Lietuvoje plinta el. laiškai su kenksmingu programiniu kodu

2019-01-24

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos (NKSC) informuoja, kad Lietuvoje plinta el. laiškai su kenksmingu programiniu kodu. Pastarosiomis dienomis NKSC fiksuoja atvejus, kuomet klastojant Lietuvos valstybinio ar privataus sektoriaus įstaigų el. pašto adresus, platinamas kenkimo kodas. 

Kenkimo kodas talpinamas *.docx *.doc, *.rtf, *xls ir *.xlsx  formato bylose, kurios būna prisegtos prie el. laiško. Atidarius prisegtą bylą, kenksmingu programiniu kodu bandoma apkrėsti kompiuterį išnaudojant „Microsoft Office“ programinės įrangos pažeidžiamumą „CVE-2017-11882“. 

El. laiško tekstas dažniausiai būna parašytas lietuvių ar anglų kalba. Laiškas gavėjui atrodo tikroviškas, kadangi siunčiamas iš žinomo ir patikimo adresato, tačiau iš tiesų būna suklastotas.
 

Pav. 1

Pav. 1. Suklastoto el. laiško pavyzdys, imituojantis informacinį pranešimą


Pav. 2
Pav. 2. Suklastoto el. laiško pavyzdys, imituojantis tiekėją


Pav. 3

Pav. 3. Suklastoto el. laiško pavyzdys, imituojantis tiekėją


Atidarius prie el. laiško prisegtą bylą, naudotojo prašoma „Įgalinti redagavimą“. Tokiu būdu paleidžiamas kenksmingas programinis kodas.

Pav. 4

Pav. 4. Suklastoto el. laiško kenksmingas priedas, prašantis įgalinti redagavimo funkcijas


Rekomendacijos

Šiuo metu ne visos kibernetinio saugumo priemonės geba identifikuoti šį kenksmingą programinį kodą, todėl platinami el. laiškai gali pasiekti  dalį gavėjų. NKSC pažymi, kad kenksmingas kodas bando išnaudoti jau žinomą programinės įrangos pažeidžiamumą, kuriam programinės įrangos gamintojas jau yra išleidęs saugumo spragos pataisymus, tad pirmiausiai reikėtų atnaujinti naudojamą Microsoft Office programų paketą. Plačiau https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882. 

Tikrinkite laiško antraštes (angl. headers), kuriose matoma, kas yra tikrasis laiško siuntėjas (laukelis From). Analizuojant antraštę, reikėtų žiūrėti į pirmą Received parametrą nuo apačios. Šis parametras pasakys, iš kurio serverio buvo išsiųstas el. laiškas. Jeigu From laukas yra [email protected], tai ir Received laukelyje turi matytis adresų sritis (domenas) “imone.lt”. Šio sukčiavimo atveju laukelyje Received matomi visai kiti duomenys, iš kur buvo išsiųstas laiškas. Žr. pav. 5.


Pav. 5
Pav. 5. Suklastoto el. laiško tikrasis siuntėjas


Priklausomai nuo el. pašto programos, antraščių peržiūros galimybė skiriasi.

Atkreipiame dėmesį, kad kibernetiniai nusikaltėliai nuolat platina ir kitus kenkimo kodus, kurie išnaudoja įvairios programinės įrangos pažeidžiamumus, todėl rekomenduojame nuolatos atlikti tiek antivirusinių, tiek operacinių sistemų, tiek kitos naudojamos programinės įrangos atnaujinimus. 

Siekiant apsisaugoti nuo el. pašto adresatų klastojimo, rekomenduojame įgalinti ir tinkamai sukonfigūruoti „SPF“ (Sender Policy Framework) funkcionalumą. Ši priemonė turėtų būti naudojama su papildoma atsarga, kadangi neteisingi nustatymai gali nulemti kai kurių laiškų nepristatymą jų gavėjams.

Kaip ir visuomet – pagrindinis dalykas - būti atidiems ir kritiškai vertinti gaunamus laiškus. 

Visi pranešimai