Contact us in messengers or by phone.

whatsapp telegram viber phone email
+79214188555

Trying to hijack the mail of a company employee, attackers can send a notification, allegedly from an online service Adobe.

root

СисАдмин Форума
Staff member
Full members of NP "MOD"
Joined
Feb 17, 2007
Messages
677
Reaction score
1,022
Points
93
Age
57
Trying to capture the mail of an employee of the company, attackers can send a notification allegedly from the Adobe online service.

Phishing Email Allegedly from Adobe PDF Online
The first thing that catches your eye is a message that a file has been shared with you using "secure Adobe PDF online". And then the question should immediately arise: does such a service really exist? The simplest search shows that Adobe really provides a service for storing PDF files online, it really allows you to share an encrypted file, but the name "Adobe PDF online" does not occur everywhere — either "Adobe Acrobat online" or "Adobe Document Cloud". I asked a colleague to send me a file by email to compare the notifications.


The phishing notification is on the left, and the real one is on the right
So, let's assume that you don't know what a real notification from Adobe online services looks like, and let's go through the list of signs that should be alarming:

1. The sender. Not that this is a one-hundred-percent red flag, but logic suggests that if the notification is from an online service, then this should be reflected in the "sender"column. And if it came from a specific person, why does it look like a notification from the service? Yes, there are exceptions. And yet-suspicious.
2. The subject of the letter (Subject). The subject of the letter is entered by the sending party. How often, when sending a letter to, say, Leonid, do you put something like "leonides@gmail.com got a PDF file"? This is illogical. It's also not a crime yet, but it should be alarming.
3. The name of the service. It is clear that you can't keep in mind the names of all online services. But have you ever heard of "secure Adobe PDF online" before? If this is an unfamiliar service, check in the search engine whether such a service exists.
4. Hyperlink / button. Before clicking on the "download" or "open" buttons, move the mouse to them and look at the hyperlink. Does it lead to the Adobe website? If not, then this is an obvious phishing.
5. The footer of the letter. If this is a notice from Adobe, then why does it say how Microsoft respects your privacy? This is definitely a sign of a fake.
6. The words "please read our Privacy Statement" without a hyperlink under them. This is also a sure sign of a fake. No one self-respecting company will make such a mistake.
The site of a fake service that imitates Adobe Document Cloud
Let's say that the letter did not arouse your suspicions (you never know, perhaps one day attackers will learn how to make convincing fakes). Let's go to the website. It looks like a blurry interface of the Adobe Acrobat Reader DC program, on top of which the authentication window is open. Again, we assume that the recipient does not know what the real site of Adobe online services looks like, and even more so does not know how the password request works.




Password request on the phishing site (above) and on the real Adobe site
Let's see what can be alarming here? Well, besides the fact that blurring is generally a rather vague way of protecting data, especially when some of the inscriptions can be recognized through it with the naked eye.


1. Address bar. The Adobe service site must be located in the Adobe domain. All other options are a sign of phishing.
2. The name of the file. Through the blur, it is clearly visible that the file is called EMInvoice_R6817-2. pdf. At the same time, the authentication window says Wire Transfer Receipt. pdf. A rather suspicious discrepancy.
3. Confusion in terms. The blurry document says Invoice, and the file name says receipt. These are two different documents: the first is a request for payment, and the second is its confirmation.
4. The version of the program. Again, through the blur, you can see that Adobe Acrobat Reader DC is written there, while the name Adobe Reader XI is in the authentication window. But this is a small thing. A person who rarely uses PDF may not know that XI is the previous version.
5. AdobeDoc Security technology. Generally speaking, you may not have the slightest idea about the names of Adobe technologies. But the word AdobeDoc has a registered trademark mark. It is worth checking if there is such a thing. As you might expect, it is found only in discussions of phishing.
6. Request an email password. It just looks ridiculous and ridiculous. Why would a legitimate Adobe service need a password from your mail? What will he compare it with? Or is it that the sender found out your password from somewhere and encrypted the file with it? Requesting a password from your corporate email on any third-party resource is a clear sign of phishing, never enter it.
How to protect yourself from corporate mail theft
In order for the company's employees not to become a victim of phishing, it is necessary:

In order for the company's employees not to become a victim of phishing, it is necessary:


* Periodically raise employees ' awareness of modern cyber threats. This way they are less likely to fall for the tricks of intruders.
* Have a solution with anti-phishing technologies on a corporate mail server. In this case, most of the malicious emails simply will not reach the recipients.
* Install security products with anti-phishing subsystems on every working computer — filters will prevent employees from clicking on a phishing link.

003.jpg


002.jpg
 

Attachments

  • 001.jpg
    001.jpg
    90.1 KB · Views: 185
Original message

Пытаясь захватить почту сотрудника компании, злоумышленники могут прислать извещение якобы от онлайн-сервиса Adobe.​

Roman Dedenok


001.jpg


Фишинговое письмо якобы от Adobe PDF Online​

Первое, что бросается в глаза — это сообщение, что с вами поделились файлом с использованием «безопасного Adobe PDF online». И тут сразу должен возникнуть вопрос: действительно ли такой сервис существует? Простейший поиск показывает, что Adobe действительно предоставляет сервис хранения PDF-файлов в онлайне, действительно позволяет поделиться зашифрованным файлом, вот только название «Adobe PDF online» не встречается — везде либо «Adobe Acrobat online», либо «Adobe Document Cloud». Я попросил коллегу отправить мне на почту файл, чтобы сравнить извещения.

002.jpg

Фишинговое извещение слева, а настоящее — справа
Итак, предположим, что вы не знаете, как выглядит настоящее извещение от онлайновых сервисов Adobe, и пойдем по порядку перечислять признаки, которые должны настораживать:

  1. Отправитель. Не то чтобы это было прямо стопроцентным красным флагом, но логика подсказывает, что если извещение — от онлайнового сервиса, то это должно быть отражено и в графе «отправитель». А если оно пришло от конкретного человека, то почему выглядит как извещение от сервиса? Да, исключения бывают. И все же — подозрительно.
  2. Тема письма (Subject). Тема письма вписывается отправляющей стороной. Как часто, отправляя письмо, скажем, Леониду, вы ставите темой что-то вроде «leonides@gmail.com получил PDF файл»? Это нелогично. Тоже еще не криминал, но настораживать должно.
  3. Название сервиса. Понятно, что вы не можете держать в голове названия всех онлайновых сервисов. Но вы когда-нибудь раньше слышали об «secure Adobe PDF online»? Если это незнакомый сервис, проверьте в поисковике, существует ли такой.
  4. Гиперссылка/кнопка. Прежде чем кликать на кнопки «скачать» или «открыть», подведите к ним мышку и присмотритесь к гиперссылке. Она ведет на сайт Adobe? Если нет, то это явный фишинг.
  5. Футер письма. Если это извещение от Adobe, то почему в нем написано, как Microsoft уважает вашу приватность? Вот это уже однозначно признак подделки.
  6. Слова «please read our Privacy Statement» без гиперссылки под ними. Это тоже верный признак фальшивки. Ни одна уважающая себя компания не допустит такой ошибки.

Сайт фальшивого сервиса, имитирующего Adobe Document Cloud​

Допустим, письмо не вызвало у вас подозрений (мало ли, возможно, однажды злоумышленники научатся делать убедительные подделки). Давайте перейдем к сайту. Он выглядит как размытый интерфейс программы Adobe Acrobat Reader DC, поверх которого открыто окно аутентификации. Мы опять же предполагаем, что получатель не знает, как выглядит настоящий сайт онлайновых сервисов Adobe, и тем более не представляет, как устроен запрос пароля.

003.jpg


Запрос пароля на фишинговом сайте (сверху) и на настоящем сайте Adobe
Давайте посмотрим, что может настораживать здесь? Ну кроме того, что размытие — вообще достаточно невнятный способ защиты данных, особенно когда часть надписей можно распознать через него невооруженным взглядом.

  1. Адресная строка. Сайт сервиса компании Adobe должен располагаться в домене Adobe. Все иные варианты — признак фишинга.
  2. Название файла. Сквозь размытие явно видно, что файл называется EMInvoice_R6817-2.pdf. В то же время в окне аутентификации написано Wire Transfer Receipt.pdf. Достаточно подозрительная нестыковка.
  3. Путаница в терминах. В размытом документе написано Invoice, а в названии файла receipt. Это два разных документа: первый — запрос на оплату, а второй — ее подтверждение.
  4. Версия программы. Опять же, сквозь размытие видно, что там написано Adobe Acrobat Reader DC, в то время как в окне аутентификации стоит название Adobe Reader XI. Но это мелочь. Человек, который редко пользуется PDF, может и не знать, что XI — предыдущая версия.
  5. Технология AdobeDoc Security. Вообще говоря, вы можете не иметь ни малейшего представления о названиях технологий Adobe. Но у слова AdobeDoc стоит знак зарегистрированной торговой марки. Стоит проверить, есть ли такая. Как и следовало ожидать, она встречается только в обсуждениях фишинга.
  6. Запрос пароля от электронной почты. Это выглядит просто нелепо и смешно. Зачем бы легальному сервису Adobe понадобился пароль от вашей почты? С чем он его будет сравнивать? Или это отправитель откуда-то узнал ваш пароль и зашифровал с его помощью файл? Запрос пароля от вашей корпоративной почты на каком-либо стороннем ресурсе — это явный признак фишинга, никогда не вводите его.

Как уберечься от угона корпоративной почты​

Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:

Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:




Источник : Kaspersky daily
Last edited by a moderator:

OldWhiteCat

Private access level
Joined
May 16, 2021
Messages
83
Reaction score
132
Points
33
Age
74
Location
Москва, (7)-903-796-6612
Everything's OK. But there are nuances. I just figured it out for myself - it's obvious to me that it's messy right away, without even delving into the details, but because the first thing I do, I will contact the person and ask - are you crazy or have you been dumped?
If he doesn't confess, we erase the letter and relax.
If he does not understand what they want from him - we look at where the transition is - the URL is hell where - it is clear - CRIMINAL!
Everything else will not work for ordinary employees !!! One in 10, even those who have been trained, will discover something. that's when corporate protection should work.
And what is written here - well, tomorrow the crooks will learn to rule most of the absurdities ... It's a matter of everyday life ...
 
Original message
Все классно. Но есть нюансы. Просто прикинул на себя - для меня очевидна лажа сразу, даже не вникая в детали, а потому, первое что я сделаю, я свяжусь с человеком и спрошу - ты с ума сошел или тебя открякали?
Если он не признается, стираем письмо и расслабляемся.
Если не понимает, чего от него хотят - смотрим на то, куда переход - URL хрен куда - ясно - ЖУЛЬЕ!
Все остальное не сработает для рядовых сотрудников!!! Один из 10, даже прошедших обучение, что-то да откроет. вот тогда должна работать корпоративная защита.
А то, что тут написано - ну так завтра жулье научится большую часть несуразностей править... Дело такое, житейское...

Детективное агентство. Минск.

Зарегистрированный
Joined
Oct 30, 2009
Messages
473
Reaction score
78
Points
28
Location
Беларусь, Минск.
Hmm. We used to make clones of pages and steal data, but now everything is different! Thanks for the interesting post!
 
Original message
Мда. Раньше делали клоны страниц и крали данные, а теперь все по другому! Спасибо за интересный пост!

poles1469

Зарегистрированный
Joined
May 18, 2021
Messages
145
Reaction score
85
Points
28
Age
32
Location
Бишкек
Все классно. Но есть нюансы. Просто прикинул на себя - для меня очевидна лажа сразу, даже не вникая в детали, а потому, первое что я сделаю, я свяжусь с человеком и спрошу - ты с ума сошел или тебя открякали?
Если он не признается, стираем письмо и расслабляемся.
Если не понимает, чего от него хотят - смотрим на то, куда переход - URL хрен куда - ясно - ЖУЛЬЕ!
Все остальное не сработает для рядовых сотрудников!!! Один из 10, даже прошедших обучение, что-то да откроет. вот тогда должна работать корпоративная защита.
А то, что тут написано - ну так завтра жулье научится большую часть несуразностей править... Дело такое, житейское...
Спасибо за разъяснение!
 
Joined
Aug 20, 2010
Messages
415
Reaction score
244
Points
43
Все классно. Но есть нюансы. Просто прикинул на себя - для меня очевидна лажа сразу, даже не вникая в детали, а потому, первое что я сделаю, я свяжусь с человеком и спрошу - ты с ума сошел или тебя открякали?
Если он не признается, стираем письмо и расслабляемся.
Если не понимает, чего от него хотят - смотрим на то, куда переход - URL хрен куда - ясно - ЖУЛЬЕ!
Все остальное не сработает для рядовых сотрудников!!! Один из 10, даже прошедших обучение, что-то да откроет. вот тогда должна работать корпоративная защита.
А то, что тут написано - ну так завтра жулье научится большую часть несуразностей править... Дело такое, житейское...
А вы внимательный.