У злоумышленников есть ряд приемов, как заставить сотрудника скачать архив с вредоносом и обойти автоматическую проверку вложений. Разберем один из сложных трюков, а также способы борьбы с ним.
«Пароль от архива отправили вам в мессенджере»
Прием состоит из двух ключевых шагов:
Шаг 1. Замаскировать вредоносное ПО, чтобы средство защиты не обнаружило угрозу
Атакующие отправляют зашифрованный архив как вложение в письме, а пароль «прячут» разными методами:
- Пишут в соседних письмах или названии файла. В таком случае только продвинутые решения смогут найти пароль и проверить файл.
- Отправляют код в мессенджере, в SMS на номер получателя или пишут иносказательно: «пароль — нынешний год». При таком сценарии автоматическая расшифровка архива невозможна.
Если инструмент защиты не находит пароль, то опасное письмо может попасть во «Входящие». Остается последний рубеж до начала атаки — человек.
Шаг 2. Обмануть получателя
Злоумышленники называют вложение так, чтобы не вызвать подозрений: «Коммерческое предложение», «Акт сверки». В само письмо добавляют фразы, объясняющие необходимость ввести пароль: «В архиве хранится конфиденциальная информация!». Для создания реалистичных сообщений атакующие анализируют соцсети сотрудников и данные утечек.
Что происходит дальше?
Сотрудник скачивает вложение и вводит пароль, в результате рабочий компьютер заражен. Киберпреступники получают доступ к инфраструктуре и возможность развить атаку: зашифровать все файлы компании, остановить работу, потребовать выкуп и слить в сеть данные сотрудников и клиентов.
Последствия для бизнеса: миллионные потери, удар по репутации, штрафы за утечку данных.
Как защититься?
Один из элементов безопасной почты — обучение команды базовым правилам, в том числе не открывать зашифрованные архивы от незнакомых отправителей.
Обучающий материал для всех сотрудников: как распознать опасное письмо →
Но это не гарантия безопасности, потому что злоумышленники постоянно совершенствуют методы обмана.
Усилить защиту помогает механизм для безопасной проверки вложений независимо от того, где оказался пароль. Такой функционал теперь есть в F6 Managed XDR — решении для защиты бизнеса от кибератак. Оно отслеживает угрозы на рабочих устройствах, проверяет письма и опасные файлы, анализирует трафик, изолирует зараженные хосты.
С F6 Managed XDR архив будет проверен даже в случае, если не удалось найти пароль в письмах и соседних вложениях.
Как это работает:
1. Если не удалось расшифровать вложение автоматически, то оно заменяется на ссылку в письме.
2. Получатель по ссылке переходит на портал, где он может ввести пароль, полученный любым способом.
3. Файл временно расшифровывается и передается в MDP (решение класса Sandbox) для поведенческого анализа.
4. Вредоносное ПО будет обнаружено и заблокировано.
Как F6 Managed XDR помогает решать ИБ-задачи
Экосистема не просто защищает от сложных методов атаки, а позволяет освободить ИБ-команду от рутины и оптимизировать процессы.
Оцените новый уровень защиты с F6 Managed XDR
Оставьте заявку на сайте для консультации — ответим на интересующие вопросы и обсудим бесплатный пилот.
Листая дальше, вы перейдете на сайт F6 — узнайте, как защитить бизнес от сложных атак!