Нещодавно IKEA, шведський багатонаціональний конгломерат зі штаб-квартирою в Нідерландах, повідомила про хвилі внутрішнього фішингу. Зловмисники використали внутрішні зламані сервери, щоб надсилати співробітникам компанії електронні листи зі шкідливими вкладеннями. Фахівці з кібербезпеки кажуть, що подібні методи хакери використовували в останніх кампаніях в поширенні троянів Emotet і Qackbot. Вся складність ситуації вказує на можливість загрози кібербезпеці компанії, хоча жодних подробиць керівництвом не було надано.
Зазвичай при проведенні подібних атак хакери компрометують внутрішні сервери Microsoft Exchange, використовуючи вразливості ProxyLogin і ProxyShell. Як тільки доступ до сервера отримано, вони починають пересилання електронних листів зі шкідливими вкладеннями співробітникам. Надіслані як електронні листи від компанії, вони ,безумовно, дають відчуття справжності.
“Це означає, що атака може надійти електронною поштою від особи, з якою ви працюєте, від будь-якої зовнішньої організації, а також як відповідь на розпочату розмову. ЇЇ важко розпізнати, тому ми просимо вас бути особливо обережними”, йдеться у внутрішньому електронному листі, розісланому співробітникам IKEA.
Як кажуть ІТ-спеціалісти IKEA, насторожувальні знаки, на які слід звернути увагу, — це сім цифр у кінці будь-якого вкладення. Компанія також попросила співробітників не відкривати надіслані їм електронні листи та негайно повідомляти про них до ІТ-відділу. В якості запобіжного заходу занепокоєнне керівництво компанії обмежило можливість співробітників відновлювати електронні листи, які можуть опинитися в карантинних скриньках пошти.
Шкідливі листи містили URL-адреси, які перенаправляли браузер на завантаження під назвою «charts.zip», яке містило документ Excel. Потенційним одержувачам таких листів пропонувалося натиснути кнопку надання доступу, щоб переглянути вкладення. Звичайно, такі дії негайно активовували шкідливі макроси. Ті, у свою чергу, завантажували файли під назвою «besta.ocx», «bestb.ocx» і «bestc.ocx» з віддаленого сайту та зберігали їх у папці C:\Datop. Тепер перейменовані DLL-файли починають процес виконання за допомогою команди regsvr32.exe встановлення шкідливого програмного забезпечення.
Як розпізнати фішинг-лист?
Можна сказати, що фішери в наші дні похитрішали, а ті «Ви виграли 1 мільйон, будь ласка, дайте відповідь на цей електронний лист» відчайдушно намагаються йти в ногу з часом (проте скажіть мені, хто ті люди, які відповідають їм?). Нині зловмисники вдаються до більш вишуканіших способів обдурити вас і “виловити” вашу особисту інформацію.
Тепер, коли я це пишу, я згадую дзвінок тієї жінки, нібито з якогось банку, і все ще розмірковую, чи це був фішер. Але повернімося до безпосередньої теми: найкраще вирішення проблеми — запобігти їй. Перегляньте наступні перевірені поради щодо виявлення фішингового електронного листа:
- Невідповідність доменів електронної пошти. Навіть якщо ви отримали електронний лист, який, як приклад, надіслано від Microsoft, уважно зіставте доменні імена, чи вони сходяться. Може бути так, що самий електронний лист надіслано з Micnosft.com, безпомилкова ознака шахрайства;
- Підозрілі посилання чи вкладення. Якщо є підозра, що електронний лист може бути шахрайським, не натискайте на жодні вкладення, не переходьте за жодними посиланнями. Ви можете перевірити справжню адресу перенаправлення, просто навівши мишею на посилання, і воно повинно одразу висвітитися;
Не переходьте ні за якими посиланнями у таких листах
- Безособове вітання. Мабуть, дивно отримувати електронний лист від компанії, з якою ви раніше мали кореспонденцію з нейтральним привітанням на кшталт «Шановний сер або пані». Не варто вже говорити про те, що електронний лист від абсолютно невідомої компанії може бути стовідсотковим шахрайством;
- Погана граматика і орфографія. Якщо в електронному листі є очевидні граматичні чи орфографічні помилки, це може бути ще одним показником шахрайства. Іноді фішери роблять це свідомо, щоб уникнути детекції захисними механізмами, або це може бути невдалий переклад з іншої мови. У будь-якому випадку професійні компанії часто мають редакторів, які забезпечують якість їхньої кореспонденції, тому той електронний лист з «Добрій день» можна перемістити в кошик;
- Настирливі заклики до дій і неодноразові нагадування про небезпеку. Електронна пошта з таким змістовим наповненням має насторожити вас, особливо якщо в самому листі немає конкретних очевидних пояснень. Натомість це просто загроза, загроза і ось магічне рішення: просто зробіть це. Паніку в бік, і ще раз уважно прочитайте і перевірте підозрілий електронний лист.