Hur identifierar man ett mejl som är infekterat med ett virus?

av Olivia Morelli - -

Skräppost och nätfiske är de mest effektiva metoderna som nätkriminella använder för sin bedrägeriverksamhet. Då människan blir mer och mer beroende av teknologi och särskilt Internet, kan vi notera hur nätkriminella förenar sig i organiserad brottslighet och arbetar hårt för att utveckla skadliga projekt för att bedra aningslösa användare på pengar. I själva verket tror vissa experter att oorganiserad brottslighet knappt existerar längre.

Medan många tror att de nätkriminella utgörs av de allra skickligaste hackarna som vet hur man använder kod för att bryta sig igenom säkerhetssystem och till och med fjärrstyr och kontrollerar användares datorer, ser verkligheten ganska annorlunda ut.

I de flesta fall är dessa nätkriminella bara skickliga bedragare som använder social ingenjörskonst för att lura användare till att installera sabotageprogram på sina datorer. Användningen av skräppost och nätfiske för att sprida virus är det tydligaste beviset på detta och kan faktiskt definieras som en logisk utveckling av nätkriminaliteten.

I själva verket finns det ingen poäng med att spendera timmar på att planera avancerade virusattacker när det enda som krävs för att hacka ett datornätverk är att övertala en enda naiv anställd att öppna en e-postbilaga som ser ut som någons CV. Sådana här metoder har visat sig vara mycket effektiva och de har snabbat på spridningen av virus i betydlig skala.

Ett exempel på detta är att 93 % av nätfiskemejlen det första kvartalet 2017 innehöll ransomware; 2017 är därför känt som det stora ransomware-året. Det finns mycket som tyder på att omfattningen av skräppost och nätfiske kommer att bli än större under 2018. 

Exempel på skadlig skräppost

Virusinfekterade mejl är hittils det mest effektiva attackvapnet. Spammare är snabba med att utnyttja pågående evenemang (sportevenemang, reor, skattesäsonger etc) och skickar då ut hundratusentals tematiserade mejl, även om vissa bedrägerier pågår året runt. Nedan ser du exempel på nätfiskemejl som typiskt sett används för att sprida sabotageprogram. Vi hoppas att dessa exempel kan hjälpa dig med att identifiera nätfiskemejl i framtiden och göra dig mer skeptisk till tillförlitligheten hos mejl som skickas till dig av okända avsändare. 

Exempel 1: Mejl med CV eller jobbansökan 

Nätfiskemejl som innehåller ett bifogat CV skickas vanligtvis till rekryteringsexperter, chefer eller företagsägare som tar beslut om anställning. Sådana mejl innehåller normalt bara ett fåtal rader med text, där mottagaren ombes att öppna det bifogade CV:t. Bedragarna förväntar sig normalt att dessa nätfiskemejl är övertygande, då de försöker att infektera ett visst företag eller en hälsovårdsorganisation. Denna typ av mejl användes huvudsakligen i spridningen av CryptoWall 3.0, GoldenEye och Cerber. Se exempel på sådana nätfiskemejl nedan.  

Exempel 2: Nätfiskemejl som påstås komma från företagsjätten Amazon

Nätkriminella tenderar till att nätfiska Amazon-användare med falska mejl skickade från falska e-postkonton som vid första anblick verkar legitima. Sådana nätfiskemejl kan användas för att bedra användare på pengar eller skicka ut en skadlig e-postbilaga som bär på ett allvarligt virus. Till exempel har bedragare använt e-postadressen auto-shipping@amazon.com för att skicka ut tusentals mejl som innehåller Locky ransomware. 

Dessa mejl hade ämnesraden ”Your Amazon.com Order Has Dispatched (#order_number)” (”Din beställning på Amazoncom har skickats [#order_nummer]) och innehöll en ZIP-bilaga som bar på en skadlig JS-fil. Om filen öppnades, laddades viruset ner från en särskild webbsida. Nedan ser du ett exempel på ett skadligt mejl som innehöll Locky-viruset samt ett exempel som erhölls under analysen av Sporas spridningskampanj. 

Amazon email scams

Exempel 3: Fakturor

En annan mycket lyckad metod som har hjälpt till i spridningen av Locky ransomware har handlat om nätfiskemejl med en bilaga under namnet “ATTN: Invoice-[random code]” (OBS: Faktura-[slumpmässig kod])”. Dessa bedrägliga mejl innehöll ett fåtal rader med text, där offret ombads att “see the attached invoice (Microsoft Word Document)” (”se bifogad faktura [Microsoft Word-dokument])”. Problemet är att dokumentet innehöll en skadlig kod som aktiverades via makrofunktionen. Nedan ser du ett exempel på detta nätfiskemejl. 

Malicious emails distributing Locky

Exempel 4: Skräppost som utnyttjar stora sportevenemang 

Älskar du sport? Då måste du vara bekant med skräppost som handlar om sport. På den senaste tiden har forskare från Kaspersky märkt av en ökning av mejl som riktar in sig på användare som är intresserade av fotbolls-EM och de kommande världsmästerskapen i fotboll 2018 och 2022, liksom olympiska spelen i Brasilien. Dessa mejl bär på en skadlig ZIP-bilaga som innehåller en trojan (som aktiverar ett virus) i form av en JavaScript-fil. Enligt experter är trojanen inställd på att ladda ner än mer virus till datorn. Se ett exempel på det skadliga mejlet nedan. 

Malicious spam targeting FIFA fans

Exempel 5: Skräppost med temat terrorism

Nätbedragare utnyttjar också intresset för ämnet terrorism. Skäppost som berör terrorism är inte bedragarnas favoritmetod, men du bör ändå vara vaksam. Nedan ser du ett exempel på ett sådant mejl. Denna typ av skräppost används normalt för att stjäla personlig data, utlösa DDoS-attacker eller sprida sabotageprogram. 

Terrorism-based phishing emails

Exempel 6: Mejl som innehåller ”säkerhetsrapporter”

Forskare har upptäckt ytterligare en mejlkampanj som sprider skadliga Word-dokument. Det har visat sig att dessa dokument också innehåller infekterade makron som laddar ner och utlöser CryptXXX ransomware så fort offret aktiverar makron. Dessa mejl innehåller ämnesraden “Security Breach – Security Report #[random code]” (”Säkerhetsöverträdelse – Säkerhetsrapport #[slumpmässig kod]”).

Meddelandet innehåller offrets IP-adress och datorposition, vilket får offret att tro att mejlet är äkta och tillförlitligt. Det varnar offret om falska hot såsom säkerhetsöverträdelser som har förhindrats och ber offret att läsa rapporten i mejlets bilaga. Naturligtvis är denna bilaga skadlig. 

Phishing emails delivering ransomware

Exempel 7: Skadlig skräppost som påstås komma från legitima företag 

För att övertala offret att öppna mejlets bifogade fil, låtsas bedragarna att vara någon som de inte är. Det enklaste sättet att lura användaren toll att öppna en skadlig bilaga är att skapa ett bedrägligt e-postkonto som är i stort sett identiskt med ett som äg av ett legitimt företag. Med hjälp av dessa falska e-postkonton angriper bedragarna användare med välstrukturerade mejl som bär på en skadlig fil. Exemplet nedan visar ett mejl som skickades av bedragarna som låtsades arbeta på Europcar.

Scammers impersonate Europcar employees

Exempel nedan visar vilka mejl som användes i en attack mot företaget A1 Telekoms kunder. Dessa nätfiskemejl innehöll vilseledande DropBox-länkar som ledde till skadliga ZIP- eller JS ´-filer. Vidare analys visade att dessa filer bar på Crypt0l0cker virus.

Mail spam targeting A1 Telekom users

Exempel 8: Akut mejl från din chef

Nyligen började bedragare att använda en ny metod för att lura aningslösa användare på pengar på bara några minuter. Tänk dig att du har fått ett mejl från din chef som säger att han/hon är på semester och att du genast måste göra en betalning till något företag, eftersom det snart inte kommer att gå att få tag på chefen.

Om du dessvärre lyder denna uppmaning och inte ser över de små detaljerna innan du gör detta, kan det sluta med att du för över företagets pengar till en kriminell eller, ännu värre, infekterar hela datornätverket med sabotageprogram. En annan metod som kan få dig att öppna en sådan skadlig bilaga är att avsändaren låtsas vara din kollega. Denna metod kan vara lyckad om du arbetar på ett stort företag där du inte känner alla medarbetare. Nedan ser du ett par exempel på sådana här nätfiskemejl. 

Task from boss spam

Exempel 9: Skräppost som handlar om skatt 

Bedragare följer olika länders och regioners skattetabeller i syfte att skicka ut skatterelaterade skräppmejl för att sprida skadliga program. De använder en rad olika former av social ingenjörskonst för att lura användare till att ladda ner skadliga filer som finns bifogade till dessa mejl.

Dessa bilagor innehåller ofta banktrojaner (keyloggers) som, efter att de har installerats, stjäler personlig information såsom offrets för- och efternamn, inloggningsuppgifter, kreditkortsuppgifter och liknande. Det skadliga programmet kan ligga och vänta i en skadlig e-postbilaga eller i en länk i mejlet. Nedan ser du ett exempel på ett mejl som påstås innehålla ett falskt kvitto på deklarerade skatter men istället innehåller en trojan. 

Income Tax Receipt virus

Bedragare försöker också att fånga användarens uppmärksamhet och få denne att öppna en skadlig bilaga genom att påstå att det finns en vilande brottsbekämpande åtgärd mot användaren. Meddelandet säger att något måste göras ”angående stämningen från irs” ( Eng: “regarding the subpoena from irs”) som finns bifogad till mejlet. Naturligtvis handlar det inte om en stämning, utan ett skadlig dokument som öppnas i ”Skyddad vy” och uppmanar användaren att ”Tillåta redigering”. Om man följer uppmaningen, laddar dokumentets skadliga kod ner ett virus till datorn.  

Tax Subpoena scam

Det sista exemplet visar hur bedragare försöker att lura revisorer till att öppna skadliga bilagor. Mejlet ser ut att komma från någon som söker hjälp från en auktoriserad revisor, men självklart innehåller det en bilaga eller två. Det handlar om typiska skadliga Word-dokument som aktiverar en kod och laddar ner ett virus från en fjärrserver.

Tax Phishing

Hur identifierar man skadliga mejl och håller sig skyddad? 

Det finns några huvudregler som du bör följa om du vill undvika skadliga mejl:

  • Var inte inne i skräppostmappen. Det finns en anledning till varför mejl hamnar i skräpmappen. Det betyder att e-postfiltren automatiskt har identifierat att identiska eller likartade mejl har skickats till tusentals användare eller att de flesta mottagare redan har markerat dem som skräppost. Legitima mejl hamnar endast i mycket få fall i skräppostmappen, så håll dig borta från denna. 
  • Kontrollera mejlets avsändare innan du öppnar det. Om du är osäker på avsändaren, öppna aldrig ett mejl från denne. Även om du har ett antivirus- eller antispionprogram, ska du aldrig klicka på länkar i ett sådant mejl eller öppna bifogade filer. Tänk på att även de bästa säkerhetsprogrammen kan misslyckas med att identifiera ett helt nytt virus om du råkar vara en av de första offren. Om du inte känner till avsändaren, kan du alltid ringa det företag som denne påstår sig arbeta på och fråga om det mejl som du nyss tagit emot. 
  • Håll dina säkerhetsprogram uppdaterade. It iDet är viktigt att du inte har föråldrade program i systemet, eftersom sådana ofta är fulla med säkerhetsbrister. För att undvika faror, ska du aktivera automatiska programuppdateringar. Sedan ska du ha ett ordentligt antisabotageprogram som kan undanröja skadliga program. Tänk på att endast uppdaterade säkerhetsprogram kan skydda din dator. Om du använder ett gammalt program och om du ofta skjuter upp installationen av dess uppdateringar, bereder du helt enkelt väg för skadliga program att ta sig in i din dator utan att de upptäcks och blockeras. 
  • Ta reda på om länken är säker innan du klickar på den. Om mejlet innehåller en suspekt länk, för musmarkören över det för att kontrollera dess validitet. Titta sedan längst ner till vänster i din webbläsare. Där bör du se den riktiga webbadressen som du ska länkas till. Om den ser suspekt ut eller slutar på .exe, .js eller .zip, ska du inte klicka på den! 
  • Nätkriminella har ofta mycket dåliga skrivkunskaper. Därför misslyckas de ofta med att skriva till och med ett kort meddelande utan stavfel eller grammatiska fel. Om du märker av några sådana fel, ska du hålla dig borta från mejlets länkar eller bifogade filer. 
  • Förhasta dig inte! Om du ser att mejlet innehåller en brådskande uppmaning att öppna bilagan eller en viss länk, ska du tänka till en extra gång. Den bifogade filen innehåller troligen ett virus. 

Om utvecklaren

Olivia Morelli
Olivia Morelli

Virusanalytiker...

Kontakta Olivia Morelli
Om företaget Esolutions

Läs på andra språk


Filer
Mjukvara
Gilla oss på Facebook