Что такое файл спам
Слово «спам» знает сегодня любой пользователь интернета. Причем не только знает, но и частенько видит его в своем электронном ящике. Но далеко не каждый знает, что само слово «спам» когда-то никак не ассоциировалось ни с интернетом, ни с электронными письмами.
Спам — это акроним, сложносокращенное слово. Образовалось оно от усеченного «spiced ham» — «ветчина со специями», «колбаса с перчиком», «перчёная ветчина». Поэтому прямым переводом английского «spam» можно считать нечто вроде «спетчина» — «специи» плюс «ветчина».
История этой «ветчины» такова: в 1937 году американская фирма «Hormel Foods» выпустила колбасный фарш из скопившегося на фабрике «неликвидного» мяса третьей свежести. Малоаппетитный продукт американцы не стали покупать, поэтому хозяин корпорации мистер Хормель развернул масштабную маркетинговую кампанию, широко разрекламировал свой продукт и начал поставлять свои консервы в военные ведомства и флот.
В 1937 году «Hormel Foods» накормила американские и союзнические войска своей продукцией. Даже в послевоенной Англии, среди экономического кризиса, спам был основным продуктом питания англичан. «Розовые кусочки мяса», описываемые Оруэллом в «1984» — это и был спам 1948 года. Так слово приобрело значение чего-то отвратительного, но неизбежного.
Термин «спам» в новом значении (навязчивой электронной рассылки, почтового мусора) появился в 1993 году.
Можно также отметить одну из самых ранних массовых «спам-рассылок»: в апреле 1994 года юридическая контора Canter&Siegel наняла программиста, написавшего нехитрую программку, и раместила рекламу сомнительных услуг конторы на всей конференции все той же сети Usenet.
Сегодня термин «спам» (так же как и различные его производные — «спамить», «спамер» и проч.) полностью переориентировался на электронную почту и вошел в широкое употребление, несмотря на то, что колбасные изделия Хормеля с этим названием выпускаются в США до сих пор.
Виды вредоносных вложений
UCE и UBE
Прежде, чем давать наше определение термина «спам», следует сказать несколько слов о спаме вообще и о том, как именно его понимают в других странах.
3. Файлы PDF
Если про опасность макросов в документах Microsoft Office многие уже знают, то от файлов PDF подвоха часто не ожидают. Тем не менее, в них тоже можно спрятать вредоносный код: формат позволяет создавать и выполнять скрипты JavaScript.
Кроме того, злоумышленники любят прятать в PDF-документах фишинговые ссылки. Так, в одной из спам-кампаний мошенники убеждали пользователей перейти на страницу «защищенного просмотра», на которой просили авторизоваться в аккаунт на American Express. Само собой, учетные данные после этого отправлялись мошенникам.
1. ZIP- и RAR-архивы
Киберпреступники очень любят прятать зловредов в архивы. Например, ZIP-файлы с интригующим названием «Люблю_тебя0891» (число могло быть и другим) использовали злоумышленники для распространения шифровальщика GandCrab накануне Дня святого Валентина. Другие мошенники, попавшие в поле зрения экспертов на пару недель позже, рассылали архивы с трояном Qbot, специализирующемся на краже данных.
Еще в этом году обнаружилась интересная особенность WinRAR: оказалось, что при создании архива можно задать такие правила, что при распаковке содержимое попадет в системную папку. В частности, можно распаковать это содержимое в папку автозапуска Windows — и этот «подарочек» автоматически запустится при следующей перезагрузке. По этому поводу рекомендуем вам обновить WinRAR, если вы им пользуетесь.
Что такое спам-рассылки и прекратить их получать
Рассылка спама с вредоносными вложениями — довольно популярный способ распространения малвари и заражения компьютеров пользователей в интернете. По данным разных антивирусных компаний, доля писем с вредоносными вложениями составляет от 3 до 5 процентов от общего объема спам‑трафика, то есть как минимум каждое тридцатое письмо в потоке спам‑рассылок несет в себе вредоносный сюрприз.
Топ-10 вредоносных программ, распространяемых по электронной почте в третьем квартале 2014 года
Несмотря на то что Россия (сюрприз!) не входит в число лидеров по числу заражений компьютеров таким способом (тройку лидеров традиционно составляют США, Германия и Англия), мы считаем, будет нелишним узнать о том, что заставляет многих пользователей в разных уголках планеты щелкать указателем мыши на вложениях в письмах от незнакомых отправителей. Поехали!
Вложение в виде исполняемого файла
Несмотря на то что большинство почтовых серверов уже давно не пропускают через себя исполняемые файлы, такой тип вредоносных вложений еще иногда встречается. Как правило, такой файл маскируется под какой‑нибудь безобидный документ (doc или PDF) или картинку.
При этом в файл прописывается соответствующая иконка, а сам файл именуется, к примеру, «накладная.pdf.exe» (при этом расширение exe очень часто отделяется от имени файла большим количеством пробелов, чтобы его не было сильно видно).
Гиперссылки в тексте письма
В таких письмах вложения, как правило, отсутствуют, а сам текст письма содержит несколько ссылок, ведущих на один и тот же ресурс, на котором либо лежит связка эксплойтов, либо производится редирект на другой вредоносный ресурс. Все эти ссылки маскируются под ссылки на приличные и безопасные сайты либо под простой текст.
Заключение
Несмотря ни на что, спам‑рассылки по‑прежнему остаются очень эффективным способом распространения вредоносного кода. И можно предположить, что по мере сокращения количества уязвимостей в софте и в железе этот способ будет использоваться все чаще и чаще, приобретая все более изощренные формы, чтобы проэксплуатировать самую главную уязвимость любой информационной системы — ее пользователя.
Вложение в виде документа с эксплойтом или вредоносным VBA-скриптом
Такое письмо сможет преодолеть запрет на пересылку исполняемых файлов, а во многих случаях и антивирусную проверку на почтовых серверах (особенно если эксплойт свежий).
Наиболее часто используются уязвимости для Adobe Acrobat reader (CVE-2013-0640,
CVE-2012-0775), Adobe flash player (CVE-2012-1535) или MS Office (CVE-2012-0158,
CVE-2011-1269, CVE-2010-3333, CVE-2009-3129).
Помимо эксплойтов, в качестве вредоносных вложений могут использоваться документы MS Office с вредоносными макросами на VBA (да‑да, встречаются еще люди, у которых выполнение макросов в Word’е не запрещено, да и антивирусы далеко не всегда реагируют на такие скрипты).
Текст письма и оформление
Для придания правдоподобности своим письмам злоумышленники очень активно используют логотипы компаний, под именем которых они работают, контактные данные, ссылки на официальный сайт компании и прочую информацию.
Чтобы не только убедить получателя в правдивости письма, но и подтолкнуть его открыть вложение, могут использоваться уведомления об ошибках при доставке отправлений (неправильный адрес получателя, отсутствие получателя и подобное), просьбы совершить какие‑либо действия с указанием возможных санкций в случае их невыполнения или фразы с указанием того, что находится во вложении (например, «акт сверки», «транспортная накладная» или «счет на оплату»).
Помимо этого, очень часто в ход идут различные типовые словосочетания, характерные для официальных рассылок (что‑нибудь вроде please do not reply to this email или this is automatically generated email).
В почте установлен спам-фильтр
Если вас взламывали, злоумышленники могли создать фильтр, помещающий все письма в спам. Проверьте правила фильтрации в почте:
Перейдите «Настройки почты» → «Правила фильтрации».
Наведите курсор мыши на любой фильтр и нажмите , чтобы посмотреть условия фильтрации.
Такой фильтр будет помещать в «Спам» или «Корзину» письма от всех отправителей, кроме одного из поля «не содержит».
Примерно так выглядит спамерский фильтр. Обратите внимание на правила фильтрации: для «Если» установлен параметр «От:» и условие «не содержит». В поле указан подозрительный и незнакомый адрес. Для «То» установлен параметр «Поместить письмо в папку» и выбран «Спам».
Если нашли такой фильтр, удалите его:
Вернитесь в «Правила фильтрации».
Наведите курсор мыши на фильтр и нажмите .
Проверьте все фильтры таким образом.
Злое письмо
Что делать при получении спам-рассылки
2. Не переходите по ссылкам.
3. Не разглашайте личную информацию.
4. Прейдите напрямую на сайт организации.
5. Сообщите о мошенничестве.
- В США можно подать жалобу в Федеральную торговую комиссию.
- В Великобритании можно подать жалобу в Управление Комиссара по информации.
- В Австралии можно подать жалобу в Управление по связи и средствам массовой информации Австралии.
Существует два простых способа перестать получать спам-рассылки: блокировка номеров и использование спам-фильтров на мобильном устройстве.
Тема письма (поле Subject)
Тема письма должна привлекать внимание получателя и побуждать его открыть письмо. Естественно, она должна соответствовать роду деятельности конторы, от имени которой письмо отправлено.
Если рассылка ведется, к примеру, от имени службы доставки, то наиболее популярными темами писем будут:
- все, что связано с отправкой, отслеживанием или доставкой отправлений (уведомления об отправке, статус доставки, подтверждение отправки, документы об отправке, информация о доставке);
- информация о заказе и счет на оплату;
- уведомления о сообщениях и аккаунтах (создание и подтверждение аккаунта, получение новых сообщений).
Для нашей страны более характерны рассылки от имени разных государственных органов, и в этом случае злоумышленники выбирают соответствующие темы, например «Судебное постановление» (от имени федеральной службы судебных приставов) или «Квитанция на оплату штрафа за нарушение ПДД» (от чьего имени шлют письма с такой темой, я думаю, ты догадался).
Письмо от «судебных приставов»
Блокировка номеров
- На Android откройте приложение Телефон, нажмите на три точки в правом верхнем углу и выберите пункт «Настройки».
- Нажмите «Блокировка номеров».
- Существует несколько вариантов блокировки: блокировка неизвестных абонентов, недавних вызовов и абонентов из списка контактов.
- Выберите или вручную укажите номер, который требуется заблокировать.
Что такое автоматические рассылки?
Вот несколько типичных примеров:
Результатом другого типа SMS-спама может стать установка на ваш телефон вредоносных программ, которые будут красть личные данные без вашего ведома.
Основное правило при выявлении любого вида мошенничества, онлайн или офлайн: если что-то звучит слишком хорошо, чтобы быть правдой, скорее всего, это обман.
Вложения с запароленным архивом
Запароленный архив позволяет обойти все антивирусные проверки на почтовых серверах, межсетевые экраны и сканеры безопасности. Сам вредоносный файл, как и в первом случае, маскируется под что‑нибудь безобидное.
Самое главное в этом случае — побудить получателя письма ввести указанный в письме пароль, разархивировать вложение и открыть его.
А ты поверил, что в этом письме лежит «акт сверки»? 🙂 А вдруг и правда денег дадут?
Что такое спам-рассылки?
UCE и UBE
Прежде, чем давать наше определение термина «спам», следует сказать несколько слов о спаме вообще и о том, как именно его понимают в других странах.
Вложенные HTML-документы
К письму прикладывается HTML-документ с кодом, реализующим drive-by атаку. Этот способ позволяет во многих случаях обойти антивирусные фильтры почтовых серверов, а также запреты, блокирующие переходы через iframe.
Пример кода вредоносного HTML-вложения под видом электронного авиабилета в письме якобы от British Airways
Почему мне приходят спам-рассылки?
- При использовании технологии автоматической генерации номеров, автоматические звонки и автоматические рассылки получают даже владельцы абсолютно новых номеров.
- Сайты социальных сетей продают данные. Популярные известные платформы социальных сетей отслеживают онлайн-активность пользователей и передают информацию рекламодателям. Если вы разместите свой номер телефона в социальных сетях, велика вероятность, что он попадет в маркетинговые базы данных.
- Существует множество причин указывать свой номер телефона в интернете: при заполнении онлайн-форм, участии в конкурсах и программах лояльности, и прочее. Каждый раз при указании номера мобильного телефона в интернете, есть вероятность, что он попадет к посторонним лицам.
- В США вы могли звонить по номерам 800, 888 или 900. При звонках на номера с этими префиксами, номер мобильного телефона сохраняется системой автоматической идентификации номеров (ANI). Помимо определения и сохранения номера, система ANI может сопоставлять его с другими цифровыми данными звонившего абонента.
Как себя вести с потенциально опасными вложениями
Само собой, отправлять в спам все письма с вложенными архивами или файлами в формате DOCX или PDF — слишком радикальный метод защиты. Чтобы не попасться на удочку мошенников, достаточно помнить несколько простых правил.
4. Образы дисков ISO и IMG
Файлы ISO и IMG по сравнению с предыдущими типами вложений используются не очень часто, но в последнее время злоумышленники все больше обращают на них внимание. Такие файлы — образы диска — представляют собой фактически виртуальную копию CD, DVD или других дисков.
С помощью подобных вложений злоумышленники доставляли жертвам, например, троян Agent Tesla, специализирующийся на краже учетных данных. Внутри образа диска находился вредоносный исполняемый файл, который запускался при открытии и устанавливал на устройство шпионскую программу. Любопытно, что в некоторых случаях преступники использовали, видимо, для верности, сразу два вложения — ISO и DOC.
Определение спама
Согласно определению «Лаборатории Касперского», спам — это анонимная массовая непрошенная рассылка.
В этом определении важно каждое включенное в него слово.
Анонимная: все страдают, в основном, именно от автоматических рассылок со скрытым или фальсифицированным обратным адресом.
Массовая: эти рассылки именно массовые, и только они являются настоящим бизнесом для спаммеров и настоящей проблемой для пользователей.
Непрошенная: очевидно, подписные рассылки и конференции не должны подпадать под наше определение (хотя условие анонимности и так в значительной мере это гарантирует).
В определение спама часто включают слова «рекламная» или «коммерческое предложение». Это не совсем верно.
В определение спама часто включают слова «рекламная» или «коммерческое предложение». Это не совсем верно — значительная часть спама не преследует рекламных или коммерческих целей. Есть рассылки политического спама, есть «благотворительные» спамерские письма, есть мошеннические («нигерийские», фишинговые), «цепочечные письма» — письма с просьбой переслать знакомым (страшилки, «письма счастья»), вирусные и прочие, не являющиеся коммерческим предприятием.
Таким образом, все незапрошенные предложения, попавшие в ящик, мы делим на:
- спам, имеющий все признаки анонимной массовой рассылки,
- целевые коммерческие предложения.
Первые нужно фильтровать и иногда сразу удалять — согласно политике компании. Вторые также возможно фильтровать, но с ними нужно обращаться более осторожно.
Вы могли сделать это случайно, но все новые письма от отправителя все равно будут уходить в спам. Откройте письмо и нажмите «Не спам». Теперь письма от этого отправителя будут приходить во входящие.
Рекомендации по защите от спама
Без необходимости не сообщайте номер мобильного телефона в интернете.
Не публикуйте номер мобильного телефона в открытом доступе.
Например, не указывайте номер мобильного телефона в своих профилях социальных сетей, таких как Facebook, Twitter или где-либо еще.
Следите за состоянием счета мобильного телефона.
Регулярно просматривайте счет за мобильный телефон. Если вы видите какие-либо странные начисления, обратитесь к оператору связи, чтобы уточнить, возможно, вы получаете или неосознанно рассылаете спам со своего телефона.
Выясните, есть ли у вашего оператора связи функция блокировки вызовов
Многие крупные операторы связи предлагают услуги блокировки вызовов с неизвестных номеров на определенный период. Некоторые сторонние приложения, например, Nomorobo, Robokiller, Truecaller, TrapCall и другие, позволяют блокировать спам-рассылки. Однако использование этих приложений предполагает обмен данными.
Поместите свой номер в реестр «Не звонить».
Используйте антивирусную защиту для телефонов.
Статьи по теме:
2. Документы Microsoft Office
Также среди киберпреступников популярны файлы Microsoft Office, особенно документы Word (.doc, .docx), электронные таблицы Excel (.xls, .xlsx, .xlsm), а также презентации и шаблоны. Эти файлы могут содержать встроенные макросы — небольшие программы, которые выполняются прямо внутри файла. Злоумышленники использовали их, например, как скрипты для скачки зловредов.
Отправитель нарушает правила рассылок
Иногда письма от обычных отправителей попадают в спам, потому что они ведут рассылку с личного ящика, купили базу адресов или нарушили какое-то другое правило рассылок. В этом случае у отправителя ухудшается репутация, и мы помещаем его письма в спам.
Если хотите, чтобы письма от этого отправителя приходили во входящие, нажмите «Не спам». Также посоветуйте ему соблюдать правила рассылок, если есть возможность связаться.
Адрес отправителя (поле From)
Первое, о чем следует позаботиться злоумышленнику, рассылающему вредоносный спам, — от чьего лица будет вестись рассылка. Послания от имени частных лиц (если не брать в расчет рассылку с взломанного почтового аккаунта по адресной книге) в этом деле не очень эффективны, поэтому в ход идут различные компании, организации и даже некоторые органы судебной или исполнительной власти.
В последнее время особенной популярностью пользуются международные службы доставки (DHL, FedEx, United Parcel Service (UPS) или TNT). Если помнишь, именно так, под видом отчета о доставке от FedEx или UPS, распространялся Cryptolocker.
Проблему с адресом отправителя в поле From: (От:) злодеи решают несколькими способами:
Что-то пошло не так
К сожалению, иногда антиспам-система может поместить в спам обычное письмо. Если вы обнаружили такое — просто нажмите «Не спам». Наши фильтры перестроятся и больше не будут отправлять письма от этого отправителя в спам.
Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.
Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.
Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.
У распространителей вирусов есть форматы-«любимчики». Рассказываем, в каких файлах вредоносные программы чаще всего скрываются в этом году.
Читайте также: