W coraz bardziej wymyślny sposób cyberprzestępcy polują na naiwnych w sieci. Często próbują wzbudzić niepokój i skłonić ofiary do podjęcia pochopnych działań. Ostatnio „na topie” jest przesyłanie fałszywych e-maili z informacją o rzekomej, zaległej fakturze. Jest też załącznik do „szczegółów płatności”. Jaki jest pierwszy odruch? Trzeba kliknąć i sprawdzić o co chodzi. W ten sposób wpada się w sidła oszustów - ostrzegają zajmujący się cyberprzestępczością eksperci firmy CyberRescue, którzy pokazują screen fałszywego maila.

„Nośnik” dla trojanów, ransomware, spyware lub innych wirusów

Wiadomość zawiera załącznik. Po jego pobraniu, rozpakowaniu i uruchomieniu, na urządzeniu zostanie aktywowany złośliwy kod, który będzie działał w tle. Jeżeli urządzenie pozostanie podłączone do sieci, program przestępców – dropper, będzie pobierał kolejne wirusy, co stanowi poważne niebezpieczeństwo dla komputerów z systemem Windows oraz danych.

Jak wyjaśniaja specjaliści, dropper to rodzaj złośliwego oprogramowania, którego głównym celem jest dostarczenie innego, szkodliwego programu na zainfekowane urządzenie. Najczęściej on sam nie wyrządza bezpośrednich szkód, ale działa jako swego rodzaju „nośnik” dla trojanów, ransomware, spyware lub innych wirusów.

Jak się przed tym chronić?

Nie ufaj e-mailom z wezwaniami do pilnej płatności. Jeśli masz wątpliwości, skontaktuj się bezpośrednio z firmą, od której rzekomo pochodzi wiadomość. Nie otwieraj załączników i nie klikaj w linki od nieznanych nadawców – radzą eksperci CyberRescue.

Co zrobić, jeśli podejrzany załącznik został otwarty? W takiej sytuacji urządzenie należy natychmiast odłączyć od sieci. To wykluczy możliwość przesyłania danych i ściągania złośliwych programów – wskazują specjaliści.

Trzy tysiące maili w godzinę

Z kolei zespół analityków Sophos X-Ops zwraca uwagę na stosowane przez cyberorzestępców nowe taktyki ransomware. Oszuści coraz częściej uciekają się do tak zwanego email bombing, czyli zalewania skrzynki elektronicznej ofiary wiadomościami, które sprawiają wrażenie przypadkowych. W niektórych badanych przez analityków przypadkach użytkownicy otrzymywali nawet trzy tysiące spamowych maili w godzinę.

Po co to wszystko? Chodzi o przeciążenie skrzynek pocztowych i wywołanie wrażenia pilności. W kolejnym kroku przestępcy wysyłają do użytkownika wiadomość przez komunikator Microsoft Teams i – podszywając się n przykład pod wewnętrzny dział IT - Proszą o rozmowę, żeby rozwiązać problemów ze spamem.

– Email bombing i oszustwa przez aplikację Teams są skuteczne, bo bazują na socjotechnikach, wykorzystują dezorientację i presję czasu, co prowadzi do uśpienia czujności ofiary - tłumaczy Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.– - Przestępcy doskonale wiedzą, że wiele osób działa w pośpiechu i w natłoku codziennych obowiązków użytkownicy łatwiej uwierzą w autentyczność rozmowy. Jak można się przed tym chronić? Oczywiście podstawą jest zachowanie ostrożności: weryfikowanie autentyczności nadawcy wiadomości innym kanałem, np. telefonicznie, nieklikanie w podejrzane linki oraz niepodawanie poufnych informacji przez czat czy połączenia głosowe – radzi Chester Wisniewski.

„Vishing” przez komunikator Teams

Atakujący wykorzystują domyślną konfigurację Microsoft Teams, która pozwala użytkownikom z zewnętrznych domen na inicjowanie czatów, połączeń głosowych i spotkań wideo z pracownikami. Podają się np. za dział „pomocy technicznej”, stosując tzw. vishing – oszustwo polegające na podszywaniu się pod inne osoby podczas rozmów prowadzonych za pośrednictwem komunikatorów. Cyberprzestępcy nakłaniają ofiarę do zainstalowania narzędzia Quick Assist (Szybka pomoc) i udzielenia dostępu do zdalnego sterowania urządzeniem. Po przejęciu kontroli wykorzystują przeglądarkę internetową do pobrania złośliwego oprogramowania. Pod presją czasu użytkownik może nie zauważyć, że ma do czynienia z oszustwem.

Trzeba zachować czujność

– Jeśli nie jest to konieczne w codziennej pracy, firmy mogą ograniczyć w aplikacji Teams połączenia z zewnętrznych domen lub zezwolić na nie tylko zaufanym partnerom biznesowym. Możliwość instalowania przez pracowników aplikacji zdalnego dostępu takich jak Quick Assist również powinna być ograniczona oraz nadzorowana przez zespół IT firmy – wskazuje Chester Wisniewski.

Każda nietypowa aktywność czy zachowanie współpracownika powinno wzbudzić czujność. Firmy powinny też aktywnie edukować wszystkich swoich pracowników z zakresu cyberzagrożeń, metod stosowanych przez przestępców i skutecznej ochrony przed nimi – im więcej użytkownicy wiedzą, tym trudniej ich oszukać. Każda osoba z zespołu powinna też wiedzieć jak reagować na incydenty i do kogo się zgłosić, aby móc odpowiednio szybko podjąć interwencję.