Přidat aktualitu mezi oblíbenéZasílat nové komentáře e-mailem Phishingových útoků pomocí mailů přibývá

Prosím, buďte opatrní, když budete otevírat přílohy mailů!!!
Zrovna mi ve schránce přistál mail s následujícím zněním:

Vážení,

Do dnešního dne jste nesplnili Vaši zákonnou povinnost a nevrátili mi zaplacenou finanční částku, kterou jste byli povinni mi vrátit.

Současně vás tímto upozorňujeme, že pokud k úhradě uvedené částky na základě této písemné výzvy dobrovolně nedojde, případně se ani neozvete, a to obratem, za účelem návrhu akceptovatelného řešení této situace, jsme připraveni se domáhat uvedeného nároku právní cestou, především pak podáním žaloby k místně příslušnému soudu prostřednictvím zvolené advokátní kanceláře.

Dôvodová správa v příloze (zahrnuje fakturu a smlouvu).

S pozdravem a přáním hezkého dne,
Vít Kucera
advokát/attorney at law
Opatovická 1677/2, Praha 1

Když jsem přílohu (word dokument) poslal na VirusTotal, našel se tam downloader. To znamená, že po spuštění a povolení maker by se z internetu mohlo stáhnout a spustit ve vašem počítači cokoliv - od kryptovacího viru po trojského koně, který by zpřístupnil váš počítač útočníkovi.

Používejte prosím zdravý rozum.

loading...
Jsou zobrazeny jen nové komentáře. Zobrazit všechny
Předmět Autor Datum
Já takové štěstí neměl, nemohl bys dát odkaz na stažení toho doc? :-) Mimochodem, ty dva linky na vi…
kacikac 03.01.2020 10:59
kacikac
Ty 2 linky jsem dal úmyslně stejné, pokud by člověk jeden přehlédnul. Na pitvání Wordu jsem čas nemě…
Jan Fiala 03.01.2020 11:06
Jan Fiala
Dík za doc. Defender jej detekuje, tedy aspoň v mém testu ve virtuálce: [YYtRJak.png] Uvažuju, že…
kacikac 03.01.2020 11:38
kacikac
Nasel ho (Antivirus az na defender nemam). Gmail : I Gmail mi ho detektoval okamzite : [88781-gmvv-p…
HPET 03.01.2020 11:54
HPET
Zvláštní je to, že ten Defender mi jej detekoval asi před aktualizací (čistě nainstalovaný Win 10 20…
kacikac 03.01.2020 12:01
kacikac
Protože aktualizace databází antivirů není to, že přidají nebezpečné hrozby ale i to, že odendají ty… nový
mlok8 05.01.2020 17:11
mlok8
Zaujímavé že mne za 14 rokov do mailu neprišiel nikdy ani jeden pishing mail. Asi ma nemajú radi.
Mlocik97 03.01.2020 11:35
Mlocik97
Každý měsíc dostávám maily na porno stránky, fake seznamky... Všude je nějaký downloader něčeho. Nik… nový
mlok8 05.01.2020 17:15
mlok8
Měl jsi panu Kučerovi odepsat, že na něj podáváš žalobu za cyberútok :) Přišlo to alespoň z nějaké n…
L-Core 03.01.2020 15:59
L-Core
Díky TheBat vidím rovnou kromě jména i e-mailovou adresu, což přestává být u dnešních klientů samozř…
Jan Fiala 04.01.2020 13:32
Jan Fiala
Webklient Seznamu ukazuje adresu odesílatele hned vedle jména. nový
Prasak 04.01.2020 14:57
Prasak
moc nechápu některé onanisty, kteří jásají, že defender nebo jiný av vir "už našel". v takovém přípa…
lední brtník 03.01.2020 19:39
lední brtník
Co se týče Defendera. Já jen napsal info jak reaguje na spuštění toho dokumentu defaultní antivirová…
kacikac 03.01.2020 21:41
kacikac
tedy ve smyslu, jestli mám ve virtuálce spustit to makro a kliknout tedy na Povolit obsah, když to t…
fleg 04.01.2020 13:04
fleg
Ve virtuálce jsem měl připojený internet (protože ty makra v doc obvykle pak stahují ještě něco z ne… nový
kacikac 04.01.2020 14:02
kacikac
Presne tak riziko je minimalne, a preto som napisal, ze nemoze, pretoze beznemu userovi je zbytpocne… nový
fleg 04.01.2020 23:27
fleg
Tak teď ti vůbec nerozumím. Mám VMware a z těch možností, které nabízí, používám tři možnosti: a) de… nový
kacikac 05.01.2020 01:14
kacikac
Beriem spat...len som si v hlave otocil NATko opacne. Vlastne nie tak celkom, lebo moj povodny nazor… nový
fleg 05.01.2020 18:47
fleg
Nebo SandBox pro izolované testování (po uzavření se vše zničí a nové otevření Sandboxu spustí čisté… nový
HPET 04.01.2020 15:13
HPET
Nejde o onanii nad antiviry. Kód je "šifrovaný", takže jej antivir bude těžko ve Wordu bez nějakých…
Jan Fiala 04.01.2020 13:50
Jan Fiala
To rozšíření bývá úplně prosté - od úvodní kompromitace pomocí nějakého droppera po vlastní outbreak… nový
touchwood 05.01.2020 08:11
touchwood
opakuje se tady blábol, že stačí mít zalepený systém w10 na chybu smbv1 / případně rovnou zakázáno.… nový
lední brtník 04.01.2020 14:52
lední brtník
Kde se tady opakuje blábol? Jestli myslíš v tomto vlákně tak o SMB jsi tu psal jen ty a já. A já jse… nový
kacikac 04.01.2020 17:08
kacikac
Až když to tady čtu, tak jsem se podíval do spamu a je to tam! Akorát ta e-mailová adresa odesílatel…
Prasak 04.01.2020 12:42
Prasak
A odesilatel?
L-Core 04.01.2020 13:47
L-Core
larry@virtech-test.iveond.com nový
Prasak 04.01.2020 14:55
Prasak
Ja to nemam ani ve spamu :.( Nikdo me nema rad, nikdo mi nepise, ani dedictvi po bohatych africkych… nový
merlouska 05.01.2020 00:37
merlouska
Další verze: Tlapnet s.r.o. Dobrý den, evidujeme neuhrazené pohledávky za poskytování našich služ… poslední
Prasak 21.01.2020 14:29
Prasak

Zvláštní je to, že ten Defender mi jej detekoval asi před aktualizací (čistě nainstalovaný Win 10 20H1 19041, databáze tedy může být tak měsíc stará) a po aktualizaci Defenderu si Defender toho doc nějak nevšímá :-) Pokračovat v testování budu až udělám oběd a po obědě :-)

Protože aktualizace databází antivirů není to, že přidají nebezpečné hrozby ale i to, že odendají ty méně časté. Teda až na Avast, který furt jede stylem "čím víc, tím líp" a pak to vypadá, jak to vypadá. Avast musí projíždět bambiliony stránek hrozeb, když ti kontroluje počítač a zaseká to tak, že ani technik, co ti dával PC dohromady, by ho nepoznal. Ostatně u antivirů je lepší používat prostě selský rozum - neznám toho člověka ani mail? Čau, letíš do koše a nebudu tě ani otevírat, natož něco stahovat. Když si chce člověk užít a pro prdel to otevřít, tak jen ve virtuálce a jen pokud to za to stojí. Trojský kůň vážně už zábava není, dnes to umí obejít už i dítě a technicky to je dle mě strašně zastaralý typ viru, který se dnes ani moc už nevyvíjí, protože to cílí spíše na důchodce, kteří by si pro díl Ulice nebo Ordinace zdarma nechali vrtat i koleno.

Každý měsíc dostávám maily na porno stránky, fake seznamky... Všude je nějaký downloader něčeho. Nikam jsem se neregistroval. Mě by spíše zajímalo, kde zjistili můj mail, pakliže ten hlavní používám jen na FB a práci. Asi si nějaký šprýmař řekl, že moje manželka je zlá, tak mě někam zaregistroval a ta stránka nechtěla očividně ani potvrzení :-D

Díky TheBat vidím rovnou kromě jména i e-mailovou adresu, což přestává být u dnešních klientů samozřejmostí. Samozřejmě to přišlo s "divné" adresy:
Vít Kucera <andrew@appsrvspath.deaftawasol.com> (advokátní kancelář k.law)

Takže na klientovi nebo webovém rozhraní uvidíš jméno, případně info v závorce, ale skutečnou adresu neuvidíš.

moc nechápu některé onanisty, kteří jásají, že defender nebo jiný av vir "už našel". v takovém případě jde o každý den, ne o nějaké "už to vidí".
taky předpokládejte běžný materiál u pc: "tady mi to nejde, no toto, pošlu si to domů a tam to stáhnu". 50% obyvatel jsou idioti, viz volební výsledky.
jestli věříte tomu, že v česku byly loni napadené pouze 2 medializované firmy a jen proto, že neměly všude win10 workstation se zakázaným smbv1 nebo se 4x látaným rdp, mezi těch tupých 50% patříte taky.

edit: někde výš tady čtu...

a zkusil povolit makro, co to udělá

ve firmě je to nutnost. o nastavení office se stará centrální it a dokumenty bez maker bývají nefunkční, takže jsou vždy povolené.
kdo spoléháte na vytuněné domácí zabezpečení, nevíte jak funguje polovina trhu.
ale zrovna reagovat na lidi z živě je ztráta času.

Co se týče Defendera.
Já jen napsal info jak reaguje na spuštění toho dokumentu defaultní antivirová ochrana Windows 10 a to je Defender. A to s defaultní databází v instalačce Windows 10 20H1 (19041) a posléze i s aktuální databází. Antiviry nepoužívám, na svém pc mám i Defendera zakázaného. Psal jsem to čistě informačně, ne jako nějaké onanování.
Co se týče věření.
Já v to, cos uvedl, nevěřím a jsem tedy rád, že mezi těch 50 % tupých nepatřím :-D
Co se týče té citace.
Testoval jsem ve virtuálce s defaultně nainstalovaným Windows 10 20H1 (19041) a defaultně nainstalovaným Office 2019, pokud by ses díval na mé obrázky ve spojlerech, tak bys tam viděl to defaultní Povolit obsah v Office. Navíc jak jsem psal ve virtuálce na default Windows 10 a Office 2019. Navíc virtuálka připojená k internetu. Navíc virtuálka spuštěná na mém pc, který má oproti defaultu zakázaného Defendera a žádné tunící zabezpečení (a ani v office na pc nemám do teď zakázaná makra), i z virtuálky normální přístup na můj pc. Navíc ne bůhvíjak silné heslo na pc. Navíc další pc a zařízení v síti a nejen moje, tak se pak nediv, že jsem napsal:

Uvažuju, že bych otevřel ten doc a zkusil povolit makro, co to udělá

tedy ve smyslu, jestli mám ve virtuálce spustit to makro a kliknout tedy na Povolit obsah, když to teoreticky může ohrozit i to co je mimo virtuálku. Risknul jsem to a povolil jej. Takže žádné vytuněné domácí zabezpečení.
Co se týče té další věci a to maker ve firmách, pokud tam jsou potřeba tak to řešit podepisováním maker a povolit jen podepsaná + v Office zakázat ActiveX. Například dokument v tomto vlákně by tak byl pořešený i bez antiviru.

Ve virtuálce jsem měl připojený internet (protože ty makra v doc obvykle pak stahují ještě něco z netu jako např. emotet a nemělo by smysl to testovat bez připojeného internetu) a z virtuálky byl tedy i síťový přístup na můj pc. Stačilo abych měl na pc třeba povolený nezaplátovaný SMB1 a ten malware ve virtuálce byl něco jako wannacry nebo emotet/trickbot/ryuk a za chvilku bych měl zašifrovaný pc.
A to teoreticky jsem psal proto, že SMB1 a RDP povolený sice nemám, ale ono se úplně nedá vyloučit to, že to teoreticky může být jakýkoliv malware, třeba využívající ještě nezaplátovanou chybu Windows nebo i virtuálka může mít nějakou zranitelnost, případně mám něco špatně nastavené a mohlo by se to tam dostat prostě proto, že jsem něco opomenul. Jako to riziko je minimální (podle mě to ale není nemůže) a nejsem třeba nemocnice, takže jsem jej spustil.

Tak teď ti vůbec nerozumím. Mám VMware a z těch možností, které nabízí, používám tři možnosti:
a) defaultní možnost VMware je "NAT: Used to share the host's IP address" - to používám, pokud ve virtuálce chci internet, což jsem použil i v tom testu a předpokládám to odpovídá i tomu tvému "Bezny user ma virtualku za natom". Funguje přitom internet a ta lokální síť VMnet8, kde hostitel je na 192.168.*.1
b) "Host-only: A private network shared with the host" - funguje ta lokální síť VMnet1, kde hostitel je na 192.168.*.1, internet nefunguje.
c) Úplně vypnu ve virtuálce "Network Adapter" (nezafaifkuju Connected) - pouze v tom případě se na hostitele nedostanu, v tom případě nefunguje ani internet, ani lokální síť.
V případě a) i b) normálně funguje připojení na hostitele, což je ta 192.168.*.1 (to třetí číslo je různý podle instalace a podle sítě).
Když mám například na hostiteli apache, tak se k němu z virtuálky normálně připojím. Tak nechápu jak myslíš to "tak ta ten pc proste nevidi".

Beriem spat...len som si v hlave otocil NATko opacne.
Vlastne nie tak celkom, lebo moj povodny nazor, ze nakazenie hostitela hostom je naozaj nepravdepodobne zostava...v standardnom prevedeni proste nemozne.
Ale ak ti ide o to dotlacit ma k tomu, ze snadbox je bezpecnejsi tak ano je...ten je uzavrety celkom, takze tam je riziko nulove.

Nebo SandBox pro izolované testování (po uzavření se vše zničí a nové otevření Sandboxu spustí čisté prostředí), který je ve Windows 10 od 2019 (build 18305) již nativně podporován. Bohužel jen pro verze Pro nebo Entreprise.
(alespoň ho v tomto směru uprednustnuji před VM)

https://www.cnews.cz/windows-sandbox-predstaveni/

Pro spuštění Sandboxu stačí v podstatě jen Windows Sansbox povolit ve funkcích systému :

[88799-povolit-sandbox-png]

Nejde o onanii nad antiviry. Kód je "šifrovaný", takže jej antivir bude těžko ve Wordu bez nějakých vodítek (aktualizovaná databáze) detekovat.
Ne všichni mají aktualizované systémy, aktualizované Office (hlavně ve firmách).
Doma zase budou všichni pracovat pod adminem a obyčejný uživatel se vyděsí a hned si bude chtít přečíst, v čem lítá. A i když ví, že nic takového se ho netýká, tak to udělá ze zvědavosti, aby se dozvěděl, co chudák spolubližní provedl.
Pak v euforii prokliká vše, co se mu ukáže, jen aby se k textu dostal.

Je to čisté sociální inženýrství, kdy uživatel sám dobrovolně dá útočníkovi k dispozici vlastní počítač.

Pobavily mne zprávy o "hackerském útoku" na benešovskou nemocnici. Nesmál jsem se tomu, co se stalo, to snad nemůže nikdo. Smál jsem se tuposti našich médií. A to nemluvím jen o jednom ráááádiu, kde měli anketu, co by lidi takovému hackerovi udělali.
K čemu máme NKUIB, který nezasáhne a nevysvětlí lidem, co se opravdu stalo?
Z jediného důvodu. Bude to použito jako další argument na zvyšování kybernetické bezpečnosti a s tím související zvýšení pravomocí státních orgánů zasahovat lidem více do života, nasazení více špiclovacích prostředků a lidi tomu ještě rádi zatleskají.

Přitom to je o zabezpečení sítě v nemocnici. Tohle se může stát kdekoliv, kde podobný mail nezachytí antivir na vstupu, kde nezachytí antivir na stanici spuštění škodlivého kódu.
Ale doteď nerozumím tomu, jak se to mohlo z jedné stanice dostat do sítě celé nemocnice, jak se to mohlo dostat k databázovým souborům, které byly zašifrované, jak se to mohlo dostat k zálohám, které byly také částečně zašifrované.
Pokud měl daný tupý uživatel přístup všude a ještě na zápis, pak je to chyba IT v nemocnici. A to vůbec nechci přemýšlet o tom, že to způsobilo přímo IT.

To rozšíření bývá úplně prosté - od úvodní kompromitace pomocí nějakého droppera po vlastní outbreak kryptoviru stačí, aby se na kompromitovaném PC přihlásil doménový admin.

Protože je typický stav, že lokální užovky mají admin práva, takže se dokáží nacpat do libovolného účtu.

opakuje se tady blábol, že stačí mít zalepený systém w10 na chybu smbv1 / případně rovnou zakázáno.
spěte dál: https://www.govcert.cz/cs/informacni-servis/hrozby/2530-eternalrocks-vaznejsi-hrozba-nez-wannacry/

mě se toto upozornění j.fialy líbí, píše že už je možné se běžně setkat s těmito maily s downloaderem.
to, že si ve firmě jeden člověk otevře přílohu ve virtuálce, firmě nepomůže. co těch 999 ostatních?

já obsah spam složky moc neřeším, pokud tam neleží nějaký mail od pravděpodobného odesílatele, všechny bez otvírání mažu.
takže nemohu sloužit, nevím jestli něco takového prošlo kolem.

Kde se tady opakuje blábol? Jestli myslíš v tomto vlákně tak o SMB jsi tu psal jen ty a já.
A já jsem rozhodně nikde nepsal, že STAČÍ mít zaplátovaný Win10 na SMB1 nebo rovnou zakazaný.
Vím kolik CVE se ve Windows opravuje, nebo mám přečteno i například Bezpečnostní doporučení núkib pro administrátory, CIS Controls (na cisecurity.org je kromě CIS Controls zajímavé i CIS Benchmark, což jsou doporučení od odborníků na kybernetickou bezpečnost pro jednotlivé OS a programy, např. pdf jen na Windows 10 1909 má 1266 stran), Zabezpeceni koncovych zarizeni vasich uzivatelu, i informační servis na govcert čtu takže jsem dávno četl i tu tebou odkazovanou stránku, atd., tak bych já to STAČÍ opravdu napsat nemohl.
A co se týče:

to, že si ve firmě jeden člověk otevře přílohu ve virtuálce, firmě nepomůže. co těch 999 ostatních?

No těch 999 ostatních si ji klidně může otevřít i ve firmě :-). Pak bude nejspíš záležet co je to za firmu:
a) pokud řeší kybernetickou bezpečnost aspoň trošku tak přílohu buď neotevře vůbec nebo otevře bez toho aby jakkoliv uškodila
b) pokud na kybernetickou bezpečnost kašle tak bude mít problém jeden pc
c) pokud na kybernetickou bezpečnost kašle totálně, tak nebude fungovat celá firma
jelikož b) a c) je nejspíš úplně normální stav tak bych minimálně chtěně to otevírání nikde neprováděl :-)
Pokud někdo chce číst něco zajímavého ohledně bezpečnosti tak:
https://www.cisecurity.org/controls/
https://www.cisecurity.org/cis-benchmarks/
https://www.nukib.cz/download/vzdelavani/doporuceni/NUKIB_doporuceni_admin_3.0_barva.pdf
http://download.microsoft.com/documents/cs-cz/enterprise/02_2017/2_Zabezpeceni_koncovych_zarizeni_vasich_uzivatelu.pdf
https://www.govcert.cz/cs/informacni-servis/hrozby/2721-varovani-o-hrozbe-emotet-trickbot-ryuk/
V tom posledním odkazu je i link na funkční emotety (to co nejspíš sejmulo OKD) - tedy aspoň v prosinci funkční byly - jako myslím ten paste.cryptolaemus.com.

Až když to tady čtu, tak jsem se podíval do spamu a je to tam!
Akorát ta e-mailová adresa odesílatele je divná a ten mix češtiny a slovenštiny je zarážející. Je hezký, jak obecně a nekonkrétně je daný text napsán, jen aby příjemce tu přílohu otevřel. Sociální inženýrství jak má být.

Zpět na aktuality Přidat komentář k aktualitě Nahoru

loading...