Oto kilka przemyśleń po spamie z DHL. Maile były rozsyłane od kwietnia i sporadycznie przychodzą następne przesyłki.
Socjotechnika perfekcyjna
Tutaj twórcy wirusa się postarali. Bardzo dużo ludzi czeka na przesyłkę. Duża szansa, że sprawdzi co to za mail. Nawet ci co nie czekają mogą sprawdzić. Po kliknieciu w mail sciągał się zip. W środku był exe ale o takiej długiej nazwie, ze często nie było widać rozszerzenia pliku.Zamiast plik zip mógł być PDF z linkiem.
Również czas rozpoczęcia akcji był zapewne dobrany nieprzypadkowo. Piątek po Bożym Ciele, dużo ludzi ma wolne. Działy IT mogą mieć wolne i w poniedziałek dużo kompów zawirusowanych.
Ominięcie zabezpieczeń
taka konstrukcja maila powoduje kilka niebezpieczeństw:
- systemy antywirusowe w mailach nie widzą żadnego zagrożenia. W mailu jest tylko link do pliku. System przepuszcza
- systemy UTM lub proxy w sieciach wewnętrznych przepuszczają pliki zip więc przez te systemy wirus też przejdzie.
- programy antywirusowe nie widzą zagrożenia. Dalej sporo programów AV przepuszcza te pliki. Oto lista która wykrywają wirusy
Co robić jak żyć
Przy rozpoczęciu takiego ataku można podjąć kilka działań w zależności od możliwości.
- zablokowanie możliwości ściągania plików zip i pdf. Rozwiązania drastyczne ale pozwala dać czas na znalezienie czasu. Być może jeśli w firmie nie ściąga sie dużo tego plików działanie wystarczające
- wysłanie maila ostrzegawczego typu „Nie otwierać przesyłek typu DHL”. Rozwiązanie skuteczne i proste. Można się spodziewać kilku telefów co zrobić jak otwarłem ale lepiej odebrać parę telefonów niż odwirusowywać kompy
- próbować pisać reguły do SA, blokować tematy w Postfixie.
Język
Dziwny i zaskakującym jest użycie języka niemieckiego. maile szły na domeny pl więc powinny być po polsku lub po angielsku. Niemiecki zdecydowanie zmniejsza szanse na udaną akcję. W akcji „przesyłka DHL” po paru dniach było widać zmianę języka na Polski po jakimś czasie.
Czas rozsyłania
Daje się zauważyć pewne fale spamu. Najpierw idzie seria testowa której się da wychwycić pojedyncze maile. Potem następuje następna część najczęściej na drugi dzień wieczorem lub w nocy. Trzecia seria to permamentna akcja spamerkska.
Należy się spodziewać w najbliższym czasie wielu tego typu akcji spamerów/wirusów. Niestety. Programy antyspamowe mogą być jedna z linii walki z bezpieczeństwem a nie tylko chronić przed spamem
Z DHL można też spróbować zaimplementować mechanizm DMARC – domena dhl.com wspiera to, więc tym sposobem można ograniczyć też „fake” spam. Minus tego taki, że to wciąż świeże rozwiązanie i nie wszyscy go stosują, Ci główni gracze już to mają 😉 ale protestować można.
Wspiera go także Google, a sporo osób jednak obecnie korzysta także z Gmaila, więc i dla Googla będzie on przydatny. Sama implementacja w sumie w niczym nie zaszkodzi, a jak mamy już odpalone u siebie SPF i DKIM wymagane przez DMARC, to uruchomienie samego DMARC nie jest niczym skomplikowanym.