Аналитики: Каждый третий сотрудник готов открыть вредоносное письмо

[Skyment]

ОЧЕНЬ рекомендую почитать!

Цитата:

Эксперты компании Positive Technologies представили интересную статистику, согласно которой каждый третий сотрудник предприятия готов открыть вредоносное электронное письмо, запустить находящийся в нем файл или перейти по содержащейся в письме ссылке.

Такие выводы аналитики сделали, проанализировав кибербезопасность 33 компаний, занимающихся финансами и промышленностью. Согласно условиям договора, заключенного с руководителями этих компаний, Positive Technologies выступала в качестве киберпреступников, имитируя их тактику.

По результатам исследования стало ясно: сотрудники компаний все еще далеки от ответственного подхода к кибербезопасности своего предприятия.

По словам специалистов Positive Technologies, каждый десятый сотрудник спокойно вводит свои учетные данные в поддельную форму на фишинговом ресурсе, который имитирует легитимный. А каждый седьмой служащий готов выложить злоумышленнику по телефону сведения о компании.

На днях интересный случай произошел с корпорацией Apple — сотрудник компании Цзичжун Чэнь был арестован ФБР по подозрению в краже конфиденциальной информации, связанной с проектом Titan. В рамках проекта Titan Apple разрабатывает беспилотный автомобиль.

Спецслужбы утверждают, что Цзичжун Чэнь планировал передать все похищенные секретные файлы прямому конкуренту Apple, который также занимается разработкой беспилотных автомобилей.

Отсюда: https://www.anti-malware.ru/news/2019-02-07-1447/28794

А разве нет программ которые проверяют ещё не открытые файлы и вложения с любым расширением?

Отправлено с моего MIX через Tapatalk

[Skyment]

Цитата:

Сообщение от La Piovra

А разве нет программ которые проверяют ещё не открытые файлы и вложения с любым расширением?

Есть.
И именно поэтому давно уже рассыльщики таких писем выкладывают либо ссылку на вредоносный скрипт, либо прикрепляют документ с таким скриптом ВНУТРИ. Соответственно антивирус и не может проверить такое вложение.

Наверное вопрос времени с программой, которая сама будет ходить по ссылкам в неоткрытых вложениях и оценивать их безопасность.

Отправлено с моего MIX через Tapatalk

[Skyment]

Цитата:

Сообщение от La Piovra

Наверное вопрос времени с программой, которая сама будет ходить по ссылкам в неоткрытых вложениях и оценивать их безопасность.

Да, и называется сия программа - "песочница"!... Реализована года три назад в коммерческом проекте "Group-IB", чуть позже у Касперского, Инфовотчь, Qiwi и т.д.

[sves]

Цитата:

Сообщение от Skyment

соответственно антивирус и не может проверить такое вложение.

Буквально пару дней назад приходит письмо с архивом и вредоносным скриптом внутри. Причём фонарно: просматриваю в браузере архив - вижу в нём исполняемый экзе-файл.
Отправляю письмо обратно отправителю - приходит уведомление о блокировке и что в письме - вирус.
Вопрос: а почему ко мне это письмо прошло?
зы. вдруг кому пригодится...

нажмите здесь для просмотра скрытого текста

Среда, 6 февраля 2019, 18:52 +10:00 от Валентина Суханова <kas@oaomce.ru>:
Фактический адрес отправителя: Валентина Суханова Natalya46@protonmail.com
Текст письма:
Высылаю закрывающие док-ы на среду.

Необходимо изучить и вернуть сканированную копию док-ов, подписанного вами, на этот эмейл.

[Максуд35]

Точняк песочница

[Skyment]

Цитата:

Сообщение от sves

Вопрос: а почему ко мне это письмо прошло?

Специализированная (ручная) рассылка по пакету.
Кстати, зря обратно отправил - можешь статью себе схлопотать! Адрес, на который Ты отправил то реальный. А вот получил Ты с ПОДМЕННОГО.
Тем более Ты то хоть смотрел КОМУ послал то?
ГУП - ОАО «Московские кадастровые инженеры» (ОАО «МКИ»). Единственным учредителем ОАО «МКИ» является Правительство Москвы в лице Департамента имущества города Москвы http://www.oaomce.ru/index.html

Т.ч. жди интереса со стороны "К" БСТМ Москвы...

[RX3QFY]

sves, говоря простым языком, тебе отправил незнакомец и ты сразу всполошился, а от тебя письмо идёт официально кому-то и твой адрес фигурирует в белом списке. Откроет ничего не ожидающий бух или экономист такое письмо и заразит не только свой комп/ноут, а и всю сеть. А потом шеф на ковёр вызовет и хорошо если просто без вазелина употребит, может случиться не только то, что сказал Skyment, а и затраты на восстановлении + моральные издержки заставит через суд покрыть.
Увидел такое письмо в ящике - аккуратненько (не заходя в него!) правой кнопкой мыши на нём - шасть! и, выбрав пункт "удалить", сразу в корзину. А потом и её почистить.
Кесарю кесарево, слесарю - слесарево: ты не бух или экономист и такие письма тебя не интересуют. Нужно будет, найдут адрес финансово-экономического отдела и продублируют туда. Сейчас не конец прошлого века, все реквизиты организаций можно найти.

Нет злого умысла, нет состава преступления.

Отправлено с моего MIX через Tapatalk

[RX3QFY]

Цитата:

Сообщение от La Piovra

Нет злого умысла, нет состава преступления.

Поверь, докопаются точно также, как при приобретении шпионских штучек: ручек, очков и пр. с видеокамерами. Не статья, но действия аналогичные.
Не знание закона.... ну, ты понял.
А вообще, нужно местному сисадмину в рыло насовать, что не провёл политбеседу на эту тему и не создал инструкцию по действиям в таких случаях. Эта хрень началась около трёх лет назад, пора бы быть в курсе.

Цитата:

Сообщение от RX3QFY

Кесарю кесарево, слесарю - слесарево: ты не бух или экономист и такие письма тебя не интересуют. Нужно будет, найдут адрес финансово-экономического отдела и продублируют туда. Сейчас не конец прошлого века, все реквизиты организаций можно найти.

...дело если суда коснется, и обстоятельства своевременного уведомления по эл.почте будут существенными, то не важно на какой эл.адрес организации было оно выслано.

Отправлено с моего MIX через Tapatalk

---------- Ответ добавлен в 09:37 ----------Предыдущий ответ был в 09:35 ----------

Цитата:

Сообщение от RX3QFY

Поверь, докопаются точно также, как при приобретении шпионских штучек: ручек, очков и пр. с видеокамерами. Не статья, но действия аналогичные.

Тогда все у кого есть член, потенциальные насильники.

Отправлено с моего MIX через Tapatalk

---------- Ответ добавлен в 09:40 ----------Предыдущий ответ был в 09:37 ----------

Цитата:

Сообщение от RX3QFY

А вообще, нужно местному сисадмину в рыло насовать, что не провёл политбеседу на эту тему и не создал инструкцию по действиям в таких случаях. Эта хрень началась около трёх лет назад, пора бы быть в курсе.

Сисадминов и так все ненавидят и смотрят на них как на говно. Ну от них так и пахнет примерно.


Отправлено с моего MIX через Tapatalk

[RX3QFY]

Цитата:

Сообщение от La Piovra

...дело если суда коснется, и обстоятельства своевременного уведомления по эл.почте будут существенными, то не важно на какой эл.адрес организации было оно выслано.

Ты не о том. Я говорю, что если тебе такое письмо пришло - сразу в корзину.

Цитата:

Тогда все у кого есть член, потенциальные насильники.

Посмотри статистику по возбуждению дел за спецсредства. Удивишься.

Цитата:

Сисадминов и так все ненавидят и смотрят на них как на говно.

Ага-ага, только когда жареный петух в темечко клюнет бегут почему-то к этому "говну" с криками "Ой, всё!" и "Помоги, благодетель, а то шеф премии лишит"

Цитата:

Ну от них так и пахнет примерно.

От бухого "Спрута" пахнет не лучше
Сисадмина может обидеть каждый... кто не понимает, чем это ему грозит.

Цитата:

Сообщение от RX3QFY

Ты не о том. Я говорю, что если тебе такое письмо пришло - сразу в корзину.

А я говорю что будет разбор, поднимут всю почту, т.к. она вся бэкапится, в т.ч. и удаленная, и предъявят, почему не переслал по назначению.

Отправлено с моего MIX через Tapatalk

[sves]

Цитата:

Сообщение от Skyment

Ты то хоть смотрел КОМУ послал то?

Конечно.
Я отправил по тому адресу с которого это письмо пришло.

Цитата:

Сообщение от sves

Фактический адрес отправителя: Валентина Суханова Natalya46@protonmail.com

Почтовый ящик Natalya46@protonmail.com зарегистрирован на этом сайте protonmail.com.
Второй момент, который меня заинтересовал - как они обошли систему вирусной защиты на майле. Про это, собственно, ответ мне дали.

Цитата:

Сообщение от Skyment

Специализированная (ручная) рассылка по пакету.

Моё-же письмо к ним было заблокировано.

Цитата:

Ваше письмо не может быть доставлено
одному или нескольким получателям:
Natalya46@protonmail.com

Что касается

Цитата:

Сообщение от RX3QFY

Увидел такое письмо в ящике - аккуратненько (не заходя в него!) правой кнопкой мыши на нём - шасть! и, выбрав пункт "удалить", сразу в корзину. А потом и её почистить.

тоже не совсем правильно. Правильно сначала заархивировать присланный файл и отправить это письмо в лабораторию Касперского (ну, я на этом антивирусе) с пометкой "вирус".
Это что-бы там проверили код по своим базам и, если нужно, добавили.
Что-бы другие пользователи меньше пострадали.
А уж только потом удалить и почистить.

Цитата:

Сообщение от RX3QFY

От бухого "Спрута" пахнет не лучше

Ты лично нюхал?

Отправлено с моего MIX через Tapatalk

---------- Ответ добавлен в 10:02 ----------Предыдущий ответ был в 10:00 ----------

Цитата:

Сообщение от RX3QFY

Посмотри статистику по возбуждению дел за спецсредства. Удивишься.

Значит это было кому то нужно в тот момент.

Отправлено с моего MIX через Tapatalk

---------- Ответ добавлен в 10:04 ----------Предыдущий ответ был в 10:02 ----------

Цитата:

Сообщение от RX3QFY

Ага-ага, только когда жареный петух в темечко клюнет бегут почему-то к этому "говну" с криками "Ой, всё!" и "Помоги, благодетель, а то шеф премии лишит"

Сисадмин конечно птица гордая и т.д. к нему некто не бежит, а его вызывают...и премию компенсирует из своей немалой з/п

Отправлено с моего MIX через Tapatalk

[RX3QFY]

Цитата:

Сообщение от sves

Что касается тоже не совсем правильно. Правильно сначала заархивировать присланный файл и отправить это письмо в лабораторию Касперского (ну, я на этом антивирусе) с пометкой "вирус".
Это что-бы там проверили код по своим базам и, если нужно, добавили.
Что-бы другие пользователи меньше пострадали.
А уж только потом удалить и почистить.

Начнём с того, что ты сам являешься сисадмином или лицом его заменяющим? Тебе знакомы азы работы с инфицированными файлами? Принцип работы вредоносных скриптов знаешь?
Сисадмин не лезет в следаки или прокуроры, а ты не лезь в его вотчину - оборудование и данные целее будут.

Последние модификации шифровальщиков (а это именно его тебе прислали) позволяют распространяться по компьютерной сети и шифровать вордовские, экселевские файлы, картинки, базы данных 1С (файл-серверный вариант), файлы outlook/outlook express и ещё несколько приложений. Гарантии восстановления нет. Рекламные и ультимативные письма, типа "пришлите бабла, мы сообщим код дешифрования..." зачастую просто вымогательство денег.

Чем больше компьютеров в общей локальной сети, тем выше вероятность возможного заражения. В таких конторах штатный сисадмин не должен бухать на пару со "Спрутом", а потом рыгать не пойми чем, он должен как второй шеф в конторе обходить каждую неделю пользователей и как дятел проходиться по башке - "удаляй всю неизвестную хню с почты! удаляй! удаляй... Чуть что - сразу зови меня..."

Ну, и естественно, что должен существовать журнал инструкций, где ты расписался, что ознакомлен с правилами работы с сомнительными письмами, файлами и т.д. и т.п.

---------- Ответ добавлен в 10:18 ----------Предыдущий ответ был в 10:11 ----------

Цитата:

Сообщение от La Piovra

Ты лично нюхал?

А ты?

Цитата:

Значит это было кому то нужно в тот момент.

Оно и сейчас нужно.

Цитата:

Сисадмин конечно птица гордая и т.д. к нему некто не бежит, а его вызывают...и премию компенсирует из своей немалой з/п

1. Сисадмин никому ничего не компенсирует.
2. Сисадмин делит юзеров на адекватных и чайников.
3. Когда в конторе начинается белый пушной зверёк из-за действий вот таких доброхотов, отправляющих или вскрывающих сомнительные письма, в тот момент именно он становится большим боссом и только от него зависит, получит ли контора премию в этом месяце/квартале/полугодии или будет всеобщий зверёк.

Знал бы сисадмин кем его считают и как делят сотрудников его департамента.

Отправлено с моего MIX через Tapatalk

---------- Ответ добавлен в 10:27 ----------Предыдущий ответ был в 10:20 ----------

Цитата:

Сообщение от RX3QFY

он должен как второй шеф

Т.е. всё-таки должен что-то?!

Какой он шеф))) черти забитые из коптерки.

Отправлено с моего MIX через Tapatalk

[Skyment]

Цитата:

Сообщение от sves

Моё-же письмо к ним было заблокировано.

А этот ящик для ВСЕХ входящих заблокирован. Точнее для внешних подключений он, как пишет 2ip:

Цитата:

e-mail
не существует

Скорее всего виртуализированный...

Цитата:

Сообщение от RX3QFY

В таких конторах штатный сисадмин не должен бухать на пару со "Спрутом", а потом рыгать не пойми чем


(... ) Чуть что - сразу зови меня..."

Свечку держал что ли когда бухали или отрыжку пробывал?!

Я даже не успеваю запомнить как их зовут. У всех именная эл.почта, а у них безликая, типа admin@, admin1@, admin2@...под ней кто угодно может быть.


т.e. всё-таки сисадмина зовут, а не бегают за ним???


Отправлено с моего MIX через Tapatalk