Tīmeklī parādījies jauns uzbrukuma paveids – lietotājam pietiek pārbraukt ar peles kursoru pāri inficētai saitei, un datorā tiek lejuplādēta ļaundabīga programmatūra.
Lietotājs saņem e-pastu, kura pielikumā ir PowerPoint dokuments. Ja lietotājs izvēlas šo pielikumu atvērt, parādās informācija “Loading… Please wait”. Brīdī, kad lietotājs pārbrauc ar peli kaut vai pāri saitei bez klikšķināšanas, datorā izpildās PowerShell komanda, un dators tiek inficēts ar “Zusy” jeb “Tinba” (Tiny Banker) banku drošības sistēmām veidotu trojas zirga ļaunatūras paveidu. “Zusy” ļaunatūra spēj pārtvert pārlūka datu plūsmu un izmainīt datu ievades formas internetbanku tīmekļa vietnēs.
Kaitīgie PowerPoint pielikumi tiek izplatīti ar spama tipa e-pastiem, norādot, ka tas ir pasūtījums vai pirkuma apstiprinājums.
Kā sevi pasargāt?
Pirmkārt, jāatceras, ka jāizvairās atvērt pielikumus no nepazīstamiem sūtītājiem. Ja tomēr pielikums tiek atvērts, izmantojot Office 2013 vai Office 2010, un ekrānā parādās saite “Loading… Please wait”, tad lietotājam, ja tas pārbrauc ar peles kursoru pāri kaitīgajai saitei, tiek parādīts brīdinājums par kaitīgu saturu.
Brīdinājumā tiek jautāts, vai lietotājs atļauj iespējot (“Enable”/ “Disable”) satura palaišanu. Jāizvēlas, protams, “Disable” (neatļaut). Ja PowerPoint dokumenta atvēršanai tiek izmantots PowerPoint Viewer, kaitīgais kods netiek izpildīts.
Kā sevi pasargāt? Vienā dienā antivīrusu firmas apstrādā vismaz 300 000 jaunu kaitīgā koda paraugu, kurus kibernoziedznieki piegādā arī no pazīstamiem sūtītājiem un arī caur pazīstamām vietnēm! Tāpēc “Kā sevi pasargāt?” mājas lietotājam tomēr sākas no drošības programmatūras (vēlams ar visas programmatūras atjaunināšanas funkcionalitāti), bet uzņēmumam no drošības politikas. Un tikai pēc tam mājas lietotājiem seko uzmanīšanās no aizdomīgiem sūtījumiem, bet biznesa videi personāla apmācība un testi.
Cik slimam jābūt, lai vērtu vaļā visus šos mēslus…
“Slimo” ir vairāk, kā tu domā. Palasi http://www.e-drosiba.lv/jaunumi/simule-digitalu-uzbrukumu-latvijas-uznemumu-darbiniekiem.html. “Tikai divi no desmit uzņēmumiem testu izturēja – darbinieki uz viltus e-pastiem neuzķērās.”
Viltus e-pastu var noformēt labi un patiešām “uzrauties” – atvērt, ja nāk it kā no zināma sūtītāja; sociālā inženierija tomēr ir labi attīstīta. Arī subject tur var gadīties visai ticams. Bet pielikumus var atšifrēt momentā. 1) pēc vēstules teksta, vai, jau pavisam droši, 2) pēc pielikuma faila nosaukuma. Piemēram, man neviens nekad nesūtīs ppt failu ar kādu mistisku nosaukumu, tas vienmēr ir būs samērā (vai pat pilnīgi) precīzs sūtītā materiāla satura apraksts. Ko neviens šādu mēslu avots nekas neuzģenerēs.
Bet nu cilvēki ir stulbi savā vairumā, it īpaši, ofisa planktons – kam tad tas ir noslēpums?
Piekrītu, ka masveida sūtījumus atklāt nav grūti. Pat ofisa plaktonu var uztrenēt. Otra galējība ir mērķēts un ļoti labi sagatavots uzbrukums. Ja uzņēmuma kadru daļai iesūtīs it kā CV Word dokumentā, kas ekspluatē zero-day ievainojamību, tad, visdrīzāk, cilvēks tiks apmānīts. Un tad viss būs atkarīgs, kas vēl ir paredzēts uzņēmuma drošības politikā un vai tas ir pienācīgi ieviests.
Šodien intereses pēc pirms izdzēšanas ieskatījos spama folderī. Powerpoint failu nebija, taču pēc ilgiem laikiem atkal pilns ar nigēriešu miljoniem. Šiem laikam kārtējā zvejošanas akcija. Un viens feikais Facebook paroles atjaunošanas pasts – tas 100% izskatījās pēc orģināla, tikai saites zem pogām uz kaut kādu kreisu hostu čehu DNS zonā. Un jā, īstais Facebook šādus pastus nesūta.