- Joined
- Feb 17, 2007
- Messages
- 677
- Reaction score
- 1,022
- Points
- 93
- Age
- 57
Trying to capture the mail of an employee of the company, attackers can send a notification allegedly from the Adobe online service.
Phishing Email Allegedly from Adobe PDF Online
The first thing that catches your eye is a message that a file has been shared with you using "secure Adobe PDF online". And then the question should immediately arise: does such a service really exist? The simplest search shows that Adobe really provides a service for storing PDF files online, it really allows you to share an encrypted file, but the name "Adobe PDF online" does not occur everywhere — either "Adobe Acrobat online" or "Adobe Document Cloud". I asked a colleague to send me a file by email to compare the notifications.
The phishing notification is on the left, and the real one is on the right
So, let's assume that you don't know what a real notification from Adobe online services looks like, and let's go through the list of signs that should be alarming:
1. The sender. Not that this is a one-hundred-percent red flag, but logic suggests that if the notification is from an online service, then this should be reflected in the "sender"column. And if it came from a specific person, why does it look like a notification from the service? Yes, there are exceptions. And yet-suspicious.
2. The subject of the letter (Subject). The subject of the letter is entered by the sending party. How often, when sending a letter to, say, Leonid, do you put something like "leonides@gmail.com got a PDF file"? This is illogical. It's also not a crime yet, but it should be alarming.
3. The name of the service. It is clear that you can't keep in mind the names of all online services. But have you ever heard of "secure Adobe PDF online" before? If this is an unfamiliar service, check in the search engine whether such a service exists.
4. Hyperlink / button. Before clicking on the "download" or "open" buttons, move the mouse to them and look at the hyperlink. Does it lead to the Adobe website? If not, then this is an obvious phishing.
5. The footer of the letter. If this is a notice from Adobe, then why does it say how Microsoft respects your privacy? This is definitely a sign of a fake.
6. The words "please read our Privacy Statement" without a hyperlink under them. This is also a sure sign of a fake. No one self-respecting company will make such a mistake.
The site of a fake service that imitates Adobe Document Cloud
Let's say that the letter did not arouse your suspicions (you never know, perhaps one day attackers will learn how to make convincing fakes). Let's go to the website. It looks like a blurry interface of the Adobe Acrobat Reader DC program, on top of which the authentication window is open. Again, we assume that the recipient does not know what the real site of Adobe online services looks like, and even more so does not know how the password request works.
Password request on the phishing site (above) and on the real Adobe site
Let's see what can be alarming here? Well, besides the fact that blurring is generally a rather vague way of protecting data, especially when some of the inscriptions can be recognized through it with the naked eye.
1. Address bar. The Adobe service site must be located in the Adobe domain. All other options are a sign of phishing.
2. The name of the file. Through the blur, it is clearly visible that the file is called EMInvoice_R6817-2. pdf. At the same time, the authentication window says Wire Transfer Receipt. pdf. A rather suspicious discrepancy.
3. Confusion in terms. The blurry document says Invoice, and the file name says receipt. These are two different documents: the first is a request for payment, and the second is its confirmation.
4. The version of the program. Again, through the blur, you can see that Adobe Acrobat Reader DC is written there, while the name Adobe Reader XI is in the authentication window. But this is a small thing. A person who rarely uses PDF may not know that XI is the previous version.
5. AdobeDoc Security technology. Generally speaking, you may not have the slightest idea about the names of Adobe technologies. But the word AdobeDoc has a registered trademark mark. It is worth checking if there is such a thing. As you might expect, it is found only in discussions of phishing.
6. Request an email password. It just looks ridiculous and ridiculous. Why would a legitimate Adobe service need a password from your mail? What will he compare it with? Or is it that the sender found out your password from somewhere and encrypted the file with it? Requesting a password from your corporate email on any third-party resource is a clear sign of phishing, never enter it.
How to protect yourself from corporate mail theft
In order for the company's employees not to become a victim of phishing, it is necessary:
In order for the company's employees not to become a victim of phishing, it is necessary:
* Periodically raise employees ' awareness of modern cyber threats. This way they are less likely to fall for the tricks of intruders.
* Have a solution with anti-phishing technologies on a corporate mail server. In this case, most of the malicious emails simply will not reach the recipients.
* Install security products with anti-phishing subsystems on every working computer — filters will prevent employees from clicking on a phishing link.
Phishing Email Allegedly from Adobe PDF Online
The first thing that catches your eye is a message that a file has been shared with you using "secure Adobe PDF online". And then the question should immediately arise: does such a service really exist? The simplest search shows that Adobe really provides a service for storing PDF files online, it really allows you to share an encrypted file, but the name "Adobe PDF online" does not occur everywhere — either "Adobe Acrobat online" or "Adobe Document Cloud". I asked a colleague to send me a file by email to compare the notifications.
The phishing notification is on the left, and the real one is on the right
So, let's assume that you don't know what a real notification from Adobe online services looks like, and let's go through the list of signs that should be alarming:
1. The sender. Not that this is a one-hundred-percent red flag, but logic suggests that if the notification is from an online service, then this should be reflected in the "sender"column. And if it came from a specific person, why does it look like a notification from the service? Yes, there are exceptions. And yet-suspicious.
2. The subject of the letter (Subject). The subject of the letter is entered by the sending party. How often, when sending a letter to, say, Leonid, do you put something like "leonides@gmail.com got a PDF file"? This is illogical. It's also not a crime yet, but it should be alarming.
3. The name of the service. It is clear that you can't keep in mind the names of all online services. But have you ever heard of "secure Adobe PDF online" before? If this is an unfamiliar service, check in the search engine whether such a service exists.
4. Hyperlink / button. Before clicking on the "download" or "open" buttons, move the mouse to them and look at the hyperlink. Does it lead to the Adobe website? If not, then this is an obvious phishing.
5. The footer of the letter. If this is a notice from Adobe, then why does it say how Microsoft respects your privacy? This is definitely a sign of a fake.
6. The words "please read our Privacy Statement" without a hyperlink under them. This is also a sure sign of a fake. No one self-respecting company will make such a mistake.
The site of a fake service that imitates Adobe Document Cloud
Let's say that the letter did not arouse your suspicions (you never know, perhaps one day attackers will learn how to make convincing fakes). Let's go to the website. It looks like a blurry interface of the Adobe Acrobat Reader DC program, on top of which the authentication window is open. Again, we assume that the recipient does not know what the real site of Adobe online services looks like, and even more so does not know how the password request works.
Password request on the phishing site (above) and on the real Adobe site
Let's see what can be alarming here? Well, besides the fact that blurring is generally a rather vague way of protecting data, especially when some of the inscriptions can be recognized through it with the naked eye.
1. Address bar. The Adobe service site must be located in the Adobe domain. All other options are a sign of phishing.
2. The name of the file. Through the blur, it is clearly visible that the file is called EMInvoice_R6817-2. pdf. At the same time, the authentication window says Wire Transfer Receipt. pdf. A rather suspicious discrepancy.
3. Confusion in terms. The blurry document says Invoice, and the file name says receipt. These are two different documents: the first is a request for payment, and the second is its confirmation.
4. The version of the program. Again, through the blur, you can see that Adobe Acrobat Reader DC is written there, while the name Adobe Reader XI is in the authentication window. But this is a small thing. A person who rarely uses PDF may not know that XI is the previous version.
5. AdobeDoc Security technology. Generally speaking, you may not have the slightest idea about the names of Adobe technologies. But the word AdobeDoc has a registered trademark mark. It is worth checking if there is such a thing. As you might expect, it is found only in discussions of phishing.
6. Request an email password. It just looks ridiculous and ridiculous. Why would a legitimate Adobe service need a password from your mail? What will he compare it with? Or is it that the sender found out your password from somewhere and encrypted the file with it? Requesting a password from your corporate email on any third-party resource is a clear sign of phishing, never enter it.
How to protect yourself from corporate mail theft
In order for the company's employees not to become a victim of phishing, it is necessary:
In order for the company's employees not to become a victim of phishing, it is necessary:
* Periodically raise employees ' awareness of modern cyber threats. This way they are less likely to fall for the tricks of intruders.
* Have a solution with anti-phishing technologies on a corporate mail server. In this case, most of the malicious emails simply will not reach the recipients.
* Install security products with anti-phishing subsystems on every working computer — filters will prevent employees from clicking on a phishing link.
Attachments
Original message
Пытаясь захватить почту сотрудника компании, злоумышленники могут прислать извещение якобы от онлайн-сервиса Adobe.
Roman Dedenok
Фишинговое письмо якобы от Adobe PDF Online
Первое, что бросается в глаза — это сообщение, что с вами поделились файлом с использованием «безопасного Adobe PDF online». И тут сразу должен возникнуть вопрос: действительно ли такой сервис существует? Простейший поиск показывает, что Adobe действительно предоставляет сервис хранения PDF-файлов в онлайне, действительно позволяет поделиться зашифрованным файлом, вот только название «Adobe PDF online» не встречается — везде либо «Adobe Acrobat online», либо «Adobe Document Cloud». Я попросил коллегу отправить мне на почту файл, чтобы сравнить извещения.Фишинговое извещение слева, а настоящее — справа
Итак, предположим, что вы не знаете, как выглядит настоящее извещение от онлайновых сервисов Adobe, и пойдем по порядку перечислять признаки, которые должны настораживать:
- Отправитель. Не то чтобы это было прямо стопроцентным красным флагом, но логика подсказывает, что если извещение — от онлайнового сервиса, то это должно быть отражено и в графе «отправитель». А если оно пришло от конкретного человека, то почему выглядит как извещение от сервиса? Да, исключения бывают. И все же — подозрительно.
- Тема письма (Subject). Тема письма вписывается отправляющей стороной. Как часто, отправляя письмо, скажем, Леониду, вы ставите темой что-то вроде «leonides@gmail.com получил PDF файл»? Это нелогично. Тоже еще не криминал, но настораживать должно.
- Название сервиса. Понятно, что вы не можете держать в голове названия всех онлайновых сервисов. Но вы когда-нибудь раньше слышали об «secure Adobe PDF online»? Если это незнакомый сервис, проверьте в поисковике, существует ли такой.
- Гиперссылка/кнопка. Прежде чем кликать на кнопки «скачать» или «открыть», подведите к ним мышку и присмотритесь к гиперссылке. Она ведет на сайт Adobe? Если нет, то это явный фишинг.
- Футер письма. Если это извещение от Adobe, то почему в нем написано, как Microsoft уважает вашу приватность? Вот это уже однозначно признак подделки.
- Слова «please read our Privacy Statement» без гиперссылки под ними. Это тоже верный признак фальшивки. Ни одна уважающая себя компания не допустит такой ошибки.
Сайт фальшивого сервиса, имитирующего Adobe Document Cloud
Допустим, письмо не вызвало у вас подозрений (мало ли, возможно, однажды злоумышленники научатся делать убедительные подделки). Давайте перейдем к сайту. Он выглядит как размытый интерфейс программы Adobe Acrobat Reader DC, поверх которого открыто окно аутентификации. Мы опять же предполагаем, что получатель не знает, как выглядит настоящий сайт онлайновых сервисов Adobe, и тем более не представляет, как устроен запрос пароля.Запрос пароля на фишинговом сайте (сверху) и на настоящем сайте Adobe
Давайте посмотрим, что может настораживать здесь? Ну кроме того, что размытие — вообще достаточно невнятный способ защиты данных, особенно когда часть надписей можно распознать через него невооруженным взглядом.
- Адресная строка. Сайт сервиса компании Adobe должен располагаться в домене Adobe. Все иные варианты — признак фишинга.
- Название файла. Сквозь размытие явно видно, что файл называется EMInvoice_R6817-2.pdf. В то же время в окне аутентификации написано Wire Transfer Receipt.pdf. Достаточно подозрительная нестыковка.
- Путаница в терминах. В размытом документе написано Invoice, а в названии файла receipt. Это два разных документа: первый — запрос на оплату, а второй — ее подтверждение.
- Версия программы. Опять же, сквозь размытие видно, что там написано Adobe Acrobat Reader DC, в то время как в окне аутентификации стоит название Adobe Reader XI. Но это мелочь. Человек, который редко пользуется PDF, может и не знать, что XI — предыдущая версия.
- Технология AdobeDoc Security. Вообще говоря, вы можете не иметь ни малейшего представления о названиях технологий Adobe. Но у слова AdobeDoc стоит знак зарегистрированной торговой марки. Стоит проверить, есть ли такая. Как и следовало ожидать, она встречается только в обсуждениях фишинга.
- Запрос пароля от электронной почты. Это выглядит просто нелепо и смешно. Зачем бы легальному сервису Adobe понадобился пароль от вашей почты? С чем он его будет сравнивать? Или это отправитель откуда-то узнал ваш пароль и зашифровал с его помощью файл? Запрос пароля от вашей корпоративной почты на каком-либо стороннем ресурсе — это явный признак фишинга, никогда не вводите его.
Как уберечься от угона корпоративной почты
Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:Для того чтобы сотрудники компании не стали жертвой фишинга, необходимо:
- Периодически повышать осведомленность сотрудников о современных киберугрозах. Так они с меньшей вероятностью попадутся на уловки злоумышленников.
- Иметь решение с антифишинговыми технологиями на корпоративном почтовом сервере. В этом случае большая часть вредоносных писем просто не дойдет до адресатов.
- Установить защитные продукты с антифишинговыми подсистемами на каждый рабочий компьютер — фильтры не дадут сотрудникам перейти по фишинговой ссылке.
Источник : Kaspersky daily
Last edited by a moderator: