¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

En el punto de mira

Под прицелом

  • añadir a favoritos
    Añadir a marcadores

Spam con luneta

Consultas: 920 Comentarios: 10 Ranking: 12

lunes 28 de septiembre de 2020

Nuestros expertos analizaron un ataque dirigido, supuestamente, de China, a los objetos de la infraestructura crítica rusa. Esperamos que haya consultado la noticia. Si no, consúltela y vuelva a estos materiales. Ahora nos gustaría prestar atención a algunos momentos importantes.

Para los delincuentes (o los funcionarios de alguna institución) no tiene sentido atacar a cada empleado de la empresa. El envío de spam o el escaneo total de equipos de la empresa lo notarán (lo esperamos) los servicios de seguridad. Por ejemplo, en nuestra solución de negocios Dr.Web Enterprise Security Suite hay funcionalidad de protección contra epidemias – el administrador recibe una notificación automática si en la red se producen muchos eventos similares maliciosos. Así que hay que dirigir bien el ataque. Pero ¿cómo hacerlo?

La investigación realizada permitió detectar que directamente antes del ataque se realizó una investigación con envíos de mensajes con imágenes. Se hacía para recopilar la información para detectar un destinatario «seguro» que en el futuro seguramente abrirá un mensaje de spam. Para detectar al empleado que abrirá el mensaje, al enviar mensajes a varios destinatarios en solicitudes de descarga de la imagen se usaban varias opciones de solicitud o los nombres de imágenes únicos. Si los malintencionados sabían quién recibió el mensaje, podían preparar el siguiente en función del cargo del atacado. Si no, tampoco está mal. Alguien abre estos mensajes, lo cual significa que es vulnerable.

De esta forma, los ciberdelincuentes pasaron a la segunda etapa del ataque ya sabiendo quién abrirá los mensajes. Tampoco era necesario enviar archivos maliciosos.

Y aquí surge un detalle importante. Si cada empleado en el momento trabajara protegido por los medios de protección corporativos, al recibir un mensaje malicioso la protección debería bloquearlo por alguna razón. Pero hoy día mucha gente trabaja a distancia y frecuentemente no están protegidos por soluciones corporativas. O no usan ningún antivirus. Si en el equipo del empleado no hay antivirus corporativo, los expertos responsables de la seguridad corporativa pueden no notar el ataque: no recibirán notificaciones.

¿Se puede detectar qué empleado trabaja a distancia?

Al consultar un archivo adjunto, se produce una solicitud HTTP al servidor donde el archivo está ubicado. En caso de consulta entrante, ambos hosts intercambian los datos sobre sí mismos, así mismo, las direcciones IP, por lo tanto — el cliente de correo añ consultar el archivo ccs o la imagen adjunta al mensaje enseguida transfiere la dirección IP del destinatario del mensaje.

Fuente

Vd. detectó la dirección IP y ahora puede usar la base gratuita http://www.maxmind.com/en/home para detectar la localización geográfica dirección IP indicada. La probabilidad de acertar es de unos 95-98%. Para IP rusos también se puede usar la base siguiente:
http://ipgeobase.ru/

Fuente

La solicitud HTTP también contendrá el encabezado del agente del usuario que proporciona la breve descripción de Su navegador y del sistema operativo.

Fuente

Es muy probable que no sea posible detectar la ubicación exacta, pero se entenderá qué región es. Y si es distinta de la dirección de Su empresa, es muy probable que Vd. trabaje de forma remota.

#antispam #seguridad_corporativa #vulnerabilidad #correo #spam #IIV #mensaje_de_estafa #supervisión_de_la_ubicación

El mundo de antivirus recomienda

  1. Desactive la descarga de las imágenes en Su cliente de correo. Por ejemplo, puede consultar la instrucción aquí.
  2. No abra mensajes de remitentes desconocidos.
  3. Use el antivirus corporativo.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios