Man
Professional
- Messages
- 2,964
- Reaction score
- 486
- Points
- 83
Эксперт утверждает, что фишинговая кампания использует беспокойство сотрудников.
Создатели фишинговых сообщений обычно хотят вызвать беспокойство у своих жертв, чтобы они невольно загрузили вредоносное ПО. И ничто не вызывает такого спазма, как возможность потерять работу.
Один из последних примеров был обнаружен компанией Cloudflare, которая в четверг опубликовала отчет о недавней фишинговой мошеннической схеме увольнения с работы, в которой использовались некоторые новые методы.
Отчет является напоминанием руководителям служб информационной безопасности о том, что всех сотрудников следует регулярно предупреждать о недопустимости перехода по ссылкам и загрузки документов в сообщениях, вызывающих эмоциональную реакцию, а также о необходимости тщательно проверять заголовки электронных писем, чтобы убедиться в подлинности отправителя.
Защитникам также может потребоваться расширить число брендов и организаций, которые должно охватывать их программное обеспечение для определения репутации.
«Страх потерять работу — это невероятная тактика социальной инженерии», — говорит Дэвид Шипли из канадской компании Beauceron Security, предоставляющей информацию о безопасности.
Он добавил, что это связано с убедительностью фишинговых кампаний, обещающих документ, в котором перечислены суммы, получаемые вашими коллегами. «Это просто динамит», потому что у сотрудников есть то, что он назвал «ненасытным любопытством относительно того, сколько зарабатывают их коллеги».
Эта конкретная масштабная кампания была нацелена на жителей Соединенного Королевства, которые подпадают под действие Службы трудовых трибуналов этой страны, рассматривающей жалобы, связанные с трудоустройством, а это огромная часть работающего населения.
Targets получил электронное письмо, предположительно от «Суда по трудовым спорам», в котором была копия логотипа Трибунала. В теме было написано: «Требуется действие: Трибунал против вас», а сообщение начиналось со слов «Требуется немедленное действие». В нем были указаны данные, которые выглядят как официальные данные по делу, включая предполагаемый номер дела, а так называемая тема дела была «Уведомление о расторжении».
В сообщении также говорится, что несоблюдение инструкций по загрузке документа и ответу на него может привести к «серьезным правовым последствиям».
Если пользователь нажимал на включенную ссылку, вредоносное ПО напрямую не загружалось. Это могло быть обнаружено защитой. Поэтому вместо этого ссылка вела на мошеннический веб-сайт, который выдавал себя за службу Microsoft. В нем говорилось, что пользователь не может получить доступ к документу на своем текущем устройстве, что было уловкой, чтобы заставить его загрузить файл.
На самом деле, не было никакого документа, который жертва могла бы прочитать. Загруженный файл был архивом .rar, содержащим вредоносный скрипт Visual Basic. Этот скрипт содержал обфускацию команд, что, как отметили в Cloudflare, делало вредоносную полезную нагрузку менее вероятной для обнаружения традиционными методами сканирования. Это привело к дальнейшей компрометации системы.
Хотя сообщение предположительно было отправлено «Судом по трудовым спорам», фактическим отправителем был «postmaster[at]agra.wog.gr».
И хотя предполагаемый номер дела включал строку цифр, он заканчивался на «%номер%.» Ничего не подозревающий сотрудник мог подумать, что система электронной почты что-то зашифровала, но это должно быть предупреждающим знаком.
К счастью, по данным Cloudflare, эта кампания была достаточно масштабной, чтобы ее обнаружили несколько систем кибербезопасности Honeypots и запустили автоматическую блокировку электронной почты и IP-адресов на основе репутации из многих источников.
То, что широко называют «мошенничеством с увольнением», чтобы обманом заставить получателей загрузить вредоносное ПО, не является чем-то новым и имеет множество тем, которые не обязательно связаны с трудоустройством. Например, в сообщении может быть сказано, что учетная запись электронной почты человека будет удалена, если он не заполнит форму. Цель в этом случае — получить учетные данные пользователя для входа. В январе Питтсбургский университет разослал предупреждение о подобном фишинговом мошенничестве, нацеленном на его студентов.
«Вот почему так важно продолжать информировать людей об этом, поскольку фильтры электронной почты не справляются», — сказал он.
Поскольку фишинговые атаки часто пытаются вызвать «чувство страха» и ощущение «О, боже, мне нужно что-то сделать», обучение по повышению осведомленности должно научить сотрудников распознавать эти эмоции, сказал Шипли. Именно в этот момент их следует научить замедляться, отходить от компьютера и думать, прежде чем нажимать кнопку.
«Обучение людей эмоциональному интеллекту и осознанности может снизить восприимчивость на целых 50%», — сказал Шипли.
Также важно, чтобы организации поощряли сотрудников сообщать о подозрительных/необычных электронных письмах начальнику, в ИТ или через внутренний механизм оповещения, сказал Шипли, и хвалить или даже больше тех, кто это делает. Это показывает другим сотрудникам, что сообщение будет вознаграждено.
Эта афера с трибуналом по трудовым спорам является примером того, как злоумышленники используют экономические тенденции или время года, отметил Блейк Дарче, глава службы разведки угроз Cloudforce One компании Cloudflare. Теперь директора по информационной безопасности должны быть начеку в ожидании фишинговых приманок Black Friday/Cyber Monday и Christmas, сказал он.
По его словам, урок для руководителей служб информационной безопасности из этого отчета заключается в необходимости иметь несколько уровней защиты в своей инфраструктуре. «Вам нужно несколько уровней решений по безопасности электронной почты, вам следует рассмотреть типы архитектуры с нулевым доверием, чтобы в случае взлома устройства пользователя оно не захватило всю вашу сеть. Обратите внимание на удаленную изоляцию браузера. Злоумышленники будут продолжать внедрять инновации, чтобы выполнить свою миссию».
Источник
Создатели фишинговых сообщений обычно хотят вызвать беспокойство у своих жертв, чтобы они невольно загрузили вредоносное ПО. И ничто не вызывает такого спазма, как возможность потерять работу.
Один из последних примеров был обнаружен компанией Cloudflare, которая в четверг опубликовала отчет о недавней фишинговой мошеннической схеме увольнения с работы, в которой использовались некоторые новые методы.
Отчет является напоминанием руководителям служб информационной безопасности о том, что всех сотрудников следует регулярно предупреждать о недопустимости перехода по ссылкам и загрузки документов в сообщениях, вызывающих эмоциональную реакцию, а также о необходимости тщательно проверять заголовки электронных писем, чтобы убедиться в подлинности отправителя.
Защитникам также может потребоваться расширить число брендов и организаций, которые должно охватывать их программное обеспечение для определения репутации.
«Страх потерять работу — это невероятная тактика социальной инженерии», — говорит Дэвид Шипли из канадской компании Beauceron Security, предоставляющей информацию о безопасности.
Он добавил, что это связано с убедительностью фишинговых кампаний, обещающих документ, в котором перечислены суммы, получаемые вашими коллегами. «Это просто динамит», потому что у сотрудников есть то, что он назвал «ненасытным любопытством относительно того, сколько зарабатывают их коллеги».
Эта конкретная масштабная кампания была нацелена на жителей Соединенного Королевства, которые подпадают под действие Службы трудовых трибуналов этой страны, рассматривающей жалобы, связанные с трудоустройством, а это огромная часть работающего населения.
Targets получил электронное письмо, предположительно от «Суда по трудовым спорам», в котором была копия логотипа Трибунала. В теме было написано: «Требуется действие: Трибунал против вас», а сообщение начиналось со слов «Требуется немедленное действие». В нем были указаны данные, которые выглядят как официальные данные по делу, включая предполагаемый номер дела, а так называемая тема дела была «Уведомление о расторжении».
В сообщении также говорится, что несоблюдение инструкций по загрузке документа и ответу на него может привести к «серьезным правовым последствиям».
Если пользователь нажимал на включенную ссылку, вредоносное ПО напрямую не загружалось. Это могло быть обнаружено защитой. Поэтому вместо этого ссылка вела на мошеннический веб-сайт, который выдавал себя за службу Microsoft. В нем говорилось, что пользователь не может получить доступ к документу на своем текущем устройстве, что было уловкой, чтобы заставить его загрузить файл.
На самом деле, не было никакого документа, который жертва могла бы прочитать. Загруженный файл был архивом .rar, содержащим вредоносный скрипт Visual Basic. Этот скрипт содержал обфускацию команд, что, как отметили в Cloudflare, делало вредоносную полезную нагрузку менее вероятной для обнаружения традиционными методами сканирования. Это привело к дальнейшей компрометации системы.
Признаки того, что это было мошенничество
В письме были признаки, которые опытные сотрудники могли заметить.Хотя сообщение предположительно было отправлено «Судом по трудовым спорам», фактическим отправителем был «postmaster[at]agra.wog.gr».
И хотя предполагаемый номер дела включал строку цифр, он заканчивался на «%номер%.» Ничего не подозревающий сотрудник мог подумать, что система электронной почты что-то зашифровала, но это должно быть предупреждающим знаком.
К счастью, по данным Cloudflare, эта кампания была достаточно масштабной, чтобы ее обнаружили несколько систем кибербезопасности Honeypots и запустили автоматическую блокировку электронной почты и IP-адресов на основе репутации из многих источников.
То, что широко называют «мошенничеством с увольнением», чтобы обманом заставить получателей загрузить вредоносное ПО, не является чем-то новым и имеет множество тем, которые не обязательно связаны с трудоустройством. Например, в сообщении может быть сказано, что учетная запись электронной почты человека будет удалена, если он не заполнит форму. Цель в этом случае — получить учетные данные пользователя для входа. В январе Питтсбургский университет разослал предупреждение о подобном фишинговом мошенничестве, нацеленном на его студентов.
Образование важно
Шипли отметил, что фишинговые сообщения, связанные с рабочими местами, особенно если они рассылаются в условиях широкомасштабных экономических сокращений в отрасли или увольнений из-за неотложных медицинских ситуаций, таких как COVID-19 или грипп, имеют видимость легитимности.«Вот почему так важно продолжать информировать людей об этом, поскольку фильтры электронной почты не справляются», — сказал он.
Поскольку фишинговые атаки часто пытаются вызвать «чувство страха» и ощущение «О, боже, мне нужно что-то сделать», обучение по повышению осведомленности должно научить сотрудников распознавать эти эмоции, сказал Шипли. Именно в этот момент их следует научить замедляться, отходить от компьютера и думать, прежде чем нажимать кнопку.
«Обучение людей эмоциональному интеллекту и осознанности может снизить восприимчивость на целых 50%», — сказал Шипли.
Также важно, чтобы организации поощряли сотрудников сообщать о подозрительных/необычных электронных письмах начальнику, в ИТ или через внутренний механизм оповещения, сказал Шипли, и хвалить или даже больше тех, кто это делает. Это показывает другим сотрудникам, что сообщение будет вознаграждено.
Эта афера с трибуналом по трудовым спорам является примером того, как злоумышленники используют экономические тенденции или время года, отметил Блейк Дарче, глава службы разведки угроз Cloudforce One компании Cloudflare. Теперь директора по информационной безопасности должны быть начеку в ожидании фишинговых приманок Black Friday/Cyber Monday и Christmas, сказал он.
По его словам, урок для руководителей служб информационной безопасности из этого отчета заключается в необходимости иметь несколько уровней защиты в своей инфраструктуре. «Вам нужно несколько уровней решений по безопасности электронной почты, вам следует рассмотреть типы архитектуры с нулевым доверием, чтобы в случае взлома устройства пользователя оно не захватило всю вашу сеть. Обратите внимание на удаленную изоляцию браузера. Злоумышленники будут продолжать внедрять инновации, чтобы выполнить свою миссию».
Источник