Video: Домашний острый хрен на зиму - классический рецепт. (Oktober 2024)
Izgleda, da vsi napadi, ki temeljijo na e-pošti, izvirajo iz družin odstranjenih despotov, prodajalcev, ki oglašujejo čudežna zdravila ali ladijskih družb, ki vas opominjajo na dostavo. Nekateri so videti kot nesrečni posamezniki, ki iščejo službo. In v tem gospodarstvu vsi poznamo vsaj eno osebo, ki pošlje življenjepise vsem, ki jih poznajo, v upanju, da bodo opravili intervju.
Ampak kot je Cloudmark dejal v svoji zadnji oddaji Tasty Spam, "Ne naj vas zamikajo nepričakovani življenjepisi." Močno te ugriznejo.
Pred kratkim je Cloudmark videl kampanjo za odkup programske opreme v obliki ponarejenega življenjepisa, je dejal raziskovalec Andrew Conway. Napad sam po sebi ni preprost in recept mora zlonamerno datoteko večkrat odpreti, vendar je še vedno dovolj učinkovit, da je bilo prizadetih veliko žrtev.
Conway je opisal različne korake kampanje:
E-poštno sporočilo o napadu prihaja iz Yahoo! Poštni račun in datoteko, ki naj bi bila priložena življenjepisu. Conway je v sporočilu opozoril na štiri opozorilne znake: šlo je za nezaželeno sporočilo; pošiljatelj ni navedel priimka; življenjepis je bil poslan kot.zip datoteka; in pri napaki pri slovnici, loči ali črkovanju obstajajo napake.
"Nekdo, ki resnično pošlje življenjepis, bi lektoriral svoje delo, " je dejal Conway.
Ko prejemnik odpre datoteko.zip, bo našel html datoteko z imenom, kot je resume7360.html . Dejstvo, da je življenjepis v formatu.html je še ena rdeča zastava, saj je večina življenjepisov poslanih v obliki dokumentov z besedilom, PDF ali Word. "Seveda je slaba ideja, da odprete tudi neželene datoteke PDF in Word, " je dejal Conway.
Vzorec datoteke HTML za napad izgleda takole:
Ko prejemnik poskuša odpreti datoteko, bi brskalnik poskusil naložiti URL v oznako IFRAME. "To je isto kot prisiliti uporabnika, da klikne na povezavo, " je dejal Conway in poudaril, da v tem primeru povezava kaže na ogroženi spletni strežnik. URL naloži še eno datoteko HTML, ki vsebuje povezavo za preusmeritev, ki kaže na povezavo Google Dokumenti.
Za preusmeritev se uporablja oznaka meta osveževanja, ki se običajno uporablja za posodobitev vsebine spletne strani v realnem času. Meta posodobitev spletne strani na drugi domeni je ponavadi zlonamerna. Večina ljudi bi za to dosegla preusmeritev HTTP ali JavaScript, ne pa meta osvežitev. Samo za vaše podatke je HTML z ogrožene ciljne strani videti tako:
Povezava Google Dokumenti prenese drugo zip datoteko z imenom my_resume.zip in vsebuje datoteko z imenom, kot je my_resume_pdf_id_8412-7311.scr . "Datoteka naključno prenesena z interneta. Nevarnost, Will Robinson!" je rekel Conway.
Pritrditev.scr je namenjena ohranjevalnikom zaslona Windows, vendar so v bistvu posebej oblikovane izvršljive datoteke za Windows. Razširitev.scr se pogosto uporablja za pošiljanje zlonamerne programske opreme nezaupljivim uporabnikom. Ko žrtev odpre datoteko.scr, to sproži ransomware. Vse njihove datoteke so šifrirane in prejmejo jim stotine dolarjev, da jih lahko vrnejo nazaj.
Conway je postavil zanimivo točko o tej kampanji za izsiljevanje. Napadalec je moral storiti toliko zmedenih korakov, ker so sodobna orodja za filtriranje protivirusnih programov in neželene pošte dovolj učinkovita, da je edini način za uspeh povezovanje več korakov, da bi obšli obrambo. Če se vam zdi, da morate skočiti več hoppos samo zato, da si ogledate življenjepis, bi to moralo biti opozorilo, da je nekaj narobe. Mogoče vas oseba, ki stoji za e-pošto, resnično ne zanima službe.
