Опасные вложения. Как понять, что вас хотят взломать

Если вложить в письмо вредоносную программу в формате .exe или .dmg — письмо не отправится. Поэтому, чтобы обойти ограничения почтового клиента, мошенники упаковывают вирусы и троянские программы в архивы.

Вот что важно знать, чтобы не заразить компьютер вирусом из архива:

1. Скачивайте архив только если его отправитель вам знаком.
2. После скачивания проверьте архив антивирусом. Имейте в виду, что антивирус может пропустить вредоносный файл, например, если он находится в архиве, который защищен паролем.
3. Распакуйте архив в отдельную папку на компьютере.
4. Убедитесь, что в настройках Проводника включено отображение расширений файлов. Обратите внимание на колонку «Тип» — в ней можно увидеть настоящий тип файла.
5. Расширения файлов из архива должны соответствовать содержанию письма. Например, если вам отправили фотографии, это будут файлы с расширениями .jpeg, .jpg или png.
6. Не открывайте файлы, которые похожи на приложения, например, .exe, .dmg, .msi, .bin, .sh. Они могут запустить вирус, вредоносную программу или скрипт.
7. Прежде чем открыть файлы, просканируйте их антивирусом.

Мошенники могут подделать расширение файла, для этого они добавляют точку и дополнительное значение в имя файла. Если вам прислали вложение, замаскированное под другой тип файла — его лучше не открывать.

Если вы системный администратор. Ограничьте сотрудникам прием почты с исполняемыми файлами, даже если они упакованы в архив. Когда будете настраивать ограничения, ориентируйтесь на формат файла, а не его расширение. Постарайтесь заблокировать исполнение скриптов, или хотя бы переопределить их обработчики. Например, назначьте для файлов .js обработчик Notepad, чтобы предотвратить их выполнение как скриптов.

По умолчанию документы в Ворде открываются в защищенном режиме. Мошенники это понимают и часто просят заполнить какую-нибудь форму, чтобы жертва отключила этот режим.

На скриншоте пример формы, для заполнения которой нужно разрешить редактирование. Если сделать это, на компьютере запустится установка вредоносной программы

Как настроить защищенный режим просмотра файлов в Ворде:

1. Перейдите в Параметры Ворда.
2. Выберите вкладку «Центр управления безопасностью».
3. Перейдите в раздел «Параметры центра управления безопасностью».
4. Выберите вкладку «Защищенный просмотр».
5. Поставьте галочки напротив всех типов файлов и сохраните изменения.

Если вы системный администратор. Вовремя обновляйте все офисные программы кроме макросов, так как вредоносный код может выполняться через эксплойт к одной из публичных RCE-уязвимостей.

Иногда во вложении вовсе может не быть вредоносной программы. Вместо нее мошенники присылают ярлык, перейдя по которому пользователь сам загрузит и запустит вредоносную программу:

В свойствах ярлыка прописана команда, которая загружает вредоносный скрипт из интернета и запускает его на компьютере жертвы

Доверяйте только тем ярлыкам, которые находятся на вашем рабочем столе. Не открывайте файл с типом «Ярлык», который вам прислали по электронной почте, даже если его название вызывает доверие.

Если вы системный администратор. Заблокируйте исполнение любого командного интерпретатора под учетной записью пользователя. По возможности переопределите его имя и путь — так вредоносным программам будет сложнее сориентироваться.

Иногда мошенники добавляют в письмо вредоносную ссылку и оформляют ее так, чтобы она выглядела как обычный вложенный файл. Если кликнуть на такую ссылку, то может начаться автоматическая загрузка файла, например, вируса, трояна или шифровальщика. Еще ссылка может вести на фишинговый сайт, так мошенники попытаются получить вашу конфиденциальную информацию.

На скриншоте обе ссылки около «заявки» ведут на вредоносный файл

Чтобы распознать опасное вложение, которое замаскировано под ссылку, наведите на нее курсор и посмотрите, куда на самом деле ведет эта ссылка. Иногда адрес похож на настоящий, но у него есть незначительные отличия, например, дополнительные символы. Если вы доверяете отправителю, но письмо выглядит подозрительным, свяжитесь с отправителем альтернативным способом — позвоните, напишите в мессенджер или на другую почту — и попросите подтвердить подлинность вложения.

Если вы системный администратор. Ограничьте загрузку исполняемых файлов на прокси-сервере или межсетевом экране. Так же как и в случае с вложениями, ориентируйтесь на тип, а не на расширение файла. Перешлите эту статью коллегам, чтобы помочь им защитить себя и компанию от атак через опасные вложения.

На нашей обучающей платформе Start AWR есть отдельный интерактивный курс по опасным вложениям, в котором сотрудники на примерах разбираются, как работают такие атаки и тренируются распознавать опасные вложения.