Cum să identificaţi un email infectat cu un virus?

de Olivia Morelli - -

Spam-ul şi phishing-ul sunt cele mai eficiente tehnici care ajută criminalii să obţină profituri pe cale greşită

Deoarece umanitatea devine din ce în ce mai dependentă de tehnologie, şi mai ales de internet, observăm cum criminalii cibernetici se unesc în grupuri de crimă-organizată, care muncesc din greu pentru a duce la capăt proiecte maliţioase pentru a lua bani de la victimele nesuspicioase.

It is hard to recognize phishing emails

De fapt, unii experţi cred că crimele neorganizate nu mai există. În timp ce mulţi au tendinţa de a crede că criminalii cibernetici sunt doar hackeri super avansaţi care ştiu să utilizeze cod pentru a trece de diferite sisteme de securitate, şi chiar pentru a prelua controlul de la distanţă asupra unor calculatoare, realitatea este chiar diferită. În majoritatea cazurilor, aceşti criminali cibernetici sunt doar escroci cu abilităţi bune care se folosesc de ingineria socială pentru a înşela utilizatorii în a instala malware în calculatoare.

Folosirea spamului şi a phishing-ului pentru răspândirea malware-ului este cea mai bună dovadă, şi, de fapt, poate fi definită ca o evoluţie logică a crimei cibernetice. De fapt, nu este nevoie să se petreacă ore în şir pentru a crea scheme de atac elaborate când tot ce trebuie pentru a intra într-o reţea este convingerea unui angajat naiv să deschidă un ataşament al unui email care pare a fi CV-ul cuiva.

A fost dovedit că astfel de tehnici sunt foarte eficiente, şi au accelerat considerabil distribuţia malware-ului. De exemplu, 2017 a fost recunoscut peste tot ca fiind anul ransomware-ului, şi faptul că până la 93% din email-urile de phishing din prima parte a lui 2017 conţineau ransomware dovedeşte acest lucru. În mod clar, există motive întemeiate să credem că numărul de spam şi phishing din 2018 va creşte şi mai mult.

Email-urile purtătoare de malware, de departe sunt cei mai eficienţi vectori de atac . Spam-erii exploatează rapid evenimentele continue (evenimente din sport, vânzări, sezonul de taxe, etc.) şi trimit sute de mii de email-uri tematice, cu toate că unele trucuri funcţionează pe tot parcursul anului.

Exemple de spam maliţios

Exemplele date mai jos dezvăluie email-urile de tip phishing care, de obicei, sunt folosite la răspândirea de malware. Sperăm că aceste exemple vă vor ajuta să identificaţi email-urile de tip phishing în viitor, şi vă vor face să fiţi mai sceptic în legătură cu autenticitatea email-urilor trimise de indivizi necunoscuţi.

Exemplul numărul 1: CV sau email-uri pentru aplicare la slujbe

Email-urile de phishing care conţin un CV ataşat, de obicei, sunt trimise specialiştilor din recrutare, managerilor sau directorilor de companii care pot lua decizii la angajare. Astfel de email-uri, de obicei, conţin doar câteva linii de text, invitând destinatarul să deschidă CV-ul ataşat.

În mod normal, escrocii se aşteaptă ca aceste email-uri să fie convingătoare atunci când încearcă să infecteze o anumită companie sau organizaţie de sănătate. Astfel de email-uri au fost folosite, în principal, în campaniile de spam  CryptoWall 3.0, GoldenEye, şi Cerber. Vedeţi mai jos unele exemple de email-uri de tip phishing. 

Exemplul numărul 2. Email-uri de tip phishing care pretind că vin de la gigantul eCommerce Amazon

Criminalii cibernetici au tendinţa de a escroca utilizatorii de Amazon prin email-uri false trimise de pe conturi de email false care, la o primă vedere, par legitime. Astfel de email-uri de tip phishing pot fi folosite pentru a scoate bani de la victime sau pentru a livra un ataşament maliţios care poartă un virus cibernetic serios.

De exemplu, escrocii au folosit adresa de email auto-shipping@amazon.com pentru a trimite mii de email-uri ce conţineau ransomware-ul Locky. Aceste email-uri conţineau următorul subiect: „Your Amazon.com Order Has Dispatched (#număr_comandă)” şi conţinea un ataşament ZIP, care purta un fişier maliţios JS care, odată deschis, descărca ransomware-ul de pe un website anume .

Mai jos, puteţi vedea un exemplu de email maliţios care livra Locky şi un exemplu care a fost obţinut pe parcursul analizării campaniei de distribuţie a lui Spora.

Amazon email scams

Exemplul numărul 3: Facturi

O altă tehnică de succes care a ajutat la explozia distribuţiei ransomware-ului Locky implica email-urile de phishing care purtau un ataşament numit “ATTN: Factură-[cod la întâmplare].” Aceste email-uri înşelătoare conţineau câteva linii de text în câmpul mesajului, cerându-i victimei să „vadă factura ataşată (Microsoft Word Document).”

Singura problemă este că documentul Word, de fapt, conţine un script maliţios care este activat prin funcţia Macro. Un exemplu al email-ului de phishing descris este oferit mai jos.

Malicious emails distributing Locky

Exemplul numărul 4: Spam care exploatează tema principalelor evenimente de sport

Iubiţi sporturile? Atunci, trebuie să fiţi conştienţi de spam-ul ce are ca subiect sportul. În ultima perioadă, cercetătorii de la Kaspersky au observat o creştere în email-urile care ţintesc utilizatorii interesaţi de Campionatul European de Fotbal, Cupele Mondiale din 2018 şi 2022, precum şi de Jocurile Olimpice din Brazilia.

Astfel de mesaje poartă arhive ZIP maliţioase care conţin un troian (ce descarcă malware) sub forma unui fişier JavaScript. Conform experţilor, troianul este setat să descarce mai mult malware în calculator. Vedeţi mai jos un exemplu de mesaj maliţios.

Malicious spam targeting FIFA fans

Exemplul numărul 5. Spam cu subiect de tip terorism

Escrocii cibernetici nu uită că terorismul este unul dintre subiectele de top. Nu este surprinzător că şi această temă a fost utilizată la spam-ul maliţios. Spamul cu subiecte teroriste nu este printre subiectele preferate; însă, trebuie să ştiţi la ce să vă aşteptaţi.

Vă oferim un exemplu de astfel de email mai jos. A fost raportat că astfel de tip de spam este folosit, în general, pentru a fura datele personale, pentru atacuri DDoS, şi pentru a răspândi malware.

Terrorism-based phishing emails

Exemplul numărul 6. Email-uri ce oferă „rapoarte de securitate”

Cercetătorii au mai detectat o campanie de email care distribuia documente Word maliţioase. S-a dovedit că aceste documente conţineau macro-uri infecţioase care descărcau şi rulau ransomware-ul CryptXXX imediat după ce victima activa funcţia cerută. Astfel de email-uri conţineau o linie de acest tip în câmpul de subiect: “Security Breach – Security Report #[cod la întâmplare].”

Mesajul conţinea adresa de IP a victimei şi locaţia calculatorului, făcând victima să simtă că mesajul este original şi demn de încredere. Mesajul avertiza victima în legătură cu ameninţări neexistete precum breşe din securitate care erau prevenite şi sugera verificarea raportului ataşat mesajului. Desigur, ataşamentul este maliţios.

Phishing emails delivering ransomware

Exemplul numărul 7. Email-uri de tip spam ce precizau că ar veni de la companii legitime

Pentru a convinge victima să deschidă fişierul ataşat unui email, escrocii pretindeau că sunt ce nu erau. Cel mai uşor mod de a înşela utilizatorul în a deschide un ataşament maliţios este prin crearea unui cont de email înşelător, care este aproape identic cu cel deţinut de o companie legitimă.

Utilizând astfel de conturi de email false, escrocii atacau utilizatorii cu email-uri frumos compuse care purtau o sarcină utilă maliţioasă într-un fişier ataşat acestora. Exemplul de mai jos arată un email care a fost trimis de nişte escroci ce susţineau că lucrează pentru Europcar .

Scammers impersonate Europcar employees

Exemplul oferit mai jos arată ce mesaje erau utilizate într-un atac la adresa clienţilor companiei A1 Telekom. Aceste mesaje de phishing includ URL-uri înşelătoare către Dropbox, care conduc către un fişier ZIP sau JS maliţios. Alte analize au dezvăluit că aceste fişiere conţineau virusul Crypt0l0cker.

Mail spam targeting A1 Telekom users

Exemplul numărul 8. Sarcină urgentă de la şeful tău

Recent, escrocii au început să folosească un nou truc care îi ajută să scoată bani în câteva minute de la victimele inocente. Imaginaţi-vă că aţi primit un email de la şeful dumneavoastră, spunând că el/ea este într-o vacanţă şi că trebuie să procesaţi urgent o plată către o anumită companie, pentru că şeful nu va putea fi contactat în curând .

Din nefericire, dacă vă grăbiţi să ascultaţi ordinele şi nu verificaţi mici detalii înainte de a continua, puteţi sfârşi prin a transfera banii companiei unui criminal sau, mai rău, să infectaţi întreaga reţea de calculatoare cu malware. Un alt truc care vă poate convinge să deschideţi ataşamentele maliţioase de email este prin faptul că expeditorul poate să pretindă că este colegul dumneavoastră.

Acest truc poate fi unul de succes dacă lucraţi într-o companie mare şi nu vă cunoaşteţi toţi colegii. Puteţi vedea câteva exemple de astfel de email-uri de phishing, mai jos.Task from boss spam

Exemplul numărul 9. Phishing ce are ca temă taxe

Escrocii urmăresc în mod voit perioadele de taxare din diferite ţări şi regiuni, şi nu ratează şansa de a iniţia campanii cu tema taxelor pentru a distribui programe maliţioase. Aceştia folosesc o varietate de tactici din ingineria socială pentru a înşela victimele în a descărca fişiere maliţioase care vin împreună cu aceste scrisori virtuale înşelătoare.

De obicei, astfel de ataşamente poartă troiani bancari (keyloggeri) care, odată instalaţi, fură datele personale, precum numele şi prenumele victimei, detalii de autentificare, informaţii despre cardul de credit, sau alte date similare.

Programul maliţios poate fi într-un ataşament de email maliţios sau un link introdus în mesaj. Mai jos, puteţi vedea un exemplu de email care livrează o chitanţă falsă pentru taxe, care de fapt este un troian.

Income Tax Receipt virus

De asemenea, escrocii încearcă să atragă atenţia utilizatorului şi să îl forţeze să deschidă ataşamentul maliţios prin precizarea că există o acţiune de lege în aşteptare contra acesteia. Mesajul spune că ceva trebuie făcut „în ceea ce priveşte citaţia de la irs”, care este ataşată mesajului.

Desigur, documentul ataşat nu este o citaţie – este un document maliţios care se deschide în Protected View şi care cere victimei să activeze editarea. În consecinţă, codul maliţios din document descarcă malware-ul în calculator.

Tax Subpoena scam

Ultimul exemplu arată modul în care escrocii încearcă să înşele contabilii în a deschide ataşamente maliţioase. Email-ul pare a fi trimis de cineva care caută ajutorul unui contabil şi, desigur, conţine unul sau două ataşamente. De obicei, acestea sunt documente Word maliţioase care activează un script şi care descarcă malware de pe un server de la distanţă imediat după ce victima le deschide.

Tax Phishing

Cum să identificaţi email-urile maliţioase şi să rămâneţi în siguranţă?

Există unele principii după care să trăiţi dacă încercaţi să evitaţi email-urile maliţioase.

  • Uitaţi de dosarul Spam. Există un motiv pentru care unele email-uri ajung în secţiunea Spam sau Junk. Înseamnă că filtrele de email au identificat automat faptul că email-uri identice sau similare au fost trimise la mii de oameni, sau că mulţi recipienţi au marcat deja aceste mesaje ca Spam. Email-urile legitime cad în această categorie doar în cazuri foarte, foarte rare, deci mai bine staţi departe de dosarele Spam şi Junk.
  • Verificaţi expeditorul email-ului înainte de a-l deschide. Dacă nu sunteţi sigur de expeditor, nu interacţionaţi cu conţinutul unui astfel de email. Chiar dacă aveţi un program antivirus sau antimalware, nu apăsaţi pe link-urile adăugate în mesaj şi nu deschideţi fişierele ataşate fără a gândi. Amintiţi-vă – chiar şi cele mai bune programe de securitate pot eşua în a identifica un virus nou dacă se întâmplă să faceţi parte dintre primele victime selectate de către dezvoltatorii acestuia. Dacă nu sunteţi sigur de expeditor, puteţi suna oricând la compania unde pretinde acesta că lucrează, şi întrebaţi despre email-ul pe care l-aţi primit. 
  • Menţineţi actualizată securitatea PC-ului. Este important să nu aveţi programe neactualizate în sistem, deoarece acestea, deseori, sunt pline de vulnerabilităţi de securitate. Pentru a evita astfel de riscuri, activaţi actualizarea automată a programelor. În final, folosiţi un program anti-malware bun pentru a vă proteja de programele maliţioase. Reţineţi- doar programele de securitate actualizate vă pot proteja calculatorul. Dacă utilizaţi unul vechi şi aveţi tendinţa de a-i amâna instalarea actualizărilor, pur şi simplu permiteţi programelor maliţioase să intre rapid în calculator – fără a fi identificate şi blocate.
  • Aflaţi dacă URL-ul este sigur fără a apăsa pe el. Dacă email-ul primit conţine un URL suspicios, mergeţi cu mouse-ul deasupra lui pentru a-i verifica validitatea. După, uitaţi-vă în colţul din stânga jos a browserului web. Ar trebui să vedeţi adevăratul URL către care veţi fi redirecţionat. Dacă pare suspicios sau se sfîrşeşte în .exe, .js sau .zip, nu apăsaţi pe el!
  • De obicei, criminalii cibernetici au abilităţi de scriere foarte slabe. Prin urmare, aceştia nu reuşesc tot timpul să compună un mesaj scurt fără greşeli de scriere sau gramaticale. Dacă observaţi aşa ceva, staţi departe de URL-urile incluse în mesaje sau fişierele ataşate acestora.
  • Nu vă grăbiţi! Dacă observaţi că expeditorul încearcă din greu să vă convingă să deschideţi un ataşament sau un anumit link, mai bine gândiţi-vă de două ori înainte de a face asta. Cel mai probabil, fişierul ataşat conţine malware.

Despre autor

Olivia Morelli
Olivia Morelli

Analist malware...

Contactați Olivia Morelli
Despre compania Esolutions

Citiţi în alte limbi


Fişiere
Software
Comparaţi
Urmăriţi-ne pe Facebook