvykle plné bezpečnostních chyb. Abyste předešli takovým rizikům, povolte automatické aktualizace softwaru. Nakonec použijte dobrý anti-malwarový program k odhalení škodlivých programů. Pamatujte, že pouze aktuální program zabezpečení může chránit váš počítač. Používáte-li starou verzi a pokud máte tendenci odkládat instalaci aktualizací, jednoduše povolujete, aby se škodlivé programy rychle dostaly do vašeho počítače – aniž by byly identifikovány a zablokovány.
  • Zjistěte, zda je adresa URL v pořádku bez toho, abyste na ni klikli. Pokud doručený e-mail obsahuje podezřelou URL odkaz, umístěte nad ním kurzor myši a zkontrolujte jeho platnost. Pak se podívejte do levého dolního rohu webového prohlížeče. Měli byste vidět skutečnou adresu, na kterou budete přesměrováni. Pokud vypadá podezřelé nebo končí příponou .exe, .js nebo .zip, neklikněte na ni!
  • Kybernetičtí zločinci obvykle mají špatně píšou. Proto často nedokáží sestavit ani krátkou zprávu bez pravopisných nebo gramatických chyb. Pokud si nějakých všimnete, držte se od odkazů vložených do zprávy nebo souborů, které jsou k ní připojeny dále.
  • Nespěchejte! Pokud vás odesílatel požádá o otevření přílohy nebo konkrétního odkazu, měli byste si to dvakrát rozmyslet. Přiložený soubor pravděpodobně obsahuje malware.

O autorovi

Olivia Morelli
Olivia Morelli

Malwarový analytik...

Přečtěte si v jiném jazyce


Soubory
Software
Porovnávání
Přidejte si nás na Facebooku k oblíbeným