Відео: Настя и сборник весёлых историй (Листопад 2024)
Не всі напади на основі електронної пошти походять від родин позбавлених депо, продавців, які рекламували чудо-наркотичні засоби, або транспортних компаній, які нагадують вам про доставку. Деякі схожі на нещасних людей, які шукають роботу. І в цій економіці ми всі знаємо щонайменше одну людину, яка надсилає резюме всім, кого знає, сподіваючись на співбесіду.
Але, як Cloudmark сказав у своєму останньому поданні Tasty Spam, "Не спокушайтесь несподіваними резюме". Вони можуть вас вкусити, сильно.
Нещодавно компанія Cloudmark побачила кампанію, яка вимагає викупів у формі підробленого резюме, розповів дослідник Ендрю Конвей. Сама атака не є простою, і рецепт повинен відкрити шкідливий файл кілька разів, але він все ще достатньо ефективний, щоб було постраждало багато жертв.
Конвей описав різні кроки кампанії:
Електронний лист про атаку надходить від Yahoo! Поштовий обліковий запис і файл, який передбачає додавання резюме. Конвей вказував на чотири попереджувальні знаки в повідомленні: це було небажане повідомлення; відправник не вказав прізвище; резюме було надіслано у форматі .zip; і в помилках граматики, пунктуації чи написання є помилки.
"Хтось, хто справді представив резюме, перечитав би свою роботу", - сказав Конвей.
Коли одержувач відкриє .zip файл, він знайде файл html з назвою resume7360.html . Той факт, що резюме у форматі .html - це ще один червоний прапор, враховуючи, що більшість резюме надсилаються у вигляді текстових, PDF або Word документів. "Звичайно, погана ідея також відкривати непотрібні файли PDF та Word", - сказав Конвей.
Зразок HTML-файла атаки виглядає так:
Коли одержувач намагається відкрити файл, браузер спробує завантажити URL у тег IFRAME. "Це те саме, що змусити користувача натиснути на посилання", - сказав Конвей, зазначивши, що в цьому випадку посилання вказує на компрометований веб-сервер. URL-адреса завантажує ще один HTML-файл, який містить посилання на переадресацію, що вказує на посилання Документи Google.
Для переадресації використовується тег метаоновлення, який зазвичай використовується для оновлення вмісту веб-сторінки в режимі реального часу. Метаоновлення на веб-сторінці в іншому домені зазвичай є шкідливим. Більшість людей використовуватиме переспрямування HTTP або JavaScript для цього, а не мета-оновлення. Щойно для вашої інформації, HTML із порушеної цільової сторінки виглядає приблизно так:
Посилання Google Docs завантажує інший поштовий файл під назвою my_resume.zip, і він містить файл з назвою my_resume_pdf_id_8412-7311.scr . "Файл, випадковим чином завантажений з Інтернету. Небезпека, Буде Робінзон!" - сказав Конвей.
Суфікс .scr призначений для заставки Windows, але вони по суті є спеціально відформатованими виконуваними файлами для Windows. Розширення .scr часто використовується для доставки зловмисного програмного забезпечення підозрілим користувачам. Коли жертва відкриває .scr файл, він запускає програмне забезпечення. Усі їх файли зашифровані, і вони отримують банкноти в сотні доларів, щоб повернути їх знову.
Конвей підняв цікавий момент щодо цієї кампанії з викупу. Зловмиснику довелося зробити стільки суперечливих кроків, оскільки сучасні засоби антивірусної та фільтрації спаму є досить ефективними, що єдиний спосіб досягти успіху - об'єднати кілька кроків, щоб обійти захисні сили. Якщо вам здається, що вам доведеться стрибати з декількох хоппотів просто для перегляду резюме, це повинно бути попередженням про те, що щось не так. Можливо, ця людина, що стоїть за електронною поштою, не дуже зацікавлена в роботі.