Перейти к содержанию

Фишинг по e-mail (вирусы-трояны) - как побороть любопытство и не открыть вложения?


Sapsan932

Рекомендуемые сообщения

Всем привет ) Генеральная уборка в старой почте (объём почты ограничен, таки пришлось делать), чищу завалы, отписуюсь от рассылок, убираю ненужное...

 

И это оказался просто какой-то клондайк (ещё не закончил). В неоткрытых в своё время старых письмах (открываю их сейчас) нескольколетней давности - столько фишинга и вирусов! Когда об этом читаешь в блогах - это одно. Где-то там далеко у кого-то, нестрашно, тебя не коснётся. Но когда видишь такие разные экземпляры у себя в почте и их немало - это совсем другое. Начинаешь во-первых задумываться. Почему именно на этот емейл, емейл в какой-то базе, как из этой базы удалить никак? Причём, сделано всё так профессионально: например, письма от полиции, от железной дороги, от master card, visa, от организации якобы с ошибочным переводом денег, смена пароля учётной записи от банка и т.п. и т.д. Причём настолько убедительно, а в итоге нужно просто пройти по  ссылке, или загрузить файл word, .pdf или zip-архиф. Почему-то раньше думал, что через pdf вирусы не загружаются. Сначала удалял такие письма (большую часть). А сейчас сделал подпапку в почте - "вирусы" - буду такие письма туда перемещать. От того, что фишинговое письмо открываешь - ничего, ведь, не произойдёт, главное ссылки и вложения не открывать. Вот по письму вижу, что фишинговая атака 99,99%... Открывать стрёмно. Но любопытство - такая коварно-необъяснимая штука. Так хочется узнать-проверить: да, ты таки был прав, что это фишинг ))) Сделал ручную точку восстановления системы и один файл zip из почты (якобы мой платёж) из одного такого письма решил всё-таки на жесткий диск загрузить с мыслью (не открывая) проверить  потом архив выборочно на вирусы (интересно было, что обнаружит). Но KTS был на страже и загрузить объект из почты не дал.  Почтовый антивирус был включен на "высоком" уровне безопасности и в расширенных настройках стоял "глубокий эвристический анализ" с включенной опцией "проверять вложенные архивы". KTS выдал, что предотвращена загрузка опасного объекта, объект заражен HEUR:Trojan-Spy.OSX.Aptordoc.c  Вот именно за такой подход я люблю, ценю и советую антивирусные решения Касперского уж сколько лет ))

 

Но вопрос не в этом. Расскажите, кто как борет своё любопытство, когда видит, что приходит очередное фишинговое письмо, чтобы не открыть вложения?  Вот у меня ещё несколько таких писем. Так хочется (безопасно для себя и ПК) узнать, какой вирус там внути... Но стрёмно, а вдруг, в базе Касперского его не окажется или принцип заражения будет иной, антивирус не сработает и заражу компьютер? Ладно, если люди не понимают, что фишинг. Но я же вижу и понимаю. Так удали его сразу из почты не открывая! Нет... Любопытство к познанию требует открыть )) Что с этим делать? Как вы подавляете своё любопытство в таких случаях? И к слову, какая практика, может куда на анализ отдать бы эти файлы в почте или в какое нужное место передать адреса, с которых "подобное" рассылается, чтоб не повадно было.

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

12 минут назад, Sapsan932 сказал:

Расскажите, кто как борет своё любопытство, когда видит, что приходит очередное фишинговое письмо, чтобы не открыть вложения?

Открываю в песочнице всё. Также и квитанции за жку, потому что не доверия )

Ссылка на комментарий
Поделиться на другие сайты

Только что, sputnikk сказал:

Это отдельная программа?

Да https://www.comss.ru/page.php?id=8549

Ограничил доступ в сеть из песочницы (дал только браузерам) + отобрал админские права в песочнице

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

15 часов назад, Sapsan932 сказал:

От того, что фишинговое письмо открываешь - ничего, ведь, не произойдёт

Если отображение картинок не заблокировано (почта блокирует его только для папки Спам), то данные могут утечь уже просто от того, что вы его открыли (прочитали).

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, regist сказал:

то данные могут утечь уже просто от того, что вы его открыли (прочитали)

Ну утечет ip адрес и что? А если ip динамический то это вообще ничего не даст злоумышленикам, имхо

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, regist сказал:

Если отображение картинок не заблокировано (почта блокирует его только для папки Спам), то данные могут утечь уже просто от того, что вы его открыли (прочитали).

А можно поподробнее? Всегда был уверен, что от факта открытия самого фишингового письма ничего не случится, если не перейти в нём по вложенной ссылке или не загрузить/открыть имеющееся вложение.  Смысл письма же и сводится к тому, чтобы заставить кликнуть по ссылке или загрузить файл с вирусом. А картинка в письмо, как правило, вставляется мошенником для усыпления бдительности жертвы, чтобы адресат был уверен, что зараженное письмо пришло, скажем, от определённой организации. Не вполне понимаю, признаться, как от просмотра картинки/прочтения письма данные могут утечь

 

Хотя... Например, одно письмо имеется, в котором в самом письме при открытии емейла никаких вложений и ссылок нет, но какая-то белиберда, похожая на программный код. Речь о заражении при просмотре подобных писем?

Изменено пользователем Sapsan932
Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, ska79 сказал:

Ну утечет ip адрес и что?

Там не только IP, а довольно много данных можно получить. Скажу просто кратко, если даже просто открывать такие письма, то спама будет больше.

2 часа назад, ska79 сказал:

А если ip динамический

Очень много у кого он не динамический и написанное в предыдущей фразе от этого не зависит.

22 минуты назад, Sapsan932 сказал:

как от просмотра картинки/прочтения письма данные могут утечь

То что вы видите картинка, а то что прячется за картинкой и грузится вместе с ней...

23 минуты назад, Sapsan932 сказал:

одно письмо имеется, в котором в самом письме при открытии емейла никаких вложений и ссылок нет, но какая-то белиберда, похожая на программный код.

Вот видать из-за сбоя там криво сформировалось письмо и из-за ошибки его создателя (или сбоя отправляющей программы или ещё чего) вы видите не картинку как было задумано, а то что за ней прячется. Но это сбой, если бы сбоя не было вы этого подвоха и там бы не увидели, а видели бы безобидную картинку.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, regist сказал:

То что вы видите картинка, а то что прячется за картинкой и грузится вместе с ней...

Но если на картинку не нажать, то ничего не загрузится, не так ли? Я разделяю два типа картинок: один тип - для усыпления бдительности адресата, что письмо от определённой организации, второй тип - ссылки замаскированные под картинку на которую нужно нажать, а-ля "кнопочки-баннеры". Или вы говорите о другом, что при открытии письма автоматом происходит загрузка, даже если пользователь никуда не нажимает?

Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, Sapsan932 сказал:

Но если на картинку не нажать, то ничего не загрузится, не так ли?

Нет, не так. Картинку вы видите? Если да, то она уже загрузилась, хоть вы ничего не нажимали. А что там загрузилось ещё остаётся за кадром.

 

19 минут назад, Sapsan932 сказал:

вы говорите о другом, что при открытии письма автоматом происходит загрузка, даже если пользователь никуда не нажимает?

да.

 

Add.

Если отбросить в сторону антивирусы и всякие защитные фильтры почты (предположить, что их нет или будем, считать что вместо почты пользователь зашёл на сайт на котором такая картинка, а антивируса и т.д. у него нет). То можно даже просто разместив картинку полноценно заразить систему. То есть вы будете видеть, что там только картинка (и даже просмотрев код страницы сайта не видите ничего лишнего), ничего нажимать не будете, но при этом ваша система заразится. На практике конечно нормальные антивирусы давно такое пресекают, но раньше такое in the wild лично видел.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

  

45 минут назад, regist сказал:

Картинку вы видите? Если да она уже загрузилась, хоть вы ничего не нажимали. А что там загрузилось ещё остаётся за кадром.

Да, картинку я в письмах вижу.

 

Хорошо, как тогда препятствовать такому? Почта на антиспам, фильтрацию и т.п. настроена, антивирус с включенным почтовым антивирусом стоит. Но это все, конечно, не значит, что фильтр или антивирус что-нибудь да не пропустит... Выходит, надёжа только на себя: банально даже просто не открывать для чтения подозрительные письма.

 

P.S. Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

 

 

В принципе, если под картинкой в почте спрятана вещь, которая начинает автозагружаться вместе с картинкой и выполнять программу по заражению, то антивирус должен на такое реагировать (аналогично, как при посещении опасного сайта, когда заходишь на сайт а там - хоп - "Касперский остановил автоматическую загрузку опасного объекта". Если при открытии подозрительного емейла антивирус такого не выдал, можно надеяться, что под картинкой ничего нет

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sapsan932 сказал:

Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Sapsan932 сказал:

если под картинкой в почте спрятана вещь, которая начинает автозагружаться вместе с картинкой и выполнять программу по заражению, то антивирус должен на такое реагировать

Да, я про это выше написал и поэтому написал если отбросить антивирусы и т.д., но как вы сами заметили лучше не рисковать.

 

Тем более как написал в самом начале вместе с картинкой ничего не должно загружаться (помимо самой чистой картинки), чтобы данные о вас включая, что вот с такого адреса почты регулярно читают фишинговые письма утекли авторам письма.

46 минут назад, kmscom сказал:

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

В самой верхней новости увидел про развод с Дуровым. Видел сайт, точней кучу сайтов с этим разводом (похоже бот на автомате там клепал зеркала). Адреса у них такие, что надо быть не знаю каким не сообразительным чтобы повестись если хотя бы взглянуть на адресную строку. И что интересно было, то достачно было просто обновить страничку и уже развод менялся на другую тему, там штук пять разных тематик развода на одном сайте которые случайно выбирались при загрузке (обновление) страницы. Большая часть разводов была связана с секс-тематикой (кстати, адрес сайтов этой тематике намного больше соответствовал, чем стартапу с Дуровым). И эти сайты активно рекламировались не только в почтовых рассылках.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tetis
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • pokrac
      От pokrac
      Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса
    • Magisky
      От Magisky
      Когда подцепил вирус я скачал kaspersky total security, запустил полную проверку и обнаружил 1500+ вирусов, затем я увидел, что каждые 5 минут мне приходит уведомление и пишет что хрому запрещен доступ к камере (я запретил доступ ко всем программам), затем игре запрещен доступ, затем программе для общения которая закрыта. Я переустановил windows и после перезагрузки я вижу 5+- окон которые открылись и закрылись быстро, я снова скачиваю kaspersky, также приходят уведомления о доступе к камере, но проблема еще в том, что kaspersky разрешает доступ к микрофону, и это нельзя запретить. Прошу помочь. Логи ниже:
       
    • ILFR82812
      От ILFR82812
      Похоже что вирус попал из саморазахривирующегося архива, точно сказать не могу. Не открывался KVRT, я его переименовал и он открылся и сразу закрылся, в безопасном режиме тоже не запускается.
    • Barbaris
      От Barbaris
      Кратко говоря, после установки игры одновременно с ним установился и майнер (это я понял, когда в интернете покопался и нашел аналогичные решенные случаи у Вас на сайте). После разных методик и через безопасный режим удалось через Dr.Web удалить троян. Потом скачав Av block удалил Джона. Но после каждой перезагрузки он появляется, видимо, заново, потому что всегда Av block что-то находит и просит перезагрузиться, а Dr.Web больше не находит. Прикрепил отчет от утилиты Kaspersky Get System Info. Так же приложу результаты AutoLogger. Еще файлы из AV_block_remove. И так же отчеты от  Farbar Recovery Scan Tool. И на всякий случай из SecurityCheck.
      GSI6_USER-PC_Professional_12_21_2022_02_38_51.zip
      https://drive.google.com/drive/folders/1in6tdHANmlc_V8FnUW17BP-nmNgBuHT1?usp=share_link - autologger
      https://drive.google.com/drive/folders/1XpZUO9iCxYIzhpJpiTOYoFE-BInea3bR?usp=share_link - av block
      FRST.txt Addition.txt
      SecurityCheck.txt
×
×
  • Создать...