- Mitglied seit
- 17.02.2007
- Beiträge
- 673
- Punkte für Reaktionen
- 1.013
- Punkte
- 93
- Alter
- 57
Bei dem Versuch, die E-Mails eines Unternehmensmitarbeiters zu erfassen, können Angreifer eine Nachricht angeblich vom Online-Dienst Adobe senden.
Phishing-E-Mail angeblich von Adobe PDF Online
Das erste, was auffällt, ist die Nachricht, dass Sie die Datei mit «Safe Adobe PDF online»geteilt haben. Und dann sollte sofort die Frage aufkommen: Gibt es wirklich einen solchen Service? Die einfachste Suche zeigt, dass Adobe wirklich einen Service zum Speichern von PDF-Dateien online bietet, wirklich können Sie eine verschlüsselte Datei teilen, das ist nur der Name «Adobe PDF online» nicht gefunden wird — überall entweder «Adobe Acrobat online» oder «Adobe Document Cloud». Ich habe einen Kollegen gebeten, mir eine Datei zu mailen, um die Benachrichtigungen zu vergleichen.
Die Phishing-Benachrichtigung links und die aktuelle Benachrichtigung rechts
Angenommen, Sie wissen nicht, wie diese Benachrichtigung von den Online-Diensten von Adobe aussieht, und lassen Sie uns die Zeichen, die alarmierend sein sollten, in der Reihenfolge auflisten:
1. Absender. Nicht, dass es gerade eine hundertprozentige rote Fahne war, aber die Logik sagt, dass, wenn die Benachrichtigung — von einem Online-Dienst, dann sollte es in der Spalte «Absender»reflektiert werden. Und wenn es von einer bestimmten Person kommt, warum sieht es aus wie eine Benachrichtigung vom Service? Ja, es gibt Ausnahmen. Und doch-verdächtig.
2. Betreff (Betreff). Der Betreff des Briefes passt in die Absenderseite. Wie oft, wenn Sie einen Brief senden, sagen wir, Leonid, setzen Sie das Thema so etwas wie «leonides@gmail.com habe eine PDF-Datei»? Das ist unlogisch. Auch noch kein Krimi, aber es muss beunruhigt werden.
3. Der Name des Dienstes. Es ist klar, dass Sie die Namen aller Online-Dienste nicht im Kopf behalten können. Aber haben Sie schon einmal von «secure Adobe PDF online»gehört? Wenn es sich um einen unbekannten Dienst handelt, überprüfen Sie in der Suchmaschine, ob es einen solchen gibt.
4. Hyperlink / Schaltfläche. Bevor Sie auf die Schaltfläche «Download» oder «Öffnen» klicken, bewegen Sie die Maus zu ihnen und schauen Sie sich den Hyperlink an. Führt sie auf die Adobe-Website? Wenn nicht, ist es explizit Phishing.
5. Footer Briefe. Wenn es eine Benachrichtigung von Adobe ist, warum steht dann darauf, wie Microsoft Ihre Privatsphäre respektiert? Das ist eindeutig ein Zeichen der Fälschung.
6. Die Wörter "please read our Privacy Statement" ohne einen Hyperlink darunter. Dies ist auch ein sicheres Zeichen für eine Fälschung. Kein Unternehmen, das sich selbst respektiert, wird einen solchen Fehler machen.
Website eines gefälschten Dienstes, der Adobe Document Cloud nachahmt
Nehmen wir an, der Brief hat Sie nicht verdächtigt (wenig, vielleicht, eines Tages werden die Angreifer lernen, überzeugende Fälschungen zu machen). Lassen Sie uns auf die Website gehen. Es sieht aus wie eine verschwommene Oberfläche von Adobe Acrobat Reader DC, über der ein Authentifizierungsfenster geöffnet ist. Wir gehen wiederum davon aus, dass der Empfänger nicht weiß, wie diese Website der Online-Dienste von Adobe aussieht, und noch mehr nicht vorstellen, wie die Passwort-Anfrage angeordnet ist.
Passwort auf der Phishing-Website (oben) und auf dieser Adobe-Website anfordern
Mal sehen, was hier beunruhigend sein könnte? Nun, abgesehen davon, dass Unschärfe — in der Regel eine ziemlich verwaschene Art, Daten zu schützen, vor allem, wenn ein Teil der Inschriften kann durch sie mit bloßem Auge erkannt werden.
1. Adressleiste. Die Adobe-Service-Website muss sich in der Adobe-Domain befinden. Alle anderen Optionen sind ein Zeichen für Phishing.
2. Der Name der Datei. Durch die Unschärfe ist deutlich sichtbar, dass die Datei EMInvoice_R6817-2 heißt.pdf. Zur gleichen Zeit wird im Authentifizierungsfenster Wire Transfer Receipt geschrieben.pdf. Ziemlich verdächtige Ungereimtheiten.
3. Verwirrung in Bezug auf. In einem verschwommenen Dokument steht Invoice und im Dateinamen receipt. Dies sind zwei verschiedene Dokumente: Das erste ist eine Zahlungsanfrage und das zweite ist ihre Bestätigung.
4. Programmversion. Auch hier ist durch die Unschärfe zu sehen, dass dort Adobe Acrobat Reader DC geschrieben wird, während im Authentifizierungsfenster der Name Adobe Reader XI steht. Aber das ist eine Kleinigkeit. Eine Person, die nur selten PDF verwendet, weiß vielleicht nicht, dass XI eine frühere Version ist.
5. AdobeDoc Security-Technologie. Im Allgemeinen haben Sie möglicherweise keine Ahnung von den Namen von Adobe-Technologien. Aber das Wort AdobeDoc hat ein Zeichen einer registrierten Marke. Es lohnt sich zu überprüfen, ob es eine gibt. Wie zu erwarten, ist es nur in Phishing-Diskussionen zu finden.
6. Passwort von E-Mail anfordern. Es sieht einfach lächerlich und lächerlich aus. Warum sollte ein legaler Adobe-Dienst ein Passwort für Ihre E-Mails benötigen? Mit was wird er es vergleichen? Oder hat der Absender Ihr Passwort von irgendwo erkannt und die Datei damit verschlüsselt? Wenn Sie ein Passwort von Ihrer Unternehmensmail auf einer Drittanbieter-Ressource anfordern, ist dies ein klares Zeichen für Phishing, geben Sie es niemals ein.
Wie man sich vor dem Diebstahl von Corporate Mail zu schützen
Damit die Mitarbeiter des Unternehmens nicht Opfer von Phishing werden, ist es notwendig:
Damit die Mitarbeiter des Unternehmens nicht Opfer von Phishing werden, ist es notwendig:
* Mitarbeiter regelmäßig für aktuelle Cyberbedrohungen sensibilisieren. So werden sie weniger wahrscheinlich auf die Tricks der Eindringlinge fallen.
* Haben Sie eine Lösung mit Anti-Phishing-Technologien auf einem Enterprise-Mail-Server. In diesem Fall werden die meisten bösartigen E-Mails einfach nicht die Empfänger erreichen.
* Installieren Sie Sicherheitsprodukte mit Anti-Phishing-Subsystemen auf jedem Arbeitscomputer-Filter verhindern, dass Mitarbeiter auf Phishing-Link klicken.
Phishing-E-Mail angeblich von Adobe PDF Online
Das erste, was auffällt, ist die Nachricht, dass Sie die Datei mit «Safe Adobe PDF online»geteilt haben. Und dann sollte sofort die Frage aufkommen: Gibt es wirklich einen solchen Service? Die einfachste Suche zeigt, dass Adobe wirklich einen Service zum Speichern von PDF-Dateien online bietet, wirklich können Sie eine verschlüsselte Datei teilen, das ist nur der Name «Adobe PDF online» nicht gefunden wird — überall entweder «Adobe Acrobat online» oder «Adobe Document Cloud». Ich habe einen Kollegen gebeten, mir eine Datei zu mailen, um die Benachrichtigungen zu vergleichen.
Die Phishing-Benachrichtigung links und die aktuelle Benachrichtigung rechts
Angenommen, Sie wissen nicht, wie diese Benachrichtigung von den Online-Diensten von Adobe aussieht, und lassen Sie uns die Zeichen, die alarmierend sein sollten, in der Reihenfolge auflisten:
1. Absender. Nicht, dass es gerade eine hundertprozentige rote Fahne war, aber die Logik sagt, dass, wenn die Benachrichtigung — von einem Online-Dienst, dann sollte es in der Spalte «Absender»reflektiert werden. Und wenn es von einer bestimmten Person kommt, warum sieht es aus wie eine Benachrichtigung vom Service? Ja, es gibt Ausnahmen. Und doch-verdächtig.
2. Betreff (Betreff). Der Betreff des Briefes passt in die Absenderseite. Wie oft, wenn Sie einen Brief senden, sagen wir, Leonid, setzen Sie das Thema so etwas wie «leonides@gmail.com habe eine PDF-Datei»? Das ist unlogisch. Auch noch kein Krimi, aber es muss beunruhigt werden.
3. Der Name des Dienstes. Es ist klar, dass Sie die Namen aller Online-Dienste nicht im Kopf behalten können. Aber haben Sie schon einmal von «secure Adobe PDF online»gehört? Wenn es sich um einen unbekannten Dienst handelt, überprüfen Sie in der Suchmaschine, ob es einen solchen gibt.
4. Hyperlink / Schaltfläche. Bevor Sie auf die Schaltfläche «Download» oder «Öffnen» klicken, bewegen Sie die Maus zu ihnen und schauen Sie sich den Hyperlink an. Führt sie auf die Adobe-Website? Wenn nicht, ist es explizit Phishing.
5. Footer Briefe. Wenn es eine Benachrichtigung von Adobe ist, warum steht dann darauf, wie Microsoft Ihre Privatsphäre respektiert? Das ist eindeutig ein Zeichen der Fälschung.
6. Die Wörter "please read our Privacy Statement" ohne einen Hyperlink darunter. Dies ist auch ein sicheres Zeichen für eine Fälschung. Kein Unternehmen, das sich selbst respektiert, wird einen solchen Fehler machen.
Website eines gefälschten Dienstes, der Adobe Document Cloud nachahmt
Nehmen wir an, der Brief hat Sie nicht verdächtigt (wenig, vielleicht, eines Tages werden die Angreifer lernen, überzeugende Fälschungen zu machen). Lassen Sie uns auf die Website gehen. Es sieht aus wie eine verschwommene Oberfläche von Adobe Acrobat Reader DC, über der ein Authentifizierungsfenster geöffnet ist. Wir gehen wiederum davon aus, dass der Empfänger nicht weiß, wie diese Website der Online-Dienste von Adobe aussieht, und noch mehr nicht vorstellen, wie die Passwort-Anfrage angeordnet ist.
Passwort auf der Phishing-Website (oben) und auf dieser Adobe-Website anfordern
Mal sehen, was hier beunruhigend sein könnte? Nun, abgesehen davon, dass Unschärfe — in der Regel eine ziemlich verwaschene Art, Daten zu schützen, vor allem, wenn ein Teil der Inschriften kann durch sie mit bloßem Auge erkannt werden.
1. Adressleiste. Die Adobe-Service-Website muss sich in der Adobe-Domain befinden. Alle anderen Optionen sind ein Zeichen für Phishing.
2. Der Name der Datei. Durch die Unschärfe ist deutlich sichtbar, dass die Datei EMInvoice_R6817-2 heißt.pdf. Zur gleichen Zeit wird im Authentifizierungsfenster Wire Transfer Receipt geschrieben.pdf. Ziemlich verdächtige Ungereimtheiten.
3. Verwirrung in Bezug auf. In einem verschwommenen Dokument steht Invoice und im Dateinamen receipt. Dies sind zwei verschiedene Dokumente: Das erste ist eine Zahlungsanfrage und das zweite ist ihre Bestätigung.
4. Programmversion. Auch hier ist durch die Unschärfe zu sehen, dass dort Adobe Acrobat Reader DC geschrieben wird, während im Authentifizierungsfenster der Name Adobe Reader XI steht. Aber das ist eine Kleinigkeit. Eine Person, die nur selten PDF verwendet, weiß vielleicht nicht, dass XI eine frühere Version ist.
5. AdobeDoc Security-Technologie. Im Allgemeinen haben Sie möglicherweise keine Ahnung von den Namen von Adobe-Technologien. Aber das Wort AdobeDoc hat ein Zeichen einer registrierten Marke. Es lohnt sich zu überprüfen, ob es eine gibt. Wie zu erwarten, ist es nur in Phishing-Diskussionen zu finden.
6. Passwort von E-Mail anfordern. Es sieht einfach lächerlich und lächerlich aus. Warum sollte ein legaler Adobe-Dienst ein Passwort für Ihre E-Mails benötigen? Mit was wird er es vergleichen? Oder hat der Absender Ihr Passwort von irgendwo erkannt und die Datei damit verschlüsselt? Wenn Sie ein Passwort von Ihrer Unternehmensmail auf einer Drittanbieter-Ressource anfordern, ist dies ein klares Zeichen für Phishing, geben Sie es niemals ein.
Wie man sich vor dem Diebstahl von Corporate Mail zu schützen
Damit die Mitarbeiter des Unternehmens nicht Opfer von Phishing werden, ist es notwendig:
Damit die Mitarbeiter des Unternehmens nicht Opfer von Phishing werden, ist es notwendig:
* Mitarbeiter regelmäßig für aktuelle Cyberbedrohungen sensibilisieren. So werden sie weniger wahrscheinlich auf die Tricks der Eindringlinge fallen.
* Haben Sie eine Lösung mit Anti-Phishing-Technologien auf einem Enterprise-Mail-Server. In diesem Fall werden die meisten bösartigen E-Mails einfach nicht die Empfänger erreichen.
* Installieren Sie Sicherheitsprodukte mit Anti-Phishing-Subsystemen auf jedem Arbeitscomputer-Filter verhindern, dass Mitarbeiter auf Phishing-Link klicken.
Anhänge
Original message
Пытаясь захватить почту сотрудника компании, злоумышленники могут прислать извещение якобы от онлайн-сервиса Adobe.
Roman Dedenok
Фишинговое письмо якобы от Adobe PDF Online
Первое, что бросается в глаза — это сообщение, что с вами поделились файлом с использованием «безопасного Adobe PDF online». И тут сразу должен возникнуть вопрос: действительно ли такой сервис существует? Простейший поиск показывает, что Adobe действительно предоставляет сервис хранения PDF-файлов в онлайне, действительно позволяет поделиться зашифрованным файлом, вот только название «Adobe PDF online» не встречается — везде либо «Adobe Acrobat online», либо «Adobe Document Cloud». Я попросил коллегу отправить мне на почту файл, чтобы сравнить извещения.Фишинговое извещение слева, а настоящее — справа
Итак, предположим, что вы не знаете, как выглядит настоящее извещение от онлайновых сервисов Adobe, и пойдем по порядку перечислять признаки, которые должны настораживать:
- Отправитель. Не то чтобы это было прямо стопроцентным красным флагом, но логика подсказывает, что если извещение — от онлайнового сервиса, то это должно быть отражено и в графе «отправитель». А если оно пришло от конкретного человека, то почему выглядит как извещение от сервиса? Да, исключения бывают. И все же — подозрительно.
- Тема письма (Subject). Тема письма вписывается отправляющей стороной. Как часто, отправляя письмо, скажем, Леониду, вы ставите темой что-то вроде «leonides@gmail.com получил PDF файл»? Это нелогично. Тоже еще не криминал, но настораживать должно.
- Название сервиса. Понятно, что вы не можете держать в голове названия всех онлайновых сервисов. Но вы когда-нибудь раньше слышали об «secure Adobe PDF online»? Если это незнакомый сервис, проверьте в поисковике, существует ли такой.
- Гиперссылка/кнопка. Прежде чем кликать на кнопки «скачать» или «открыть», подведите к ним мышку и присмотритесь к гиперссылке. Она ведет на сайт Adobe? Если нет, то это явный фишинг.
- Футер письма. Если это извещение от Adobe, то почему в нем написано, как Microsoft уважает вашу приватность? Вот это уже однозначно признак подделки.
- Слова «please read our Privacy Statement» без гиперссылки под ними. Это тоже верный признак фальшивки. Ни одна уважающая себя компания не допустит такой ошибки.
Сайт фальшивого сервиса, имитирующего Adobe Document Cloud
Допустим, письмо не вызвало у вас подозрений (мало ли, возможно, однажды злоумышленники научатся делать убедительные подделки). Давайте перейдем к сайту. Он выглядит как размытый интерфейс программы Adobe Acrobat Reader DC, поверх которого открыто окно аутентификации. Мы опять же предполагаем, что получатель не знает, как выглядит настоящий сайт онлайновых сервисов Adobe, и тем более не представляет, как устроен запрос пароля.Запрос пароля на фишинговом сайте (сверху) и на настоящем сайте Adobe
Давайте посмотрим, что может настораживать здесь? Ну кроме того, что размытие — вообще достаточно невнятный способ защиты данных, особенно когда часть надписей можно распознать через него невооруженным взглядом.
- Адресная строка. Сайт сервиса компании Adobe должен располагаться в домене Adobe. Все иные варианты — признак фишинга.
- Название файла. Сквозь размытие явно видно, что файл называется EMInvoice_R6817-2.pdf. В то же время в окне аутентификации написано Wire Transfer Receipt.pdf. Достаточно подозрительная нестыковка.
- Путаница в терминах. В размытом документе написано Invoice, а в названии файла receipt. Это два разных документа: первый — запрос на оплату, а второй — ее подтверждение.
- Версия программы. Опять же, сквозь размытие видно, что там написано Adobe Acrobat Reader DC, в то время как в окне аутентификации стоит название Adobe Reader XI. Но это мелочь. Человек, который редко пользуется PDF, может и не знать, что XI — предыдущая версия.
- Технология AdobeDoc Security. Вообще говоря, вы можете не иметь ни малейшего представления о названиях технологий Adobe. Но у слова AdobeDoc стоит знак зарегистрированной торговой марки. Стоит проверить, есть ли такая. Как и следовало ожидать, она встречается только в обсуждениях фишинга.
- Запрос пароля от электронной почты. Это выглядит просто нелепо и смешно. Зачем бы легальному сервису Adobe понадобился пароль от вашей почты? С чем он его будет сравнивать? Или это отправитель откуда-то узнал ваш пароль и зашифровал с его помощью файл? Запрос пароля от вашей корпоративной почты на каком-либо стороннем ресурсе — это явный признак фишинга, никогда не вводите его.
Как уберечься от угона корпоративной почты
Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:
- Периодически повышать осведомленность сотрудников о современных киберугрозах. Так они с меньшей вероятностью попадутся на уловки злоумышленников.
- Иметь решение с антифишинговыми технологиями на корпоративном почтовом сервере. В этом случае большая часть вредоносных писем просто не дойдет до адресатов.
- Установить защитные продукты с антифишинговыми подсистемами на каждый рабочий компьютер — фильтры не дадут сотрудникам перейти по фишинговой ссылке.
Источник : Kaspersky daily
Zuletzt bearbeitet von einem Moderator:
