ספאם טעים: תוכנות רנסומיות המסתתרות בקורות חיים

לא נראה כי כל ההתקפות המבוססות על אימיילים מגיעות ממשפחות של משוחדים מודחים, מוכרים המבקרים תרופות פלא או חברות שילוח שמזכירות לך משלוח. חלקם נראים כמו אנשים חסרי אונים המחפשים עבודה. ובכלכלה זו, כולנו מכירים לפחות אדם אחד ששולח קורות חיים לכל מי שהם מכירים בתקווה לנחות ראיון.

אך כפי ש- Cloudmark אמר בהגשת Tam Spam האחרונה שלה, "אל תתפתה לקורות חיים בלתי צפויים." הם יכולים לנשוך אותך, קשה.

Cloudmark ראתה לאחרונה קמפיין רנסומטר שהועבר בצורה של קורות חיים מזויפים, אמר החוקר אנדרו קונווי. ההתקפה עצמה אינה ברורה והמתכון צריך לפתוח את הקובץ הזדוני מספר פעמים, אך הוא עדיין מספיק יעיל שנפגעו קורבנות רבים.

קונווי תיאר את השלבים השונים של הקמפיין:

דוא"ל ההתקפה מגיע מ- Yahoo! חשבון דואר ויש לו קובץ שמתיימר להיות קורות חיים מצורפים. קונווי הצביע על ארבעת שלטי האזהרה בהודעה: זו הייתה הודעה בלתי רצויה; השולח לא סיפק שם משפחה; קורות החיים נשלחו כקובץ zip. ויש שגיאות בשגיאות בדקדוק, פיסוק או איות.

"מישהו שהגיש באמת קורות חיים היה מגיה את עבודתו, " אמר קונווי.

כאשר הנמען פותח את קובץ ה- zip, הוא או היא ימצאו קובץ HTML עם שם כמו resume7360.html . העובדה שה קורות החיים בפורמט.html הם דגל אדום נוסף, בהתחשב בכך שרוב קורות החיים נשלחים כמסמכי טקסט, PDF או Word. "כמובן, זה רעיון רע לפתוח גם קבצי PDF ו- Word בלתי רצוי", אמר קונווי.

דוגמה לקובץ HTML ההתקפה נראית כך:

כאשר הנמען מנסה לפתוח את הקובץ, הדפדפן ינסה לטעון את כתובת האתר בתג IFRAME. "זה אותו דבר כמו לאלץ את המשתמש ללחוץ על קישור", אמר קונווי, וציין כי במקרה זה הקישור מצביע על שרת אינטרנט שנפגע. כתובת האתר טוענת קובץ HTML נוסף, הכולל קישור להפניה שמצביע על קישור של Google Docs.

ההפניה מחדש משתמשת בתג רענון מטא, המשמש בדרך כלל לעדכון התוכן של דף אינטרנט בזמן אמת. לרענן מטה לדף אינטרנט בדומיין אחר הוא לרוב זדוני. רוב האנשים ישתמשו בניתוב מחדש של HTTP או ב- JavaScript כדי להשיג זאת, לא במטא רענון. רק למידע שלך, ה- HTML מדף הנחיתה שנפגע נראה כך:

הקישור של Google Docs מוריד קובץ zip אחר בשם my_resume.zip, והוא מכיל קובץ עם שם כמו my_resume_pdf_id_8412-7311.scr . "קובץ שהורד באופן אקראי מהאינטרנט. סכנה, וויל רובינסון!" אמר קונווי.

סיומת.scr מיועדת לשומרי מסך של Windows, אך הם למעשה קבצי הפעלה מעוצבים במיוחד עבור Windows. סיומת.scr משמשת לעתים קרובות להעברת תוכנות זדוניות למשתמשים חסרי חשד. כאשר הקורבן פותח את קובץ ה- SCR, זה מפעיל את תוכנת הכופר. כל הקבצים שלהם מוצפנים ומוצגת להם שטר של מאות דולרים כדי להחזיר אותם שוב.

קונווי העלה נקודה מעניינת בנוגע לקמפיין ransomware הזה. התוקף נאלץ לנקוט בכל כך הרבה צעדים מפותלים מכיוון שכלי סינון דואר זבל מודרניים ויעילים מספיק כך שהדרך היחידה להצליח היא לשרשר יחד שלבים מרובים כדי לעקוף את ההגנות. אם אתה מרגיש שאתה צריך לקפוץ על הופעות מרובות רק כדי להציג קורות חיים, זו אמורה להיות אזהרה שמשהו אינו תקין. אולי האדם שמאחורי הדוא"ל לא ממש מתעניין בעבודה.