Перекладываем письмо в чужом инбоксе

Составил небольшую памятку, надеюсь, она окажется полезной для вас и ваших коллег в противодействии социальной инженерии и фишингу.

Целью этой статьи является объединение информации о самых распространенных атаках с помощью социальной инженерии. Существует множество различных материалов, посвященных теме социальной инженерии, но они в большинстве своем либо имеют вид достаточно крупных произведений, таких как, например, работы Кевина Митника, или наоборот, статей и одиночных вебинаров, фокусирующихся на конкретных аспектах. Вдобавок, многие материалы по теме созданы специалистами для специалистов и имеют достаточно высокий порог вхождения. Статей для новичков, дающих общий обзор современного состояния предмета, мне, увы, на глаза не попадалось. Чтобы закрыть этот пробел и была написана эта статья.

Статья нацелена в первую очередь на людей, начинающих знакомство с темой, например, на студентов первых курсов профильных направлений вузов.

В статье будут разобраны основные атаки с применением социальной инженерии, в первую очередь фишинг и рассылка вредоносных вложений. Будут разобраны методы сбора информации о цели перед атакой, маскировки вредоносных нагрузок, и ряд популярных трюков злоумышленников, повышающих эффективность атак. Основное внимание будет уделено атакам с применением электронной почты, не только для простых одношаговых атак, но и для осуществления сложных, многоходовых операций, которых в наше время становится все больше. Однако, атаки с помощью звонков (вишинг) и личного общения также будут упомянуты, пусть и не так подробно.

Исследуем вредоносный документ с вновь набирающим популярность трояном Emotet.

Основная цель моих статей: предоставить практически полезные способы обнаружения вредоносной активности в файлах, дампах и.т.д, а также поделиться знаниями, на поиск которых, у меня ушло достаточно много времени.

Статья выходит довольно обширная, в связи с этим будет состоять из двух частей, т.к. здесь я постараюсь доступно изложить исследование вредоносного документа формата Excel (такие документы сегодня используются в фишинговых кампаниях по всему миру для заражения трояном Emotet), а после исследования вредоносного документа решим задание от cyberdefenders.org, в котором нам предложат поковырять дамп оперативной памяти, с уже зараженного хоста, давайте приступать.

На вебинаре расскажем, как проверить работу ИБ в компании своими силами и с помощью бесплатных инструментов.

Подключайтесь к нам, если:

• вы ИБ-специалист и хотите получить общее представление о состоянии ИБ в компании, а большого бюджета нет;

• у вас нет выделенной службы ИБ, но вы хотите выполнять хотя бы минимальный набор мер для обеспечения практической безопасности.

Специалисты Google Threat Analysis Group (TAG) опубликовали отчёт об отправленных за 2021 год уведомлений о попытках взлома со стороны госструктур. В общей сложности с января по октябрь TAG разослала более 50 тысяч предупреждений, большая часть которых связана с деятельностью группировок Fancy Bear и Charming Kitten. Это на 33% больше, чем в прошлом году.

«Лаборатория Касперского» опубликовала схему мошенничества, в рамках который пользователям рассылаются письма с фейковой информацией о необходимости получить компенсацию за локдаун. При переходе по ссылке внутри письма потенциальную жертву перенаправляют на сайт некой Единой службы социальной поддержки населения, который собирает информацию о банковских картах (вплоть до CVV-кода). Схема позволяет получить по меньшей мере 650 рублей с каждого обманутого человека, а также реквизиты его банковской карты.

Группировка киберпреступников Kimsuky из Северной Кореи атакует российских экспертов в области внешней политики для сбора конфиденциальной информации.

Как сообщают специалисты BleepingComputer, злоумышленники задействовали новую систему фишинговых атак, нацеленную на аккаунты Twitter с синей галочкой. Они рассылают потенциальным жертвам письма с призывом обновить свои данные, чтобы не потерять верификацию. BleepingComputer предполагает, что кампания вызвана инцидентами с изъятием синих галочек с реальных аккаунтов пользователей.