ATACURI SPAM CU ATASAMENTE PDF PERICULOASE! În presă se menționează atacuri prin emailuri SPAM care conțin ca atașamente fișiere PDF. Formatul PDF permite includere de cod executabil pe lângă ce vede utilizatorul când deschide fisierul. Spre exemplu, când deschideți fisiere de la ANAF care contin formulare cu casete de completare iar fisierul primeste ulterior confirmarea/validarea din partea autorității. Cererea și răspunsul privind validarea se fac printr-un cod executabil pe care nu-l vedeți. Această explicație, ca să separați partea vizibilă din fisierul PDF de codul din spate. Ca să fie cât mai eficient un atac, hackerii, se documentează înainte de a trimite spamul încât să strângă cât mai multe informatii despre victima si superiorii ei sau cu ce societăți colaborează/discută victima. Aceste tipuri de spam se numesc “spear phishing”: Spear phishing este un atac direct și direcționat prin e-mail care vizează anumite persoane, spam care pare să provină de la un expeditor de încredere. In plus, hackerii motivati nu investigheaza orice victima posibilă ci doar pe acelea care pot plăti suma cerută pentru răscumpărare (acces la datele care au fost criptate). Un atac de tip “spear phishing” are doua componente (nu este neaparat ca hackerul sa le aplice pe amandoua): • Exfiltrare date (copiaza datele sensibile de pe calculatorul victimei) – unii hackeri se opresc la acest si cer răscumpărarea • Criptare date/fisiere de pe calculator si la deschiderea lor victima vede un mesaj cu solicitare de plată (nu recomand să plătiti!), in general prin criptomonede. Daca doriti sa lecturati un articol din presa, pe aceasta tema: https://dnsc.ro/citeste/alerta-intensificare-atacuri-cibernetice- de-tip-ransomware-prin-utilizarea-bitlocker O sa detaliez mai jos un studiu de caz fisiere PDF, pentru cine este interesat de detalii. Cum va aparati? • NU dati curs cererii primite, oricat de urgenta ar fi situatia descrisa de atacator si NU FACETI click pe link- urile din emailurile spam • NU deschideti atasamentele din mesajele spam • Achizitionati si folositi un antivirus cu plata (nu recomandam antivirusi gratuiti in mediul de lucru profesional) si macar o scanare manuala saptamanala. Recomandam Bitdefender, ESET, etc Ramaneti vigilenti/vigilente! Cum verificati daca un fisier PDF atasat la un email spam contine cod in spate? În unele tipuri de atacuri ce implică fișiere PDF rău intenționate, programul de citire PDF (cu ce deschideți fișierul) poate conține o vulnerabilitate sau un defect care permite unui fișier PDF să execute cod rău intenționat (notă: de aceea vă recomand mereu să facețî update la programele folosite, în general opțiunea de actualizare o găsiți în meniul HELP / Asistență). Pe langa Adobe Reader și Adobe Acrobat, majoritatea browserelor conțin un motor de citire PDF încorporat, de asemenea de actualizat frecvent și pe acestea. În alte cazuri, atacatorii ar putea folosi AcroForms sau XFA Forms, tehnologii de scripting utilizate în crearea PDF-urilor care sunt concepute să adauge caracteristici utile și interactive la un document PDF standard. "Una dintre cele mai ușoare și mai puternice modalități de a personaliza fișierele PDF este utilizarea JavaScript." (Adobe) Detalii tehnice Pentru a înțelege cum funcționează astfel de atacuri, să ne uităm la o structură tipică de fișier PDF. Putem deschide în siguranță un fișier PDF într-un editor de text simplu (Notepad) pentru a-i inspecta conținutul. Vă apare ceva ce pare indescifrabil: Dar cu puține cunoștințe despre structura fișierelor PDF si răbdare, putem să vedem cum să decodăm acest lucru. Corpul sau conținutul unui fișier PDF este listat ca "obiecte" numerotate. Acestea încep cu numărul de index al obiectului, un număr de generație și cuvântul cheie "obj": x 0 obj (unde x= 1,2,3….) iar la sfârșitul fiecărui obiect este semnalizat cu cuvântul cheie de “incheiere” endobj așa cum se poate vedea in poza: Daca ar fi continut JavaScript fisierul PDF studiat, atunci s-ar vedea ceva de genul: Asa vedeti daca un PDF contine cod JavaScript in “spate”. Deoarece această explicație nu se adresează unor programatori nu o sa aprofundez aici, vă spun doar ca acel cod JavaScript nu este citibil ci trebuie decodat (sunt mai multe opțiuni, spre exemplu in Python dupa care trebuie formatat). Ulterior se poate citi codul JavaScript și putem determina dacă este rău intenționat sau nu, se vede și ce domeniu/domenii sunt interogate: Efectuarea de apeluri inverse ("contactarea unui site/domeniu") fără consimțământul utilizatorului aceasta ar putea fi o problemă serioasă, deoarece acest tip de apel invers poate dezvălui adresa IP a utilizatorului, sistemul de operare și versiunea browserului către un server la distanță. Protejarea împotriva atacurilor PDF Este imposibil de spus dacă un fișier PDF conține un apel invers pentru furt de acreditări sau JavaScript rău intenționat înainte de a-l deschide, cu excepția cazului în care îl inspectați în modul pe care l-am arătat mai sus. Desigur, pentru majoritatea utilizatorilor și majoritatea cazurilor de utilizare, aceasta nu este o soluție practică. Există, totuși, optiuni pe care le puteți face dvs. (dar puteti reveni daca aveti probleme ulterior cu un fisier PDF legitim si care cotine cod). În Adobe Acrobat Reader DC: De exemplu, puteți dezactiva Acrobat JavaScript în Preferințe: Retineti, se poate reveni la setarea anterioara daca aveti probleme in folosirea unui fisier legitim PDF in Acrobat Reader. O alta optiune utila este si vizualizare fisier in mod protejat, in functie de locatia lui sau TOATE: Pt avansati: exista posibilitatea in PowerShell sa vedeti daca este dezactivata in Windows optiunea de rulare scripturi prin comanda Get-ExecutionPolicy