Evo jednog meni zanimljivog pokušaja zaraze kompjutera putem imejla – takozvani ruski rulet, iako je završio neuspešno.
Mejl je šatro poslat sa DHL-ove mejl adrese i u sebi sadrži 6 linkova, 5 linkova vode zaista ka DHL-u, 1 koji očigledno vodi ka DHL-u ustvari vodi ka nekom buđavom inficiranom Vordpres sajtu i na njemu ka rensomver malveru (pisao sam o njemu ovde). Fajl, kad se klikne na njega je fajl sakriven iza ikonice za PDF dokument a zove se invoice128.pdf.exe.

Spam

Pretpostavka je da ćete kliknuti na prvi link i videti da je sve regularno, možda proveriti poslednji, videti da je sve regularno, kliknuti i na ovaj inficirani link, pa skinuti i otvoriti ovaj inficirani fajl za koji mislite da je PDF dokument i tako pokrenuti zabavu.

Kako se zaštititi?

Prvi stub odbrane je spam filter na vašem imejl serveru, te ako koristite Gmail/Outlook.com/Yahoo/Zoho i ostale poznatije servise ovo bi trebalo da je otišlo u folder spam.

Ako imate neko drugo imejl rešenje sa sirotinjskom antispam zaštitom (obično je implementirano neko besplatno rešenje po firmama ili vam ih nudi provajder kod kog ste kupili internet) verovatnoća je i da vam je stiglo u inboks. U ovom slučaju radilo se o Gmail-u i otišlo je u spam ali sam ga ja za potrebe ovog teksta markirao kao regularan mejl.

Drugi stub odbrane, ako ste na Vindovsu je vaš antivirus (Linuks korisnici nek trknu po pivo). Antivirus bi skinut fajl obrisao regularno – pod uslovom da ga prepozna kao pretnju – ako ga prepozna.

Treći stub odbrane ste vi, ako ne očekujete ništa od DHL-a delete&odjebaus ovaj mejl a ako očekujete, da li je to baš nemački DHL – a ako jeste, zašto DHL nije poslao PDF u atačmentu – ako je poslao u atačmentu zašto se atačment završava na .exe ili .bat umesto na .doc ili .pdf a ako se završava na .doc ili .pdf – zašto vam to šalje tek sad mejlom dođavola. I da, ako je stigao .doc ili .pdf to opet ne znači da ste bezbedni, unutar njih možda ima neki inficirani link na koji ćete kliknuti i pokrenuti zabavu.