Комментарии 14
Задача сотрудника сводится к тому, чтобы зайти в исходный код и сверить строчку получателя с тем, что демонстрирует приложение.
Что-то вы слишком много хотите от сотрудников.
В любой корпоративной среде есть то, с чем не сталкивался сотрудник. Важно на реальном примере с последствиями показать способ их избежать, тогда задача для коллег не будет такой сложной. В принципе, для чего и нужны фишинг-учения.
То есть в любой нормальной компании имеется запрет на получение исполняемых файлов и вы его с этим сталкиваете? Потом заявляете, что он сам виноват?
Цель фишинг-учений не наказать, а научить сотрудника в условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного", как файлы, так и сообщения почты. LNK не является исполнительным файлом, а лишь ярлыком, который ссылается на .exe. Но и если говорить о "нормальных компаниях", то вектор через подрядчика никто не отменял. И если бы все было так идеально, то ИБ уже бы не было так востребовано.
условиях учебной атаки распознавать действия нарушителей и отличать "оригинальное" от "поддельного"
Если в компании половина если не большая часть из учений технически блокируется (скачивание исполняемых файлов, запуск исполняемых файлов из папки Загрузки, подмена отправителя в письме,…), может стоит обучать пользовать чему-то другому?
Это ваше личное и субъективное, основанное на количестве знаний атак и технологий. Доставка и заражение может происходит не только через файлы, а и URL-схемы и протокол ms-search, к примеру. И тут никакие запреты технические не помогут, если специалисты впервые увидели такую уязвимость сервиса поиска. В этом и суть фишинга, вы пытаетесь закрыть социальные дыры и уязвимости человека только физическим решением. А нужно работать комплексно не со следствием, а причиной.
в список из простого но эффективного: локальным фаерволом закрыть повершеллу и многим системным утилитам доступ наружу.
Это все, конечно, очень познавательно и нравоучительно, но давайте начнем с самого начала: каким макаром Вы в почтовом клиенте получите такую картинку для файла с раширением .lnk, ась?
А где вы увидели, что передача формата .lnk будет в той форме, как оно отображено на пк? Естественно это особенности любой системы и файл в почте будет выглядеть в виде "Положение №300.pdf.lnk"
Не каждый пользователь знает все форматы, не всегда дотошен к деталям и прочие моменты человеческого фактора, на которых и завязан фишинг. По-идее, вся атака закончится на этапе открытия исходного кода сообщения, при должных знаниях.
А, так это не иллюстрация, а просто КДПВ? Тогда уж сразу котиков можно было выкладывать: тоже никакого отношения к теме статьи, но притягивает внимание.
Возможно, вы не поняли, но это отображение того, как ярлык будет выглядеть на рабочем столе после скачивания. Суть в том, что формат lnk, даже при функции "Отобразить формат файла", не будет вписан в конец эксплойта.
На этапе доставки используется почтовое сообщение с прикрепленным файлом формата .lnk
Тогда Вы какой-то совсем странный кейс рассматриваете: вредоносный файл сперва сохраняется из почтового клиента, и непременно на "Рабочий стол", а уже затем запускается. Кстати, а при каких условиях filename.pdf.lnk у Вас на рабочем столе отображается с иконкой PDF?
Атакуем коллег через токсичные ярлыки ”pdf” и Web-приложения. Часть 2