Kuidas tuvastada viirusega nakatunud e-kirja?

Olivia Morelli poolt - -

Rämpskirjad ja pettused on kaks kõige tõhusamat tehnikat, mis aitavad kriminaalidel oma ahneid eesmärke täita. Samal ajal kui inimkond hakkab aina rohkem sõltuma tehnikast, seejuures eriti Internetist, võib märgata, kuidas küberkurjategijad liituvad organiseeritud kuritegevusega tegelevateks grupeeringuteks, mis töötavad kõvasti selle nimel, et pahaaimamatutelt ohvritelt raha välja petta. Mõned eksperdid lausa arvavad, et organiseerimata kuritegevust enam ei eksisteerigi. Kui mõned arvavad, et küberkurjategijad on väga oskuslikud häkkerid, kes teavad, kuidas kasutada kodeerimist selleks, et turvasüsteemidest läbi murda ja kaugjuhtimise teel kasutajate arvutite üle kontrolli võtta, siis reaalsus on üsna teistsugune. Enamikel juhtudel on taolised küberkurjategijad lihtsalt oskuslikud petturid, kes kasutavad sotsiaalse pettuse trikke selleks, et peibutada kasutajaid oma arvutitesse laadima pahavara. Selle parimaks tõestuseks on rämpskirjade kasutamine pahavara levitamiseks ning see on mõnes mõttes ka küberkuritegevuse loogiline edasiareng. Kurjategijad ei pea enam kulutama tunde selleks, et välja mõelda keerukaid ründesüsteeme, kui tegelikult on ainus, mida on vaja selleks, et arvutivõrgustikku häkkida, ühe naiivse töötaja veenmine avamaks e-kirja manust, mis näeb välja nagu kellegi elulookirjeldus. Taolised meetodid on paraku osutunud väga tõhusateks ning need kiirendasid pahavara levikut tohutult. 2016. aasta on näiteks tuntud lunavara aastana ning fakt, et 93% petturlikest e-kirjadest 2016. aasta esimeses kvartalis sisaldasid lunavara, tõestab seda aina rohkem. On mõistlik arvata, et rämpskirjade ja pettuste hulk jõuab 2017. aastal veel kaugemale. 

It is hard to recognize phishing emails

Kõige tõhusamad ründemehhanismid on pahavaraga nakatatud e-kirjad. Rämpskirjade saatjad kasutavad ära erinevaid suursündmuseid (spordiüritused, soodusmüügi ajad jms) ning saadavad sadu tuhandeid temaatilisi e-kirju, ehkki mõned trikid toimivad ka aastaläbi. Alljärgnevad näidised paljastavad petturlikud kirjad, mida kasutatakse tavaliselt pahavara levitamiseks. Loodetavasti aitavad need näited sul tuvastada tulevikus petturlikke kirju ning muudavad su skeptilisemaks e-kirjade avamise osas, eriti kui kiri on saadetud sulle tundmatu isiku poolt. 

Pahavaraliste rämpskirjade näidised

Näidis nr 1: Elulookirjeldused või töösoovid

Pettuskirjad, mis sisaldavad manustatud elulookirjeldust, saadetakse tavaliselt värbamisspetsialistile, personalijuhile või ettevõtte juhile, kes teeb värbamisotsuseid. Tavaliselt on kirjas vaid paar tekstirida, mis kutsuvad kirja saajat vaatama manustatud elulookirjeldust. Tavaliselt loodavad petturid, et kirjad on piisavalt veenvad just selleks, et nakatada teatud ettevõtet või tervishoiuorganisatsiooni. Selliseid e-kirju kasutasid põhiliselt CryptoWall 3.0GoldenEye ja Cerber rämpskirjakampaaniad. Alljärgnevalt näed ka paari näidet.

Malware-laden resume

Näidis nr 2: Pettuskirjad, mis on väidetavalt saadetud hiiglaslikult e-poelt Amazonilt

Küberkurjategijad kipuvad petma Amazoni kasutajaid, kasutades võltsitud kirju võltside e-posti aadressite kaudu, mis aga näevad esimese hooga välja legitiimsed. Selliseid petturlikke kirju võidakse kasutada selleks, et kasutajalt raha välja petta või saata pahavaraline e-kirja manus, mis sisaldab endas tõsist arvutiviirust. Näiteks kasutasid petturid auto-shipping@amazon.com e-kirja aadressit, et saata tuhandeid e-kirju, mis sisaldasid Locky lunavara. Kirjadel oli teemareale märgitud näiteks: “Your Amazon.com Order Has Dispatched (#tellimuse_number)” ning kirjas oli ZIP-manus, mis sisaldas pahavaralist JS faili – kord kui see avati, laaditi teatud veebilehelt arvutisse lunavara. Alljärgnevalt näed näidist pahavaralisest kirjast, mis sisaldab Locky viirust ning näidist, mis saadi Spora levimistaktikate analüüsimise käigus. 

Amazon email scams

Näidis nr 3: Arved

Veel üks väga edukas tehnika, mis aitas Locky lunavara levimist tõhustada, hõlmas endas petturlikke kirju, mis kandsid manust nimega “ATTN: Invoice-[suvaline kood].” Nendes kirjades oli paar tekstirida sõnumi sisus ning paluti vaadata manustatud arvet (Microsoft Wordi dokumendina). Ainus probleem on aga see, et Wordi dokument sisaldab tegelikult pahavaralist skripti, mis aktiveeritakse Macro funktsiooni kaudu. Alljärgnevalt näed taolise pettuskirja näidist.

Malicious emails distributing Locky

Näidis nr 4: Rämpskirjad, mis kasutavad kurjalt ära suurt spordisündmust

Armastad sporti? Siis pead olema ettevaatlik, et sa ei satuks sporditeemalise rämpsu ohvriks. Hiljuti märkasid Kaspersky uurijad, et Euroopa Meistrivõistlustest, sealhulgas 2018. ja 2022. maailmakarika võistlustest ja Brasiilia olümpiamängudest huvitunud kasutajatele mõeldud e-kirjade hulk on suurenenud. Taolistes sõnumites on aga pahavaraline ZIP arhiiv, mis sisaldab Troojat (pahavara allalaadijat) JavaScript faili formaadis. Ekspertide sõnul on Trooja eesmärk laadida arvutisse pahavara. Sellise sõnumi näidist näed alljärgnevalt.

Malicious spam targeting FIFA fans

Näidis nr 5. Terrorismiteemaline rämps

Küberkurjategijad ei unusta, et terrorism on üks enim kõneainet pakkuvaid teemasid. Mitte sugugi üllatavalt kasutatakse seda teemat ka pahavaralistes rämpskirjades. Terrorismiteemaline rämps ei ole küll petturite lemmik, kuid sa peaksid teadma, mida oodata. Anname sulle ka ühe näidise alljärgnevalt. Teadaolevalt kasutatakse sellist tüüpi rämpskirju üldiselt isikuandmete varastamiseks, DDoS rünnaku läbiviimiseks ja pahavara levitamiseks.

Terrorism-based phishing emails

Näidis nr 6: E-kirjad, kus on “turvaraportid”

Uurijad on tuvastanud veel ühe e-kirja kampaania, mis levitas pahavaralisi Wordi dokumente. Tuleb välja, et need dokumendid sisaldavad samuti pahavaralisi makrosid, mis laadivad ja käivitavad CryptXXX lunavara kohe, kui ohver aktiveerib vajaliku funktsiooni. Selliste e-kirjade teemareal on taoline tekst:  “Security Breach – Security Report #[suvaline kood].” Sõnumis on ohvri IP aadress ja arvuti asukoht, mis jätab ohvrile mulje, et tegemist on usaldusväärse sõnumiga. Sõnum hoiatab ohvrit olematu ohu eest, väites, et arvutis on turvaauk, mida saab ennetada ning seejärel palutakse vaadata sõnumiga kaasa pandud raportit. Mõistagi on manus pahavaraline.

Phishing emails delivering ransomware

Näidis nr 7: Pahavaraline rämps, mis on saadetud pealtnäha legitiimselt ettevõttelt

Veenmaks ohvrit avama e-kirjale juurde lisatud faili, teesklevad petturid, et nad on keegi teine. Kõige lihtsam viis, kuidas petta kasutajad avama pahavaralist manust, on luua petturlik e-kirja konto, mis on peaaegu identne aadressile, mille omanik on legitiimne ettevõte. Võltside e-kirja kontode abil ründavad petturid kasutajaid veenvate e-kirjadega, mis sisaldavad pahavaraga täidetud faili. Allpool olev näidis näitab e-kirja, mis on saadetud petturite poolt, kes teesklevad töötavat Europcaris.

Scammers impersonate Europcar employees

Allpool olev näidis näitab, milliseid sõnumeid kasutati selleks, et rünnata A1 Telekomi kliente. Nendes rämpskirjades oli petturlik DropBoxi URL, mis suunas kasutaja pahavaralise ZIP või JS faili juurde. Edasine analüüs paljastas, et need failid sisaldasit Crypt0l0cker viirust.

Mail spam targeting A1 Telekom users

Näidis nr 8: Kiireloomuline ülesanne bossilt

Hiljuti hakkasid petturid kasutama uut trikki, et petta mõne minutiga pahaaimamatutelt ohvritelt raha välja. Kujuta ette, et said oma bossilt e-kirja, kus ta ütles, et on puhkusel, kuid sa pead kiiremas korras tegema mingile ettevõttele makse, sest ülemus on mõnda aega kättesaamatu. Kui sa aga kiirustad käsklusele alluma ja ei kontrolli pisidetaile, võid sa saata ettevõtte raha kurjategijale või veelgi hullem – võid nakatada terve arvutivõrgustiku pahavaraga. Teine trikk, millega üritatakse veenda sind avama pahavaralist manust, on su kolleegiks olemise teesklemine. See trikk võib olla edukas, kui sa töötad suures ettevõttes ja ei tunne kõiki oma töökaaslaseid. Selliste kirjade näidiseid näed alljärgnevalt.

Task from boss spam

Näidis nr 9: Maksuteemalised pettused

Petturid järgivad erinevate riikide ja piirkondade maksusüsteeme ja ei jäta kasutamata võimalust saata laiali maksuteemalisi rämpskirju selleks, et levitada pahavara. Selle jaoks kasutatakse mitmesuguseid sotsiaalse pettuse taktikaid, et petta naiivseid ohvreid laadima arvutisse pahavaralise faili, mis saadeti petturliku virtuaalse kirjaga. Manustesse on tavaliselt lisatud pangaandmete varastamiseks mõeldud Troojasid (klahvinuhke), mis pärast installeerimist varastavad isikuandmeid nagu nime, kasutajatunnused, krediitkaardi andmed ja muu sellise. Pahavaraline programm võib olla peidus kirja manuses või sõnumisse lisatud lingis. Alljärgnevalt näed näidist e-kirjast, mis saadab deklareeritud maksude kviitungi, kuid on tegelikult hoopis Trooja hobu.

Income Tax Receipt virus

 

Petturid üritavad tõmmata kasutaja tähelepanu ning sunnivad avama pahavaralist manust, väites, et isiku vastu on algatatud mingit seaduslikku protsessi. Sõnum võib öelda, et midagi tuleb ette võtta maksuametist saadetud nõude osas, kuid on selge, et manustatud sõnum ei ole tegelikult nõue – tegemist on pahavaralise dokumendiga, mis avaneb Protected view versioonis ning palub kasutajal redigeerimist lubada. Kui seda teha, laadib dokument arvutisse pahavara.

Tax Subpoena scam

Viimane näide näitab, kuidas petturid üritavad peibutada raamatupidajaid avama pahavaralisi manuseid. Kiri näib olevat pärit kelleltki, kes otsib maksualast abi ning muidugi on lisatud juurde ka paar manust. Tegemist on tüüpiliste pahavaraliste Word dokumentidega, mis aktiveerivad skripti ja laadivad kaugjuhitavast serverist arvutisse pahavara kohe, kui ohver faili avab. 

Tax Phishing

Kuidas tuvastada pahavaralisi e-kirju ning hoida end turvaliselt?

On paar põhilist printsiipi, mille järgi elada, kui soovid pahavaralisi e-kirju vältida. 

  • Unusta ära rämpskirjade kaust. On põhjus, miks e-kirjad satuvad rämpskausta. See tähendab, et e-posti filtrid on automaatselt tuvastanud, et selline või sarnane kiri on saadetud tuhandetele inimestele või et suur osa saajatest on märkinud kirja rämpsuks. Legitiimsed e-kirjad satuvad sellesse kausta väga harva, mistõttu tasub rämpskaustast lihtsalt eemale hoida. 
  • Kontrolli kirja saatjat enne kirja avamist. Kui sa ei ole saatjas kindel, ära klõpa selle kirja sisul üldse. Isegi, kui sul on viirusetõrje või pahavaratõrje, ei tohiks sa mitte kunagi klõpsata sõnumis oleval lingil või avada manust ilma eelnevalt mõtlemata. Pea meeles, et isegi parimad turvaprogrammid ei pruugi tuvastada uhiuut viirust, kui sa juhtud olema üks esimesi sihikule võetud inimesi. Kui sa ei ole saatjas kindel, võid alati helistada ettevõttesse, kust kiri väidetavalt pärit on ja küsida saadud e-kirja kohta. 
  • Hoia arvutis olevad programmid uuendatult. On väga oluline, et sa ei hoiaks arvutisüsteemis vanu programme, sest need on tavaliselt täis turvaauke. Selliste riskide vältimiseks luba arvutis automaatsed tarkvarauuendused. Samuti peaksid kasutama head pahavaratõrjet, et eemale peletada pahavaralisi programme. Pea meeles, et vaid uuendatud turvaprogramm suudab su arvutit kaitsta. Kui sa kasutad vana programmi ning viivitad uuenduste laadimisega, lubad sa sellega pahavaralistel programmidel oma arvutisse hõlpsalt pääseda – ilma neid tuvastamata või blokeerimata. 
  • Veendu, et URL on turvaline ilma, et sa sellel klõpsaksid. Kui saadud e-kirjas on kahtlane URL, suuna oma hiir selle peale, et kontrollida lingi olemust. Kui hiir on lingi peal, vaata oma veebilehitseja alumisse vasakusse nurka. Seal näed tegelikku URL-i, millele sind suunataks. Kui see näeb välja kahtlane või lõppeb laiendusega .exe, .js või .zip, ei tohiks sa sellel klõpsata! 
  • Küberkurjategijatel on tavaliselt viletsad kirjaoskused. Seetõttu ei suudeta tavaliselt isegi lühikest sõnumit kirjutada ilma vigadeta. Kui sa märkad vigu, hoia eemale kirja sisus olevatest URL-dest või kaasa pandud failidest!
  • Ära kiirusta! Kui sa märkad, et saatja sunnib sind tungivalt avama manust või linki, mõtle põhjalikult enne selle tegemist. Manustatud fail võib suure tõenäosusega sisaldada pahavara.
Kuidas tuvastada viirusega nakatunud e-kirja? hetktõmmis
Kuidas tuvastada viirusega nakatunud e-kirja? hetktõmmis

Autori kohta

Olivia Morelli
Olivia Morelli

Pahavara analüütik...

Source: https://www.2-spyware.com/how-to-identify-an-email-infected-with-a-virus

Loe teistes keeltes


Failid
Tarkvara
Võrdle
Pane meile Facebookis like