hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
16 lutego 2017

CV jako wektor ataku APT?

Liczba aktywnych zawodowo Polaków przekracza 17 milionów, firm na rynku też mamy sporo, dlatego w mailach dziennie krążą zapewne przynajmniej dziesiątki tysięcy dokumentów CV. Niektóre w formacie PDF, inne w DOC – te formaty na pewno stanowią większość. A co je łączy? To, że da się w nich schować "niespodziankę" w postaci złośliwego kodu.

Jako wektor ataku CV ze złośliwym kodem jest genialne w swojej prostocie. I co gorsza, nie dla byle jakiego masowego phishingu, tylko dla najgroźniejszej broni dla biznesu, ataków APT. O ile samo pojęcie APT, którym wielu rzuca na lewo i prawo, mocno się zdewaluowało, tutaj wydaje się pasować idealnie. Firma, którą zainteresowali się przestępcy, poszukuje pracowników. No to co – przyszykujemy CV, żadnej ściemy, z doświadczeniem, zdjęciem ze stocka, nawet numer telefonu można dać, prepaida jakiegoś, a nuż zadzwonią. Nie otworzą? Jasne, że otworzą, jeśli Word/PDF Reader okaże się podatny to robak wpełznie do sieci ofiary i nikt nie będzie niczego świadom! Przecież nie było żadnego phishingu, to było zwykłe CV! I nic się nie wykryło, bo prawdziwy malware ściągnął się dopiero później.

Co potem? Hulaj dusza, piekła nie ma. Można wysłać maile z zainfekowanego konta, można po prostu siedzieć i czekać, analizując przychodzącą i wychodzącą pocztę i albo próbować kolejnych ataków, bądź też – jeśli firma ofiary nie zadbała zbytnio o bezpieczeństwo – przebić się do innych miejsc firmowej sieci. A skoro nikt nic nie będzie wiedział, to dane będą się systematycznie (a raczej niesystematycznie, żeby nikt się nie zorientował) się wysyłać, trafiając albo do konkurencji albo do przestępcy, który bez wątpienia znajdzie na nie chętnych.

Jak sobie z tym poradzić? Z jednej strony zabezpieczeniami technicznymi, instalując regularnie łatki bezpieczeństwa na używane aplikacje; architekturowymi – dając fizyczny dostęp tylko do systemów niezbędnych konkretnej grupie pracowników; i wreszcie ludzkimi – uważamy, co otwieramy, nie klikamy odruchowo, gdy plik Worda spyta się, czy chcemy uruchomić makra, a jeśli mamy wątpliwość co do maila od kolegi/koleżanki – zadzwońmy i upewnijmy się bezpośrednio u domniemanego nadawcy, czy to na pewno on jest autorem.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

25 lipca 2024
Sora AI już dostępne? A nie, to Lumma Stealer
Dowiedz się więcej
24 lipca 2024
Fałszywa faktura „od Orange” – AsyncRAT/Xworm
Dowiedz się więcej
23 lipca 2024
Odparliśmy rekordowy atak DDoS
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas