Aerbit - sfaturi securitate IT

Analiză email spam cu atașament fișier HTML

Vă explic un model de spam care are ca atașament un fișier HTML, tematica din subiectul emailului spam poate varia, cazul acesta a venit cu subiectul “RE: Proforma invoice” [factura proforma].

Atacurile cu fișiere HTML sunt o modalitate de a eluda/ocoli protectiile antivirus prin faptul că fișierul HTML nu este un executabil ci doar conține o pagină web care dacă este deschisă atunci vă conectează printr-un link la site atacator(i). Deci atacul continuă dacă utilizatorul deschide acel fișier.

Câteva detalii tehnice:
  • IP-urile de unde a venit spamul: 89.115.228.224 [Portugalia] si 45.95.2.74[Germania]
  • Domeniul de unde a venit emailul înșelator: mail.drapnorte.gov.pt [domeniile “pt” sunt pentru Portugalia]. Cum vedeți în poza “mostră spam” la FROM atacatorul și-a mascat identitatea, domeniul kdcommercials.com nu recunoaste ca legitim IP-ul 89.115.228.224 [Portugalia]

 Prin urmare, recomand prudenta la orice email nesolicitat.

Cum vă apărați?
  • NU dați curs cererii primite, oricât de urgentă ar fi situația descrisă de atacator și NU FACETI click pe link-urile din emailurile spam
  • NU deschideți atașamentele din mesajele spam
  • Achiziționati și folosiți un antivirus cu plată (nu recomand antiviruși gratuiți în mediul de lucru profesional) și executați săptămânal o scanare manuală cu antivirusul. Recomand Bitdefender, ESET, etc
  • Pentru mediile de afaceri
    • Dacă aveți vreodată dubii că cineva vă accesează adresa de email atunci vă recomand să vă schimbați parola (solicitați procedura la IT);
    • Trimiteți la IT ca mostră acel email spam și așteptați răspunsul. Ulterior, ar trebui să primiți rezultat diagnosticare si atunci se poate bloca expeditorul dacă se confirmă că este un email spam.

Mostra SPAM:


Dacă se deschide atașamentul atunci va începe atacul (NU RECOMAND SĂ DESCHIDEȚI ATAȘAMENTELE DIN MESAJELE NESOLICITATE!)

Observați că încearca să păcălească că ar fi un email răspuns la o discuție anterioară:


Testat INTR-UN MEDIU SIGUR - SANDBOX (nu vă recomand să testati dacă nu știți cum să vă protejați), ca să văd cum arata pagina de atac/phishing:




În fundal se vede blurat că ar fi o proformă fișier PDF și cere insistent datele de logare ale dvs (nu picați în capcană!)


Prin comenzi browser EDGE atacatorul interoghează Windows de pe PC-ul vostru ca să afle/exfiltreze informatii:


<<< Revenire la ȘTIRI-SECURITATEA INFORMAȚIEI IT
Experiență IT
Trebuie să fii perfecționist pentru a reuși asimilarea atâtor informații din acest domeniu.
Siguranță și securitate IT
Se descoperă, într-un ritm alert, noi brese de securitate, iar expertii anunță din timp producatorul.
Perfecționare continuă
Rămâneți conectați la canalele de informare și căutați cazurile explicate despre atacurile cibernetice.
Diseminare informații
Discutați cu prietenii sau colegii dvs despre tendințele din domeniul securității informației.
Gabriel Soltaniuc @ Toate drepturile rezervate!
Abonati-va la feed-ul RSS AerBit