E blog posztjainak talán több mint a fele kapcsolódik ehhez a témához, hasonlóan ahogy a valós támadásoknál is ez a leggyakoribb, legelterjedtebb forma.
Vannak persze hullámok, amikre gyakran felülnek a támadók: lezuhant repülő, olimpia, robbantás a maratonon, foci vb, de tulajdonképpen mindig szezon van, mindig lehet találni témát a kéretlen tartalmak terítésére.
Első példánk egy konkrét eseményhez kapcsolódik, ugyanis Japánban nagyban zajlik az éves adóbevallási időszak, és mi lenne vonzóbb csali, mint például nagy összegű adó-visszatérítést ígérni a gyanútlan felhasználóknak?
De a tematika ennél sokkal szélesebb és megtévesztőbb, a kéretlen üzenetekben figyelmeztetnek az adózási szabályok megsértésével, állítólagos információkat küldenek fizetésemelésről, vagy azonnali munkakör változásról, esetleg alkalmazotti részvénytulajdonlási tervekről informálnak.
Minden ilyen e-mail célja természetesen ugyanaz: rávenni a címzetteket, hogy rosszindulatú linkeket vagy mellékleteket nyissák meg. Mivel az ottani alkalmazottak az évnek ebben a szakaszában tényleg az ilyen témájú e-mailekre, a becsapás hatékonyabb, megbíznak az ilyen üzenetekben, és gondolkodás nélkül kattintanak is.
A Silverfox csoport ráadásul mindezt nagyon szofisztikáltan és testre szabva intézi, nem csak az időzítés, hanem a megszólítás is annyira célzott, hogy a támadók gyakran közvetlenül az aktuális vállalat nevét tüntetik fel az üzenet tárgy mezőjében.
Arra is van példa, hogy a hamis leveleket a cég valódi igazgatójának nevében küldik ki. Az e-mailekhez csatolt mellékletek elnevezése is igyekszik hitelesnek látszani: a személyzeti osztályra utalva, pénzügyi vagy adózással kapcsolatos hivatalos dokumentumnév szerepel mellékletként, amire kattintva aztán rejtett kémprogram vagy más fertőző vírus indul el.
Nem egyszerűbb az az eset sem, amikor látszólag egy CERT (számítógépes biztonsági incidensek kezelésével foglalkozó hivatalos szakértői csoport) nevében terjesztenek hamis üzeneteket. A mostani történetben az ukrán CERT nevével visszaélve a támadók arról próbálnak meggyőzni minket, hogy töltsük le a mellékelt "biztonsági szoftvert" saját védelmünk érdekében.
A csatolt "CERT_UA_protection_tool.zip" azonban egy rosszindulatú program, egy AGEWHEEZE nevű, távoli hozzáférést biztosító trójai alkalmazás, melynek segítségével észrevétlenül távolról vezérelhetik a fertőzött gépeket. A beszámolók szerint tömegesen küldtek ilyen üzeneteket állami szervezeteknek, egészségügyi központoknak, biztonsági cégeknek, oktatási intézményeknek, pénzintézeteknek és szoftverfejlesztő cégeknek, a kampány részeként 1 millió címzettnek.
Az igazi védekezés a megelőzés, sose kattintsunk kapkodva, legyünk résen a gyanús üzeneteknél, amelyek valami kedvezőt ígérnek vagy korlátozásokkal fenyegetnek, sürgetnek. A látszólagos feladó nem garancia semmire, persze a kamu feladói cím, a helyesírási hibák valóban árulkodóak lehetnek.
Ha nem értjük a szituációt, hagyatkozzunk a vírusvédelem felugró figyelmeztetésérem, semmiképpen ne kattintsunk kétes linkekre vagy csatolmányokra. Ha nagyon akarunk, utánanézhetünk utána a dolognak neten, illetve előzetesen tesztelhetjük az adott fájlt vagy a linket a virustotal weboldalon.
