1 декабря, вторник 08:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Фишинговые письма

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Фишинговые письма

    Сегодня утром в очередной раз на общедоступную почту банка info@название_сайта.ru пришло письмо со ссылками на архивы, внутри которых, что не удивительно, .exe файлы с иконками word-овских документов.
    Спасибо внимательности и осторожности сотрудницы, прислала письмо сразу нам.
    На что обратила внимание - архив на сайте реально существующей компании, которая, думаю, и знать не знает, что расположено у них на серваке, где расположен сайт.
    В прошлые разы хотя бы на подозрительных сайтах архивы лежали.
    Если бы еще отправили письмо с почтового ящика того домена, где лежат файлы, да подписались сотрудником этой организации, вообще бы правдоподобно было.
    Ну а теперь подробности:
    1. Текст письма:
    From: info@palmira.ru [mailto:info@palmira.ru]
    Sent: Tuesday, October 13, 2015 6:52 AM
    To: ХХ
    Subject: Приложение к договору
    Коллеги!
    Добрый день!

    Обращаем Ваше внимание, что в нашей учреждении сейчас проводится проверка документов,
    так как у нас отсутствует приложение №3 к нашему с Вами договору,
    прошу срочно его подписать и доставить к нам курьером,
    приложение договора прилагаю во вложении,а так же акт сверки на текущую дату
    который так же необходимо подписать:

    Благодарим Вас!

    С Уважением,Менеджер ООО Вымпел, Нефедова Оксана

    Вложения(2)

    1) Приложение.rar
    2) Акт сверки.rar


    2. Ссылки эти - открывайте осторожно, если интересно! Содержит вирусы! :
    oficeplus.ru/Prilogenie.rar
    oficeplus.ru/Akt_sverki.rar
    открывайте осторожно, если интересно! Содержит вирусы!

    3. В одной из архивов файл с таким названием: c:\Prilogenie\Приложение к договору.docx.exe
    Внутряки такие показывает:Нажмите на изображение для увеличения. 

Название:	screen_20151013.jpg 
Просмотров:	1 
Размер:	11.8 Кб 
ID:	4169731

    А как вы объясняете своим сотрудникам, что делать в таких случаях?
    Часто аналогичные письма приходят? К нам вот зачастили в последнее время.

  • #2
    Анализ на virustotal.com: 4/56
    Антивирус Результат Дата обновления
    Bkav HW32.Packed.A992 20151012
    ESET-NOD32 a variant of Generik.HLCLXVN 20151013
    Kaspersky UDSangerousObject.Multi.Generic 20151013
    Qihoo-360 HEUR/QVM19.1.Malware.Gen 20151013

    Комментарий


    • #3
      Я разработал памятку для сотрудников и раз в неделю направляю ее по почте. В памятке указываю, что не желательно открывать странные письма с вложениями. При этом антивирус выявляет подобные письма.
      + технически внедряем систему защиты от спама и вирусов от GFI.

      Комментарий


      • #4
        khusainov rustam,
        Можно памятку в студию?
        Возможно, подкорректируем свою.

        Такие же письма засылают:

        Это информационное сообщение передано сервером mail, установленным на узле mail.mydomen.ru.
        Вложенное сообщение не прошло фильтр содержимого на сервере:
        From: <k.janulewicz@e-alpol.com.pl>
        To: <info@mydomen.ru>
        Subject: **SPAM** RFQ URGENTLY
        Date: Wed, 16 Sep 2015 05:40:10 -0700
        Неполадка: Обнаружен вирус
        Тип MIME: application/octet-stream
        Имя файла: Octoberoder2015_PDF.ace
        Имя вируса: Mal/DrodAce-A, MSIL/Kryptik.DRE

        Комментарий


        • #5
          На днях пришло письмо с адреса вида @bankname.ru.com якобы от ИТ службы с предложением ознакомится с новым документом.
          Внутри было письмо с архивом и com-файлом с иконокй word.
          Домен был подключён к яндекс, так что такие штуки как DKIM и прочее помогли преодолеть антиспам.
          Сам вирус был подписан валидным (sic!) сертифкатом, на момент отправки письма по virustotal двумя антивирусами пробивался, сейчас больше, по сути downloader какой-то.
          Забавен и сам текст письма, вот смотрите отчёт по запуску (там картинки есть).

          Для противодействия информируем пользователей (скачивать что-то по ссылкам организационно запрещено, если нужно скачать, то проводим анализ содержимого и предоставляем его пользователям). Касательно вложений просто стали выпиливать всё активное содержимое, которое не должно быть в нормальных письмах, в том числе осуществляется анализ ссылок (пока только репутационный анализ, который проводит антивирус без загрузки содержимого). При необходимости письмо из карантина форвардится пользователю по его обращению, номер, тикета вставляется взамен удалённых файлов. Думаем над вопросом замены ссылок на неактивные или иным образом модифицированные, чтобы избежать запуска.

          Комментарий


          • #6
            Сообщение от khusainov rustam Посмотреть сообщение
            Я разработал памятку для сотрудников и раз в неделю направляю ее по почте.
            Сдается мне что при таком подходе пользователи игнорируют Ваши рассылки, считая их спамом.

            Комментарий


            • #7
              Сообщение от khusainov rustam Посмотреть сообщение
              Я разработал памятку для сотрудников и раз в неделю направляю ее по почте. В памятке указываю, что не желательно открывать странные письма с вложениями.
              А можно увидеть памятку? в образовательных целях)

              Комментарий


              • #8
                UserNick,
                тут Вы не правы, это в интересах пользователей. тем более, что сообщения достаточно легко читаются.

                Комментарий


                • #9
                  Сообщение от Zuz Посмотреть сообщение
                  Думаем над вопросом замены ссылок на неактивные или иным образом модифицированные, чтобы избежать запуска.
                  хорошая идея, с помощью каких средств планируете реализовывать?

                  Комментарий


                  • #10
                    Сообщение от SibInna Посмотреть сообщение
                    хорошая идея, с помощью каких средств планируете реализовывать?
                    Пока анализируем, есть варианты или их удалять (заменять на обратитесь в поддержку) или сделать что-то хитрое с подтверждением (типа будет перенаправление на сайт внутренний или средствами какого оборудования типа CheckPoint) где будет запрашиваться подтверждение. Пока нет готового решения.

                    Комментарий


                    • #11
                      Сообщение от khusainov rustam Посмотреть сообщение
                      UserNick,
                      тут Вы не правы, это в интересах пользователей. тем более, что сообщения достаточно легко читаются.
                      С моей точки зрения раз в неделю это слишком часто. Думаю, что оптимально 1 раз в 3-4 недели или по мере появления новых угроз.

                      Комментарий


                      • #12
                        Сообщение от UserNick Посмотреть сообщение
                        С моей точки зрения раз в неделю это слишком часто. Думаю, что оптимально 1 раз в 3-4 недели или по мере появления новых угроз.
                        Если рассылать постоянно, то действительно серьезность отношения резко падает.
                        Я отправляю не систематически. Как только сталкиваемся с новым типом фишингового письма или учащением фактов получения, то пишем. Причем красочно расписываю, добавляю картинки черепов из кодов или еще какой-нибудь мерзости. Неприятно, но запоминают, впечатления остаются, а значит ЭФФЕКТ ЕСТЬ. Стали значительно чаще на проверку присылать файлы с подозрительными вложениями. Да, часть ложных, но тут лучше перестраховаться.
                        А еще, если прислали, то важно еще похвалить человека, спасибо за бдительность и все такое. Нужно не отнекиваться - типа что вы шлете ерунду всякую. Психологию кнута и пряника никто не отменял.

                        Комментарий

                        Обработка...
                        X