В почтовом ящике можно встретить не только спам и фишинг, но и письма, где под картинкой спрятана ссылка на шпионский троян.
Как правило, когда заходит речь о краже учетных данных, все вспоминают письма с фишинговыми ссылками. Однако это не единственная почтовая угроза, которую злоумышленники используют для добычи логинов и паролей от всевозможных сервисов. Мошенники до сих пор регулярно рассылают в письмах и ссылки на шпионящие зловреды. Одна из уловок, которую они используют для маскировки такой ссылки, — картинка, имитирующая вложение.
Злоумышленники с каждым разом все больше и больше стараются сделать так, чтобы их письма выглядели убедительнее. Например — они пишут в компанию, которая предоставляет промышленные услуги и торгует оборудованием, запрос на предоставление коммерческого предложения и прилагают гайдлайны, по которым такое предложение должно быть составлено.
«В целом, промышленные компании могут достаточно часто получать такого рода запросы. И часто менеджеры охотно открывают гайдлайны и готовят коммерческие предложения, даже не обращая внимания на легкие нестыковки доменного имени отправителей с подписями, и так далее. Но нас тут, в первую очередь, интересует именно уловка, при помощи которой они пытаются заставить получателя запустить зловред, — ее точно можно заметить даже невооруженным глазом», — рассказывает Мушвиг Мамедов, представитель «Лаборатории Касперского» в Азербайджане.
Вложенный PDF — это не аттачмент. Outlook отображает почтовые вложения подобным образом. Но есть ряд существенных отличий и нужно внимательно к ним присмотреться:
- Иконка на вложении должна соответствовать приложению, с которым на вашем компьютере ассоциированы файлы PDF. Что за иконка изображена тут — непонятно.
- Если подвести мышку к реальному вложению в письме, то почтовый клиент должен показать информацию о файле — имя, тип и размер. А не подсветить ссылку на непонятный сайт.
- Стрелка справа от названия файла должна подсвечиваться и работать как отдельная кнопка, вызывающая контекстное меню.
- И самое главное — вложение должно отображаться не в теле письма, а в отдельном блоке.
В письме, которое указано как пример, под картинкой расположена ссылка на вредоносную программу-троян Trojan-Spy.Win32.Noon. Это достаточно стандартный шпион, известный с 2017 года. Если пользователь нажмет на ссылку, к нему на компьютер скачается программа-шпион, которая позволит злоумышленникам воровать пароли и прочие данные из различных форм ввода.
В таких случаях «Лаборатория Касперского» рекомендует:
- Для того чтобы подобные программы не нанесли ущерб вашей компании, следует снабдить каждое устройство, имеющее подключение к Интернету,надежным защитным решением. Оно просто не даст вредоносной программе запуститься.
- Кроме того, разумно обучать сотрудников самостоятельно выявлять уловки злоумышленников в почте.
