Ето как изглежда една фишинг атака срещу фирма

Фишинг атаките са една от най-често срещаните заплахи за бизнеса. Въпреки че всеки ден служебните ни мейли биват заливани със спам, тази тактика продължава да е ефективна.

Нека разгледаме как изглежда една типична фишинг атака, насочена срещу фирма. Използвам реален пример, получен на служебната поща.
Дори само от съдържанието на писмото става ясно, че това е фишинг, тъй като компанията, до което е изпратено съобщението, не се занимава с платове и дрехи. Писмото е подписано от името на реална българска фирма, която се занимава с изработката на работно облекло. Дори адресът и логото в подписа на съобщението са легитимни, което показва, че авторът на фиошинг кампанията е искал да постигне максимална достоверност.

Към писмото има прикачен екселски файл FABRIC SAMPLES.xlsx, в който най-вероятно се крие скрипт, който пък от своя страна сваля малуер на компютъра на жертвата.

Когато отворите екселския файл, виждате вградено изображение:

Текстът обяснява, че ако искате да прегледате съдържанието на файла, трябва да натиснете Enable editing върху жълтия прозорец(на снимката този прозорец не се вижда). Всъщност Enable editing е бутон, с който Microsoft Office ви предупреждава, че сте напът да отворите файл с потенциално опасно съдържание. Опасното съдържание в случая е скрипт, който, веднъж след като е отворен, може да свали малуер на компютъра ви. Затова последното нещо, което трябва да направите, е да натиснете Enable editing.

Има и още нещо интересно около това конкретно фишинг съобщение – то е изпратено от напълно легитимен имейл адрес на съществуваща фирма. Т.е. ако кажем, че писмото е подписано от името на ФИРМА А, всъщност писмото е изпратено от легитимен имейл адрес и SMTP сървър на ФИРМА Б. Възможно обяснение е, че писмото първо е било изпратено към ФИРМА Б, там някой го е отворил и то автоматично се е препратило към всички контакти в пощата на ФИРМА Б.

Друг вариант е пощата на ФИРМА Б да е била хакната и от нея да е изпратена фишинг кампания, но това не е много логично. Ако някой е хакнал пощата на ФИРМА Б, защо му е да изпраща фишинг кампания от името на ФИРМА А?

Това е само един от многото примери за фишинг, които ежедневно атакуват фирми от цяла България. Антивирусният софтуер и блокирането на макро и други (например DDE) скриптове помага, но най-добрата превенция е служителите да бъдат обучени да разпознават фишинг атаки.

Затова, всеки път, когато отваряте имейл, мислете за следното:

познавате ли източника на имейла;

очаквате ли имейл със съдържание, каквото има в писмото под формата на прикачени файлове;

истински ли е имейл адресът, от който е изпратено писмото;

Научете повече за това как да разпознаете фишинг имейл.

 

Оставете коментар

Коментарите в този блог са публични. Ако не желаете истинското ви име да бъде публикувано, използвайте псевдоним.