Kontaktieren Sie uns in Messenger oder per Telefon.

whatsapp telegram viber phone email
+79214188555

Beim Versuch, die E-Mail eines Unternehmensmitarbeiters zu kapern, können Angreifer eine Benachrichtigung senden, angeblich vom Online-Dienst Adobe.

root

СисАдмин Форума
Teammitglied
Full members of NP "MOD"
Mitglied seit
17.02.2007
Beiträge
677
Punkte für Reaktionen
1.021
Punkte
93
Alter
57
Bei dem Versuch, die E-Mails eines Unternehmensmitarbeiters zu erfassen, können Angreifer eine Nachricht angeblich vom Online-Dienst Adobe senden.

Phishing-E-Mail angeblich von Adobe PDF Online
Das erste, was auffällt, ist die Nachricht, dass Sie die Datei mit «Safe Adobe PDF online»geteilt haben. Und dann sollte sofort die Frage aufkommen: Gibt es wirklich einen solchen Service? Die einfachste Suche zeigt, dass Adobe wirklich einen Service zum Speichern von PDF-Dateien online bietet, wirklich können Sie eine verschlüsselte Datei teilen, das ist nur der Name «Adobe PDF online» nicht gefunden wird — überall entweder «Adobe Acrobat online» oder «Adobe Document Cloud». Ich habe einen Kollegen gebeten, mir eine Datei zu mailen, um die Benachrichtigungen zu vergleichen.


Die Phishing-Benachrichtigung links und die aktuelle Benachrichtigung rechts
Angenommen, Sie wissen nicht, wie diese Benachrichtigung von den Online-Diensten von Adobe aussieht, und lassen Sie uns die Zeichen, die alarmierend sein sollten, in der Reihenfolge auflisten:

1. Absender. Nicht, dass es gerade eine hundertprozentige rote Fahne war, aber die Logik sagt, dass, wenn die Benachrichtigung — von einem Online-Dienst, dann sollte es in der Spalte «Absender»reflektiert werden. Und wenn es von einer bestimmten Person kommt, warum sieht es aus wie eine Benachrichtigung vom Service? Ja, es gibt Ausnahmen. Und doch-verdächtig.
2. Betreff (Betreff). Der Betreff des Briefes passt in die Absenderseite. Wie oft, wenn Sie einen Brief senden, sagen wir, Leonid, setzen Sie das Thema so etwas wie «leonides@gmail.com habe eine PDF-Datei»? Das ist unlogisch. Auch noch kein Krimi, aber es muss beunruhigt werden.
3. Der Name des Dienstes. Es ist klar, dass Sie die Namen aller Online-Dienste nicht im Kopf behalten können. Aber haben Sie schon einmal von «secure Adobe PDF online»gehört? Wenn es sich um einen unbekannten Dienst handelt, überprüfen Sie in der Suchmaschine, ob es einen solchen gibt.
4. Hyperlink / Schaltfläche. Bevor Sie auf die Schaltfläche «Download» oder «Öffnen» klicken, bewegen Sie die Maus zu ihnen und schauen Sie sich den Hyperlink an. Führt sie auf die Adobe-Website? Wenn nicht, ist es explizit Phishing.
5. Footer Briefe. Wenn es eine Benachrichtigung von Adobe ist, warum steht dann darauf, wie Microsoft Ihre Privatsphäre respektiert? Das ist eindeutig ein Zeichen der Fälschung.
6. Die Wörter "please read our Privacy Statement" ohne einen Hyperlink darunter. Dies ist auch ein sicheres Zeichen für eine Fälschung. Kein Unternehmen, das sich selbst respektiert, wird einen solchen Fehler machen.
Website eines gefälschten Dienstes, der Adobe Document Cloud nachahmt
Nehmen wir an, der Brief hat Sie nicht verdächtigt (wenig, vielleicht, eines Tages werden die Angreifer lernen, überzeugende Fälschungen zu machen). Lassen Sie uns auf die Website gehen. Es sieht aus wie eine verschwommene Oberfläche von Adobe Acrobat Reader DC, über der ein Authentifizierungsfenster geöffnet ist. Wir gehen wiederum davon aus, dass der Empfänger nicht weiß, wie diese Website der Online-Dienste von Adobe aussieht, und noch mehr nicht vorstellen, wie die Passwort-Anfrage angeordnet ist.




Passwort auf der Phishing-Website (oben) und auf dieser Adobe-Website anfordern
Mal sehen, was hier beunruhigend sein könnte? Nun, abgesehen davon, dass Unschärfe — in der Regel eine ziemlich verwaschene Art, Daten zu schützen, vor allem, wenn ein Teil der Inschriften kann durch sie mit bloßem Auge erkannt werden.


1. Adressleiste. Die Adobe-Service-Website muss sich in der Adobe-Domain befinden. Alle anderen Optionen sind ein Zeichen für Phishing.
2. Der Name der Datei. Durch die Unschärfe ist deutlich sichtbar, dass die Datei EMInvoice_R6817-2 heißt.pdf. Zur gleichen Zeit wird im Authentifizierungsfenster Wire Transfer Receipt geschrieben.pdf. Ziemlich verdächtige Ungereimtheiten.
3. Verwirrung in Bezug auf. In einem verschwommenen Dokument steht Invoice und im Dateinamen receipt. Dies sind zwei verschiedene Dokumente: Das erste ist eine Zahlungsanfrage und das zweite ist ihre Bestätigung.
4. Programmversion. Auch hier ist durch die Unschärfe zu sehen, dass dort Adobe Acrobat Reader DC geschrieben wird, während im Authentifizierungsfenster der Name Adobe Reader XI steht. Aber das ist eine Kleinigkeit. Eine Person, die nur selten PDF verwendet, weiß vielleicht nicht, dass XI eine frühere Version ist.
5. AdobeDoc Security-Technologie. Im Allgemeinen haben Sie möglicherweise keine Ahnung von den Namen von Adobe-Technologien. Aber das Wort AdobeDoc hat ein Zeichen einer registrierten Marke. Es lohnt sich zu überprüfen, ob es eine gibt. Wie zu erwarten, ist es nur in Phishing-Diskussionen zu finden.
6. Passwort von E-Mail anfordern. Es sieht einfach lächerlich und lächerlich aus. Warum sollte ein legaler Adobe-Dienst ein Passwort für Ihre E-Mails benötigen? Mit was wird er es vergleichen? Oder hat der Absender Ihr Passwort von irgendwo erkannt und die Datei damit verschlüsselt? Wenn Sie ein Passwort von Ihrer Unternehmensmail auf einer Drittanbieter-Ressource anfordern, ist dies ein klares Zeichen für Phishing, geben Sie es niemals ein.
Wie man sich vor dem Diebstahl von Corporate Mail zu schützen
Damit die Mitarbeiter des Unternehmens nicht Opfer von Phishing werden, ist es notwendig:

Damit die Mitarbeiter des Unternehmens nicht Opfer von Phishing werden, ist es notwendig:


* Mitarbeiter regelmäßig für aktuelle Cyberbedrohungen sensibilisieren. So werden sie weniger wahrscheinlich auf die Tricks der Eindringlinge fallen.
* Haben Sie eine Lösung mit Anti-Phishing-Technologien auf einem Enterprise-Mail-Server. In diesem Fall werden die meisten bösartigen E-Mails einfach nicht die Empfänger erreichen.
* Installieren Sie Sicherheitsprodukte mit Anti-Phishing-Subsystemen auf jedem Arbeitscomputer-Filter verhindern, dass Mitarbeiter auf Phishing-Link klicken.

003.jpg


002.jpg
 

Anhänge

  • 001.jpg
    001.jpg
    90,1 KB · Aufrufe: 185
Original message

Пытаясь захватить почту сотрудника компании, злоумышленники могут прислать извещение якобы от онлайн-сервиса Adobe.​

Roman Dedenok


001.jpg


Фишинговое письмо якобы от Adobe PDF Online​

Первое, что бросается в глаза — это сообщение, что с вами поделились файлом с использованием «безопасного Adobe PDF online». И тут сразу должен возникнуть вопрос: действительно ли такой сервис существует? Простейший поиск показывает, что Adobe действительно предоставляет сервис хранения PDF-файлов в онлайне, действительно позволяет поделиться зашифрованным файлом, вот только название «Adobe PDF online» не встречается — везде либо «Adobe Acrobat online», либо «Adobe Document Cloud». Я попросил коллегу отправить мне на почту файл, чтобы сравнить извещения.

002.jpg

Фишинговое извещение слева, а настоящее — справа
Итак, предположим, что вы не знаете, как выглядит настоящее извещение от онлайновых сервисов Adobe, и пойдем по порядку перечислять признаки, которые должны настораживать:

  1. Отправитель. Не то чтобы это было прямо стопроцентным красным флагом, но логика подсказывает, что если извещение — от онлайнового сервиса, то это должно быть отражено и в графе «отправитель». А если оно пришло от конкретного человека, то почему выглядит как извещение от сервиса? Да, исключения бывают. И все же — подозрительно.
  2. Тема письма (Subject). Тема письма вписывается отправляющей стороной. Как часто, отправляя письмо, скажем, Леониду, вы ставите темой что-то вроде «leonides@gmail.com получил PDF файл»? Это нелогично. Тоже еще не криминал, но настораживать должно.
  3. Название сервиса. Понятно, что вы не можете держать в голове названия всех онлайновых сервисов. Но вы когда-нибудь раньше слышали об «secure Adobe PDF online»? Если это незнакомый сервис, проверьте в поисковике, существует ли такой.
  4. Гиперссылка/кнопка. Прежде чем кликать на кнопки «скачать» или «открыть», подведите к ним мышку и присмотритесь к гиперссылке. Она ведет на сайт Adobe? Если нет, то это явный фишинг.
  5. Футер письма. Если это извещение от Adobe, то почему в нем написано, как Microsoft уважает вашу приватность? Вот это уже однозначно признак подделки.
  6. Слова «please read our Privacy Statement» без гиперссылки под ними. Это тоже верный признак фальшивки. Ни одна уважающая себя компания не допустит такой ошибки.

Сайт фальшивого сервиса, имитирующего Adobe Document Cloud​

Допустим, письмо не вызвало у вас подозрений (мало ли, возможно, однажды злоумышленники научатся делать убедительные подделки). Давайте перейдем к сайту. Он выглядит как размытый интерфейс программы Adobe Acrobat Reader DC, поверх которого открыто окно аутентификации. Мы опять же предполагаем, что получатель не знает, как выглядит настоящий сайт онлайновых сервисов Adobe, и тем более не представляет, как устроен запрос пароля.

003.jpg


Запрос пароля на фишинговом сайте (сверху) и на настоящем сайте Adobe
Давайте посмотрим, что может настораживать здесь? Ну кроме того, что размытие — вообще достаточно невнятный способ защиты данных, особенно когда часть надписей можно распознать через него невооруженным взглядом.

  1. Адресная строка. Сайт сервиса компании Adobe должен располагаться в домене Adobe. Все иные варианты — признак фишинга.
  2. Название файла. Сквозь размытие явно видно, что файл называется EMInvoice_R6817-2.pdf. В то же время в окне аутентификации написано Wire Transfer Receipt.pdf. Достаточно подозрительная нестыковка.
  3. Путаница в терминах. В размытом документе написано Invoice, а в названии файла receipt. Это два разных документа: первый — запрос на оплату, а второй — ее подтверждение.
  4. Версия программы. Опять же, сквозь размытие видно, что там написано Adobe Acrobat Reader DC, в то время как в окне аутентификации стоит название Adobe Reader XI. Но это мелочь. Человек, который редко пользуется PDF, может и не знать, что XI — предыдущая версия.
  5. Технология AdobeDoc Security. Вообще говоря, вы можете не иметь ни малейшего представления о названиях технологий Adobe. Но у слова AdobeDoc стоит знак зарегистрированной торговой марки. Стоит проверить, есть ли такая. Как и следовало ожидать, она встречается только в обсуждениях фишинга.
  6. Запрос пароля от электронной почты. Это выглядит просто нелепо и смешно. Зачем бы легальному сервису Adobe понадобился пароль от вашей почты? С чем он его будет сравнивать? Или это отправитель откуда-то узнал ваш пароль и зашифровал с его помощью файл? Запрос пароля от вашей корпоративной почты на каком-либо стороннем ресурсе — это явный признак фишинга, никогда не вводите его.

Как уберечься от угона корпоративной почты​

Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:

Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:




Источник : Kaspersky daily
Zuletzt bearbeitet von einem Moderator:

OldWhiteCat

Private Zugriffsebene
Mitglied seit
16.05.2021
Beiträge
83
Punkte für Reaktionen
132
Punkte
33
Alter
74
Ort
Москва, (7)-903-796-6612
Alles ist in Ordnung. Aber es gibt Nuancen. Ich habe es gerade selbst herausgefunden - für mich ist es sofort chaotisch, ohne in die Details einzutauchen, aber als erstes werde ich die Person kontaktieren und fragen - bist du verrückt oder wurdest du verlassen?
Wenn er nicht gesteht, löschen wir den Brief und entspannen uns.
Wenn er nicht versteht, was sie von ihm wollen - schauen wir uns an, wo der Übergang ist - die URL ist die Hölle wo - ist klar - KRIMINELL!
Alles andere wird für normale Mitarbeiter nicht funktionieren !!! Jeder Zehnte, auch der Geübte, wird etwas entdecken. Dann sollte der Unternehmensschutz funktionieren.
Und was hier geschrieben steht - na ja, morgen lernen die Gauner die meisten Absurditäten zu regieren ... Es ist eine Frage des Alltags ...
 
Original message
Все классно. Но есть нюансы. Просто прикинул на себя - для меня очевидна лажа сразу, даже не вникая в детали, а потому, первое что я сделаю, я свяжусь с человеком и спрошу - ты с ума сошел или тебя открякали?
Если он не признается, стираем письмо и расслабляемся.
Если не понимает, чего от него хотят - смотрим на то, куда переход - URL хрен куда - ясно - ЖУЛЬЕ!
Все остальное не сработает для рядовых сотрудников!!! Один из 10, даже прошедших обучение, что-то да откроет. вот тогда должна работать корпоративная защита.
А то, что тут написано - ну так завтра жулье научится большую часть несуразностей править... Дело такое, житейское...

Детективное агентство. Минск.

Зарегистрированный
Mitglied seit
30.10.2009
Beiträge
473
Punkte für Reaktionen
78
Punkte
28
Ort
Беларусь, Минск.
Hmm. Früher haben wir Klone von Seiten erstellt und Daten gestohlen, aber jetzt ist alles anders! Danke für den interessanten Beitrag!
 
Original message
Мда. Раньше делали клоны страниц и крали данные, а теперь все по другому! Спасибо за интересный пост!

poles1469

Зарегистрированный
Mitglied seit
18.05.2021
Beiträge
145
Punkte für Reaktionen
85
Punkte
28
Alter
32
Ort
Бишкек
Alles ist in Ordnung. Aber es gibt Nuancen. Ich habe es gerade für mich herausgefunden - es ist für mich offensichtlich, dass es sofort chaotisch ist, ohne in die Details einzutauchen, aber als erstes werde ich die Person kontaktieren und fragen - bist du verrückt oder wurdest du verlassen?
Wenn er nicht gesteht, löschen wir den Brief und entspannen uns.
Wenn er nicht versteht, was sie von ihm wollen - schauen wir uns an, wo der Übergang ist - die URL ist die Hölle wo - ist klar - KRIMINELL!
Alles andere wird für normale Mitarbeiter nicht funktionieren !!! Jeder Zehnte, auch der Geübte, wird etwas entdecken. Dann sollte der Unternehmensschutz funktionieren.
Und was hier geschrieben steht - na ja, morgen lernen die Gauner die meisten Absurditäten zu regieren ... Es ist eine Frage des Alltags ...
Danke fürs klarstellen!
 
Original message
Все классно. Но есть нюансы. Просто прикинул на себя - для меня очевидна лажа сразу, даже не вникая в детали, а потому, первое что я сделаю, я свяжусь с человеком и спрошу - ты с ума сошел или тебя открякали?
Если он не признается, стираем письмо и расслабляемся.
Если не понимает, чего от него хотят - смотрим на то, куда переход - URL хрен куда - ясно - ЖУЛЬЕ!
Все остальное не сработает для рядовых сотрудников!!! Один из 10, даже прошедших обучение, что-то да откроет. вот тогда должна работать корпоративная защита.
А то, что тут написано - ну так завтра жулье научится большую часть несуразностей править... Дело такое, житейское...
Спасибо за разъяснение!
Mitglied seit
20.08.2010
Beiträge
415
Punkte für Reaktionen
244
Punkte
43
Alles ist in Ordnung. Aber es gibt Nuancen. Ich habe es gerade selbst herausgefunden - für mich ist es sofort chaotisch, ohne in die Details einzutauchen, aber als erstes werde ich die Person kontaktieren und fragen - bist du verrückt oder wurdest du verlassen?
Wenn er nicht gesteht, löschen wir den Brief und entspannen uns.
Wenn er nicht versteht, was sie von ihm wollen - schauen wir uns an, wo der Übergang ist - die URL ist die Hölle wo - ist klar - KRIMINELL!
Alles andere wird für normale Mitarbeiter nicht funktionieren !!! Jeder Zehnte, auch der Geübte, wird etwas entdecken. Dann sollte der Unternehmensschutz funktionieren.
Und was hier geschrieben steht - na ja, morgen lernen die Gauner die meisten Absurditäten zu regieren ... Es ist eine Frage des Alltags ...
Und du bist aufmerksam.
 
Original message
Все классно. Но есть нюансы. Просто прикинул на себя - для меня очевидна лажа сразу, даже не вникая в детали, а потому, первое что я сделаю, я свяжусь с человеком и спрошу - ты с ума сошел или тебя открякали?
Если он не признается, стираем письмо и расслабляемся.
Если не понимает, чего от него хотят - смотрим на то, куда переход - URL хрен куда - ясно - ЖУЛЬЕ!
Все остальное не сработает для рядовых сотрудников!!! Один из 10, даже прошедших обучение, что-то да откроет. вот тогда должна работать корпоративная защита.
А то, что тут написано - ну так завтра жулье научится большую часть несуразностей править... Дело такое, житейское...
А вы внимательный.