I kolejny przykład, ze najlepiej działa scojotechnika w połączeniu z załącznikami dociągającymi coś z netu. Pojawił się następne ataki. Tym razem dość dobrze przygotowane.
Mail przypomina o płatności i ma następujące cechy:
- w temacie jest login z maila
- sama treśc jest (niestety) zmienna, nie odnotowalismy platnoci,przypomnienie o urelgulowaniu platnosci itd
- w temacie nie ma polskich liter.
- w temacie występuje kilkucyfrowy nr faktury(do tej pory 8 lub 9 cyfr)
- treść zaczyna sie od frazy „Szanowny <login>”
- mail bez polskich liter chociaż ó występuje.
- nadawca jest zmienny.
- mail jest z „przyszłości”
- w mailu jest załącznik doc z nazwą jak login maila
Oto reguła ubijająca i trzeba przyznać , że może się zmienić szybko.
header __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_FAK Subject=~/ fakture/
header __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_DIGIT Subject=~/\d{6,10}/
meta ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_FAK && __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_DIGIT && ZABOJCASPAMUPART_IN
_SUBJECT && DATE_IN_FUTURE_06_12
describe ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI Przpomnienie o platnosci
score ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI 10
Też dzisiaj ten shit dostałem, oczywiście wylądował od razu w koszu ale reguła jak najbardziej się przyda na przyszłość. Tak na marginesie to nikt normalny nie wysyła faktur w formacie .doc :]
Zgadza sie, prawie kadzy wyrzuca do kosza. Jednak u mnie ktos otworzył i jutro test czy zdązyło zadziałać czy nie. na szczęście niedawno poszedl maila do uzytkowników aby uważali.więc może wyłączony został komputer na czas. Syf coraz większy to robi. I cięzko się obronić.
No wiem jak jest, ja także uczulam ludzi w firmie na to ale większość ma to gdzieś. do puki coś się nie stanie Wtedy przeważnie i tak jest winny administrator, czyli ja 🙂 Ja to mam jeszcze inny problem, brat szefa na wszelkie zabezpieczenia jest na nie, bo przecież działa i co nie zrobię to zaraz ma problem.
Ostatnio się czepił, że maile są znakowane i go to drażni, a on lubi dostawać spam bo czasem przydatne maile przychodzą w nim. Po prostu ręce opadają :). Sytuacja z wczoraj, związana nie z pocztą, a z stronami jakimi administruję i serwerem gdzie leżą. Serwer praktycznie nie zabezpieczony, bo przecież działa, strona prawie cala zaszyfrowana w IonCube 🙂
ciągłe ataki i praktycznie zero możliwości sprawdzenia co jest przyczyną tych ataków, bo nie ma dostępu do logów i nie ma jak przeanalizować zaszyfrowanych plików :] Stworzyłem reguły co uszczelniają stronę, efekt? afera bo przecież działa, a uniemożliwiłem stosowanie spacji, znaków specjalnych w plikach, czy samych cyfr z czego on korzysta opisując zdjęcia na strony, a co często posiadają exploity. Do tego S2S posiada pliki zawierające przecinki i powstał problem.
Pisząc o tym chce pokazać, że ciężka jest praca admina, a większość problemów to tworzą sami użyszkodnicy internetu niestety :] Gdyby faktycznie bezpieczeństwo było podstawowym czynnikiem w polskich firmach, jak to jest w zachodnich, to większość takich problemów była by sporadycznym przypadkiem. Tym bardziej, że sami producenci oprogramowania często olewają najzwyczajniej podstawowe zasady.
Świete słowa. ta to działa właśnie. Nawet hasła są zbędne bo to przeszkoda w logowaniu. co do innych rzeczy to chyba w mneijszym i wiekszym stopniu tak jest.
Jeśli dobrze kojarzę, Gmail i Thunderbird miały niedawno zablokowane pliki docx. Więc aby wysłać Worda, trzeba było zapisać jako doc. Teraz widzę, że doc też jest niezabezpieczony.
Tak, .doc jest niezabezpieczony, przynajmniej TB nie ma problemów z jego otworzeniem. Inna sprawa, że blokowanie tych plików nie zawsze jest dobrym pomysłem. W firmach ludzie przesyłają sobie dokumenty w tych formatach między oddziałami i tego nie wyplenisz niestety.
Studenci prace dyplomowe przesyłają promotorom do sprawdzenia. Tu trzeba by to robić bardziej na zasadzie sprawdzania pewnych zwrotów jak FV, faktura, do zapłaty itp. w powiązaniu z tymi rozszerzeniami w załącznikach i na podstawie tego blokować. Wtedy ma to rację bytu. Chociaż znając życie, to i tu trafi się jakiś idiota co będzie słał faktury w formacie worda i nie przetłumaczysz mu, że tak nie powinien robić.
Do puki on sam takiej wiadomości nie odbierze i nie zaszyfruje mu dysku firmowego na przykład, to nie zrozumie, że nie jest to tylko jakaś fanaberia administratora, a bardzo ważny element bezpieczeństwa i o ile w domu zrobi format i postawi system na nowo, to w firmie często wiąże się to z wielkimi stratami finansowymi. Można nawet położyć firmę w ten sposób.
Ano może. Znajomego firma o malo nei padla bo zaszyfrowało im dyski sieciowe.
U mnie pomimo meili aby uwazać to jednemu userowi o malo nie zaszyfrowalo.(zdązył wyłączyć). Konkuzja? Powinniscie co tydzien wysyłać maila:)
Jak zaszyfruje dysk bedzie to wina admina i tak. Najlepiej wysyłać maile i wtedy jest podkladka.
Konkluzja jest niestety inna, że trzeba robić backupy, zasobów sieciowych i stacji. Pisanie co jakiś czas ostrzeżeń niewiele daje.
Antywirsy slabo wykrywaja takie rzeczy. backupy jak najbardziej
Wczoraj dostałem przykład nowej wersji. Treść:
Rozumiemy, ze latwo przeoczyc niektóre platnosci i chcielibysmy Ci przypomniec, ze niestety nie otrzymalismy twojej platnosci w kwocie 1,982 zl, której termin juz minal. Uprzejmie prosimy, bys zobaczyl zalaczona kopie faktury.
Dziekujemy.
Rafal Seremet
Załącznik:
_(nie zaplacony)_003307024.doc
Tego jest więcej, w treści jest login uzytkownika i w załaczbiku login_faktura_cyfry.doc 😉 jakieś kolejne mutacje i kolejny nowy wysyp 😉
Tak niestety juz zostało zmutowane. Wysypyp tego jest potężny. Ale testuje już regułe, może cos sie uda z tym zrobić.
u mnie taki
Drogi …………
Chcialibysmy Ci przypomniec, ze niestety nie udalo nam sie otrzymac twojej platnosci w kwocie 4,046 zl, na czas. Uprzejmie prosimy, bys zobaczyl zalaczona kopie faktury VAT.
Doceniamy Twoja wspólprace!
Andrzej Grabowski
111 SERWIS SP. Z O.O.
Potoczek Kol. 2 Tar w wi tokrzyskie 27-515
+48604493666
Wiem wiem:) Nieźle kombinują i wymyślają. Ale nei dam sie:)
Najlepsze jest to, że telefony w podpisie są najwyraźniej prawdziwe, bo do mojej chaty dzwonili już 3 razy. Z jednym z „dłużników” rozmawiałem i „otworzyłem, ale mam program antywirusowy. Zresztą nic się nie dzieje”.