Перейти к содержанию

Фишинг по e-mail (вирусы-трояны) - как побороть любопытство и не открыть вложения?


Рекомендуемые сообщения

Всем привет ) Генеральная уборка в старой почте (объём почты ограничен, таки пришлось делать), чищу завалы, отписуюсь от рассылок, убираю ненужное...

 

И это оказался просто какой-то клондайк (ещё не закончил). В неоткрытых в своё время старых письмах (открываю их сейчас) нескольколетней давности - столько фишинга и вирусов! Когда об этом читаешь в блогах - это одно. Где-то там далеко у кого-то, нестрашно, тебя не коснётся. Но когда видишь такие разные экземпляры у себя в почте и их немало - это совсем другое. Начинаешь во-первых задумываться. Почему именно на этот емейл, емейл в какой-то базе, как из этой базы удалить никак? Причём, сделано всё так профессионально: например, письма от полиции, от железной дороги, от master card, visa, от организации якобы с ошибочным переводом денег, смена пароля учётной записи от банка и т.п. и т.д. Причём настолько убедительно, а в итоге нужно просто пройти по  ссылке, или загрузить файл word, .pdf или zip-архиф. Почему-то раньше думал, что через pdf вирусы не загружаются. Сначала удалял такие письма (большую часть). А сейчас сделал подпапку в почте - "вирусы" - буду такие письма туда перемещать. От того, что фишинговое письмо открываешь - ничего, ведь, не произойдёт, главное ссылки и вложения не открывать. Вот по письму вижу, что фишинговая атака 99,99%... Открывать стрёмно. Но любопытство - такая коварно-необъяснимая штука. Так хочется узнать-проверить: да, ты таки был прав, что это фишинг ))) Сделал ручную точку восстановления системы и один файл zip из почты (якобы мой платёж) из одного такого письма решил всё-таки на жесткий диск загрузить с мыслью (не открывая) проверить  потом архив выборочно на вирусы (интересно было, что обнаружит). Но KTS был на страже и загрузить объект из почты не дал.  Почтовый антивирус был включен на "высоком" уровне безопасности и в расширенных настройках стоял "глубокий эвристический анализ" с включенной опцией "проверять вложенные архивы". KTS выдал, что предотвращена загрузка опасного объекта, объект заражен HEUR:Trojan-Spy.OSX.Aptordoc.c  Вот именно за такой подход я люблю, ценю и советую антивирусные решения Касперского уж сколько лет ))

 

Но вопрос не в этом. Расскажите, кто как борет своё любопытство, когда видит, что приходит очередное фишинговое письмо, чтобы не открыть вложения?  Вот у меня ещё несколько таких писем. Так хочется (безопасно для себя и ПК) узнать, какой вирус там внути... Но стрёмно, а вдруг, в базе Касперского его не окажется или принцип заражения будет иной, антивирус не сработает и заражу компьютер? Ладно, если люди не понимают, что фишинг. Но я же вижу и понимаю. Так удали его сразу из почты не открывая! Нет... Любопытство к познанию требует открыть )) Что с этим делать? Как вы подавляете своё любопытство в таких случаях? И к слову, какая практика, может куда на анализ отдать бы эти файлы в почте или в какое нужное место передать адреса, с которых "подобное" рассылается, чтоб не повадно было.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, Sapsan932 сказал:

Расскажите, кто как борет своё любопытство, когда видит, что приходит очередное фишинговое письмо, чтобы не открыть вложения?

Открываю в песочнице всё. Также и квитанции за жку, потому что не доверия )

Ссылка на сообщение
Поделиться на другие сайты
Только что, sputnikk сказал:

Это отдельная программа?

Да https://www.comss.ru/page.php?id=8549

Ограничил доступ в сеть из песочницы (дал только браузерам) + отобрал админские права в песочнице

Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, Sapsan932 сказал:

От того, что фишинговое письмо открываешь - ничего, ведь, не произойдёт

Если отображение картинок не заблокировано (почта блокирует его только для папки Спам), то данные могут утечь уже просто от того, что вы его открыли (прочитали).

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, regist сказал:

то данные могут утечь уже просто от того, что вы его открыли (прочитали)

Ну утечет ip адрес и что? А если ip динамический то это вообще ничего не даст злоумышленикам, имхо

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, regist сказал:

Если отображение картинок не заблокировано (почта блокирует его только для папки Спам), то данные могут утечь уже просто от того, что вы его открыли (прочитали).

А можно поподробнее? Всегда был уверен, что от факта открытия самого фишингового письма ничего не случится, если не перейти в нём по вложенной ссылке или не загрузить/открыть имеющееся вложение.  Смысл письма же и сводится к тому, чтобы заставить кликнуть по ссылке или загрузить файл с вирусом. А картинка в письмо, как правило, вставляется мошенником для усыпления бдительности жертвы, чтобы адресат был уверен, что зараженное письмо пришло, скажем, от определённой организации. Не вполне понимаю, признаться, как от просмотра картинки/прочтения письма данные могут утечь

 

Хотя... Например, одно письмо имеется, в котором в самом письме при открытии емейла никаких вложений и ссылок нет, но какая-то белиберда, похожая на программный код. Речь о заражении при просмотре подобных писем?

Изменено пользователем Sapsan932
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, ska79 сказал:

Ну утечет ip адрес и что?

Там не только IP, а довольно много данных можно получить. Скажу просто кратко, если даже просто открывать такие письма, то спама будет больше.

2 часа назад, ska79 сказал:

А если ip динамический

Очень много у кого он не динамический и написанное в предыдущей фразе от этого не зависит.

22 минуты назад, Sapsan932 сказал:

как от просмотра картинки/прочтения письма данные могут утечь

То что вы видите картинка, а то что прячется за картинкой и грузится вместе с ней...

23 минуты назад, Sapsan932 сказал:

одно письмо имеется, в котором в самом письме при открытии емейла никаких вложений и ссылок нет, но какая-то белиберда, похожая на программный код.

Вот видать из-за сбоя там криво сформировалось письмо и из-за ошибки его создателя (или сбоя отправляющей программы или ещё чего) вы видите не картинку как было задумано, а то что за ней прячется. Но это сбой, если бы сбоя не было вы этого подвоха и там бы не увидели, а видели бы безобидную картинку.

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, regist сказал:

То что вы видите картинка, а то что прячется за картинкой и грузится вместе с ней...

Но если на картинку не нажать, то ничего не загрузится, не так ли? Я разделяю два типа картинок: один тип - для усыпления бдительности адресата, что письмо от определённой организации, второй тип - ссылки замаскированные под картинку на которую нужно нажать, а-ля "кнопочки-баннеры". Или вы говорите о другом, что при открытии письма автоматом происходит загрузка, даже если пользователь никуда не нажимает?

Ссылка на сообщение
Поделиться на другие сайты
19 минут назад, Sapsan932 сказал:

Но если на картинку не нажать, то ничего не загрузится, не так ли?

Нет, не так. Картинку вы видите? Если да, то она уже загрузилась, хоть вы ничего не нажимали. А что там загрузилось ещё остаётся за кадром.

 

19 минут назад, Sapsan932 сказал:

вы говорите о другом, что при открытии письма автоматом происходит загрузка, даже если пользователь никуда не нажимает?

да.

 

Add.

Если отбросить в сторону антивирусы и всякие защитные фильтры почты (предположить, что их нет или будем, считать что вместо почты пользователь зашёл на сайт на котором такая картинка, а антивируса и т.д. у него нет). То можно даже просто разместив картинку полноценно заразить систему. То есть вы будете видеть, что там только картинка (и даже просмотрев код страницы сайта не видите ничего лишнего), ничего нажимать не будете, но при этом ваша система заразится. На практике конечно нормальные антивирусы давно такое пресекают, но раньше такое in the wild лично видел.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

  

45 минут назад, regist сказал:

Картинку вы видите? Если да она уже загрузилась, хоть вы ничего не нажимали. А что там загрузилось ещё остаётся за кадром.

Да, картинку я в письмах вижу.

 

Хорошо, как тогда препятствовать такому? Почта на антиспам, фильтрацию и т.п. настроена, антивирус с включенным почтовым антивирусом стоит. Но это все, конечно, не значит, что фильтр или антивирус что-нибудь да не пропустит... Выходит, надёжа только на себя: банально даже просто не открывать для чтения подозрительные письма.

 

P.S. Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

 

 

В принципе, если под картинкой в почте спрятана вещь, которая начинает автозагружаться вместе с картинкой и выполнять программу по заражению, то антивирус должен на такое реагировать (аналогично, как при посещении опасного сайта, когда заходишь на сайт а там - хоп - "Касперский остановил автоматическую загрузку опасного объекта". Если при открытии подозрительного емейла антивирус такого не выдал, можно надеяться, что под картинкой ничего нет

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sapsan932 сказал:

Надо будет блог опубликовать а-ля "как выглядит фишинг" со скринами таких (открытых уже) писем

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sapsan932 сказал:

если под картинкой в почте спрятана вещь, которая начинает автозагружаться вместе с картинкой и выполнять программу по заражению, то антивирус должен на такое реагировать

Да, я про это выше написал и поэтому написал если отбросить антивирусы и т.д., но как вы сами заметили лучше не рисковать.

 

Тем более как написал в самом начале вместе с картинкой ничего не должно загружаться (помимо самой чистой картинки), чтобы данные о вас включая, что вот с такого адреса почты регулярно читают фишинговые письма утекли авторам письма.

46 минут назад, kmscom сказал:

такой блог существует, он ежеквартально публикует отчет https://securelist.ru/category/spam-and-phishing-reports/
примеры писем тоже прилагаются

В самой верхней новости увидел про развод с Дуровым. Видел сайт, точней кучу сайтов с этим разводом (похоже бот на автомате там клепал зеркала). Адреса у них такие, что надо быть не знаю каким не сообразительным чтобы повестись если хотя бы взглянуть на адресную строку. И что интересно было, то достачно было просто обновить страничку и уже развод менялся на другую тему, там штук пять разных тематик развода на одном сайте которые случайно выбирались при загрузке (обновление) страницы. Большая часть разводов была связана с секс-тематикой (кстати, адрес сайтов этой тематике намного больше соответствовал, чем стартапу с Дуровым). И эти сайты активно рекламировались не только в почтовых рассылках.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний. Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше. Поэтому попытки поймать бизнес на удочку продолжаются.
      Трюков существует множество, но среднестатистический мошенник ленив. Поэтому в большинстве случаев он пробует вариации на тему одних и тех же уловок. Мы решили собрать здесь самые распространенные схемы.
      Виды наживки
      Злоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него. Перешли по ссылке, открыли вложенный документ, оплатили счет. Для того чтобы вы это сделали, ему надо завладеть вашим вниманием.
      Привет от налоговой
      Вам приходит письмо о том, что вы не уплатили такой-то налог в полном объеме, вам начислены пени, и если вы с этим не согласны, надо скачать приложенную к письму форму, заполнить и отправить. В форме, разумеется, обнаруживается макрос — и как только вы его включаете (а пользователь уже привык автоматически кликать «согласен» в большинстве появляющихся окон), он незамедлительно скачивает из сети какой-нибудь вредонос и запускает его.
      Налоговой боятся многие компании, но свой страх надо знать в лицо: разбираться в том, как могут выглядеть письма от налоговой в вашем регионе, знать, будет она вообще писать по электронной почте или сразу позвонит.
      Уведомление о непрошедших платежах
      Заплатили налоги и рассчитались со всеми контрагентами? Это хорошо, но вот пишут, что платеж не прошел. Дальше может быть что угодно — от просьбы оплатить выставленный якобы повторно счет до требования сходить на какой-нибудь сомнительный сайт.
      От посещения сомнительных сайтов могут уберечь здравый смысл и антивирус, а вот от повторной оплаты счета — только здравый смысл.
      Предложение от таинственного контрагента
      «Здравствуйте, я представляю организацию «Дрова и Корыта», мы хотели бы поставлять для вашей компании нашу продукцию, прайс-лист во вложении, очень жду вашего ответа». Во вложении действительно есть какой-то файл. И хорошо еще, если это опять текст с макросом, а не замаскированный под документ исполняемый файл. Письма от условных «Дров и Корыт» обычно рассылают массово, рассчитывая попасть хотя бы в какую-то организацию.
      Уведомление от службы безопасности
      Этот способ обмана действует в основном для компаний с офисами в разных городах. Зачастую сотрудники региональных отделений плохо представляют себе, как выглядят и чем занимаются коллеги из головного офиса. Получив письмо, скажем, от имени «главного безопасника» с требованием установить некий сертификат, многие безропотно пойдут это требование исполнять, не посмотрев, что на самом деле письмо отправлено с «левого» почтового адреса. Сертификат установлен? Вы на крючке.
      К чему приводит попадание на крючок
      С фишинговыми сайтами все, как правило, понятно — они служат для того, чтобы похитить у вас учетные данные. А вот вредоносы в письмах попадаются разные. Но чаще всего вы столкнетесь с каким-нибудь представителем из следующего списка.
      Крыса в компьютере
      Один из самых любимых инструментов киберпреступников — программа для удаленного доступа к компьютеру (Remote Access Tool, сокращенно RAT). С ее помощью злоумышленники попадают в сеть предприятия, а там они могут делать что угодно. Например, установить дополнительные вредоносы. Украсть важные документы. Или, скажем, найти компьютер человека, отвечающего за финансы, и перехватить данные для доступа к платежной системе. Ну а дальше просто перевести деньги компании на свой счет.
      Шифровальщик
      Шифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать. Документ не прочитать, презентацию не показать. Бывают еще такие шифровальщики, которые распространяются по локальной сети — то есть попадает зловред на один компьютер, а данные в результате зашифрованы на всех машинах, до которых он смог дотянуться. За возврат данных злоумышленники требуют выкуп. Например, не так давно жертвой шифровальщика стала администрация города Балтимор, в результате чего часть городских служб просто не работала. Чтобы вернуть все как было, злоумышленники требовали более 100 тысяч долларов.
      Шпионаж
      Также организациям любят подсовывать шпионов — зловредов, которые собирают конфиденциальную информацию. Шпионский троян тихо сидит на компьютере, записывая логины, пароли и адреса, коллекционируя переписку и пересылаемые файлы. Для высокотехнологичных компаний основная опасность в том, что какое-то ноу-хау и планы узнают конкуренты, а прочим организациям шпионы грозят в первую очередь тем, что злоумышленники получат доступ к управлению деньгами и украдут их. Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов.
      Чтобы не попадаться на уловки злоумышленников, надо:
      Быть внимательным. Знать законы, в юрисдикции которых вы работаете, и понимать методы госструктур и регуляторов. Разбираться в том, какие типы файлов опаснее других. Не брезговать антивирусом, желательно с хорошей защитой против фишинга и спама . View the full article
    • От Сергей Александрович
      Добрый день,столкнулся с проблемой,не могу пройти модерацию.

      ДОСТУП ЗАПРЕЩЕН

      Запрашиваемый URL-адрес не может быть предоставлен

       

      URL-адрес:

      https://smartphonelife.ru

      Заблокирован Веб-Антивирусом

      Причина: фишинговый адрес

      Нажмите здесь, если считаете, что веб-страница заблокирована ошибочно.

      Как можно удалить сайт из базы фишшинга?


    • От iphonedotcom
      1. Заходим на сайт loxotrons.ru
      2. Проверяем сайт конкурента. Если его нет в базе, отправляем на проверку.
      3. Если проходит проверку успешно с отрицательным результатом, пишем админу (его электронный адрес внизу сайта в удобном месте), это единственный контакт с администрацией сайта. Просим админа за небольшую плату придумать небылицу про сайт конкурента (например, что сайт скорее всего обман, отзывов нет, по адресу возможно никого нет и т.п.). 
      4. Заходим на https://virusdesk.kaspersky.ru, проверяем сайт конкурента. Проверка пишет, что ссылка безопасна на основании репутационных данных Kaspersky VirusDesk. Жмем кнопку -  не согласиться с результатом, где оставляем свой email.
      5. В течение 24 часов получаем на почту ответ, что сайт безопасен и если у вас есть дополнительные вопросы, пришлите их в ответном письме.
      6. Отвечаем в письме, что сайт мошенник. Приводим в пример ссылку на сайт, где купили у админа отзыв на компанию конкурента.
      7. Профит. После обновления баз касперского сайт конкурента помечается как фишинговая ссылка. Любая попытка зайти на сайт будет блокироваться, если у вас установлен антивирус касперского. 
       
      Вот такими нехитрыми манипуляциями несколько моих сайтов попали в базы касперского.
      Что удивительно, поддержка свято верит надписям на заборе в интернете и помечает сайты как фишинговые, даже не информируя и не проверяя владельца.
       
      Владельцы малого бизнеса, будьте осторожны и проверяйте ваши сайты касперским.
      В нынешнее непростое время, когда сайты налево и направо может блокировать Роскомнадзор, даже казалось бы дружелюбный сосед, сидящий у вас в трее, может сделать вам непростую "подлянку".
       

      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов"
    • От Алексей Тишкин
      geeks-3d.ru
      Этот сайт имитирует сайт разработчика FurMark. При установке FurMark с этого сайта дополнительно устанавливается программа майнер в папку WAF в корне диска C.
      Не нашел как отправить информацию о включении сайта в список опасных, поэтому написал сюда.
       

      Сообщение от модератора "Mark D. Pearlstone" Тема перемещена из раздела "Уничтожение вирусов"
    • От kh_PUCCA
      Добрый день, опять фишинговые сайты, замучили.
       
      CollectionLog-2017.04.10-16.41.zip
×
×
  • Создать...