Kilka przemyśleń po spamie z DHL i innych

Oto kilka przemyśleń po spamie z DHL. Maile były rozsyłane od kwietnia i sporadycznie przychodzą następne przesyłki.

Socjotechnika perfekcyjna

Tutaj twórcy wirusa się postarali. Bardzo dużo ludzi czeka na przesyłkę. Duża szansa, że sprawdzi co to za mail. Nawet ci co nie czekają mogą sprawdzić. Po kliknieciu w mail sciągał się zip. W środku był exe ale o takiej długiej nazwie, ze często nie było widać rozszerzenia pliku.Zamiast plik zip mógł być PDF z linkiem.

Również czas rozpoczęcia akcji był zapewne dobrany nieprzypadkowo. Piątek po Bożym Ciele, dużo ludzi ma wolne. Działy IT mogą mieć wolne i w poniedziałek dużo kompów zawirusowanych.

Ominięcie zabezpieczeń

taka konstrukcja maila powoduje kilka niebezpieczeństw:

  • systemy antywirusowe w mailach nie widzą żadnego zagrożenia. W mailu jest tylko link do pliku. System przepuszcza
  • systemy UTM lub proxy w sieciach wewnętrznych przepuszczają pliki zip więc przez te systemy wirus też przejdzie.
  • programy antywirusowe nie widzą zagrożenia. Dalej sporo programów AV przepuszcza te pliki. Oto  lista która wykrywają wirusy

Co robić jak żyć

Przy rozpoczęciu takiego ataku można podjąć kilka działań w zależności od możliwości.

  • zablokowanie możliwości ściągania plików zip i pdf. Rozwiązania drastyczne ale pozwala dać czas na znalezienie czasu. Być może jeśli w firmie nie ściąga sie dużo tego plików działanie wystarczające
  • wysłanie maila ostrzegawczego typu „Nie otwierać przesyłek typu DHL”. Rozwiązanie skuteczne i proste. Można się spodziewać kilku telefów co zrobić jak otwarłem ale lepiej odebrać parę telefonów niż odwirusowywać kompy
  • próbować pisać reguły do SA, blokować tematy w Postfixie.

Język

Dziwny i zaskakującym jest użycie języka niemieckiego. maile szły na domeny pl więc powinny być po polsku lub po angielsku. Niemiecki zdecydowanie zmniejsza szanse na udaną akcję. W akcji „przesyłka DHL” po paru dniach było widać zmianę języka na Polski po jakimś czasie.

Czas rozsyłania

Daje się zauważyć pewne fale spamu. Najpierw idzie seria testowa której się da wychwycić pojedyncze maile. Potem następuje następna część najczęściej na drugi dzień wieczorem lub w nocy. Trzecia seria to permamentna akcja spamerkska.

Należy się spodziewać w najbliższym czasie wielu tego typu akcji spamerów/wirusów. Niestety. Programy antyspamowe mogą być jedna z linii walki z bezpieczeństwem a nie tylko chronić przed spamem

2 thoughts on “Kilka przemyśleń po spamie z DHL i innych

  1. Z DHL można też spróbować zaimplementować mechanizm DMARC – domena dhl.com wspiera to, więc tym sposobem można ograniczyć też „fake” spam. Minus tego taki, że to wciąż świeże rozwiązanie i nie wszyscy go stosują, Ci główni gracze już to mają 😉 ale protestować można.

  2. Wspiera go także Google, a sporo osób jednak obecnie korzysta także z Gmaila, więc i dla Googla będzie on przydatny. Sama implementacja w sumie w niczym nie zaszkodzi, a jak mamy już odpalone u siebie SPF i DKIM wymagane przez DMARC, to uruchomienie samego DMARC nie jest niczym skomplikowanym.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *