Video: TOP 10 MESAJE ÎNTUNECATE DIN LOGO-URILE PEPSI , ADIDAS ȘI ALTELE (Noiembrie 2024)
Nu toate atacurile bazate pe e-mail par să provină din familii de despoti depășiți, vânzători care oferă droguri minune sau companii de transport maritim, care vă amintesc de o livrare. Unii par ca indivizi neplăcuți care caută un loc de muncă. Și în această economie, știm cu toții cel puțin o persoană care trimite CV-uri tuturor celor cunoscuți în speranța de a ateriza un interviu.
Dar, după cum a spus Cloudmark în ultima sa prezentare Tasty Spam, „Nu fiți tentat de CV-uri neașteptate”. Te pot mușca, tare.
Cloudmark a văzut recent o campanie de ransomware livrată sub forma unui CV fals, a spus cercetătorul Andrew Conway. Atacul în sine nu este simplu și rețeta trebuie să deschidă dosarul rău intenționat de mai multe ori, dar este totuși suficient de eficient încât multe victime au fost afectate.
Conway a descris diferiții pași ai campaniei:
E-mailul de atac provine de la un Yahoo! Cont de e-mail și are un fișier care pretinde a fi un CV anexat. Conway a subliniat cele patru semne de avertizare din mesaj: era un mesaj nesolicitat; expeditorul nu a furnizat un nume; CV-ul a fost trimis ca fișier.zip; și există erori în erori în gramatică, punctuație sau ortografie.
"Cineva care prezintă într-adevăr un CV ar fi redactat munca lor", a spus Conway.
Când destinatarul deschide fișierul.zip, el va găsi un fișier html cu un nume precum CV7360.html . Faptul că CV-ul este în format.html este un alt steag roșu, având în vedere că majoritatea CV-urilor sunt trimise ca documente text, PDF sau Word. "Desigur, este o idee proastă să deschizi și fișiere PDF și Word nesolicitate", a spus Conway.
Un exemplu de fișier HTML de atac arată astfel:
Când destinatarul încearcă să deschidă fișierul, browserul ar încerca să încarce URL-ul în eticheta IFRAME. "Este la fel ca să forțezi utilizatorul să facă clic pe un link", a spus Conway, menționând că, în acest caz, linkul indică un server web compromis. URL-ul încarcă încă un fișier HTML, care are un link de redirecționare îndreptat către un link Google Docs.
Redirecționarea folosește o etichetă de actualizare meta, care este de obicei folosită pentru a actualiza conținutul unei pagini Web în timp real. Un meta-refresh către o pagină Web pe un domeniu diferit este de obicei rău intenționat. Majoritatea oamenilor ar folosi redirecțiunea HTTP sau JavaScript pentru a realiza acest lucru, nu o actualizare meta. Doar pentru informațiile dvs., HTML-ul de pe pagina de destinație compromisă arată astfel:
Linkul Google Docs descarcă un alt fișier zip numit my_resume.zip și conține un fișier cu un nume precum my_resume_pdf_id_8412-7311.scr . "Un fișier descărcat la întâmplare de pe Internet. Pericol, Will Robinson!" spuse Conway.
Sufixul.scr este pentru protectorii de ecran Windows, dar sunt esențial fișiere executabile special formatate pentru Windows. Extensia.scr este frecvent utilizată pentru a oferi malware utilizatorilor care nu respectă. Când victima deschide fișierul.scr, aceasta declanșează ransomware-ul. Toate fișierele lor sunt criptate și li se prezintă o factură de sute de dolari pentru a le recupera din nou.
Conway a ridicat un punct interesant despre această campanie de ransomware. Atacatorul a trebuit să facă atâția pași convolutați, deoarece instrumentele moderne de filtrare a antivirusului și a spamului sunt suficient de eficiente încât singurul mod de a reuși este să legăm împreună mai mulți pași pentru a ocoli apărările. Dacă simțiți că trebuie să sari mai multe hop-uri doar pentru a vizualiza un CV, acesta ar trebui să fie un avertisment că ceva este neplăcut. Poate că acea persoană din spatele e-mailului nu este chiar interesată de un loc de muncă.