Michał Rosiak
Update: Zanim o CV, kilka zdań w kwestii bieżącego ostrzeżenia. CERT Orange Polska zaobserwował ostatni znaczący wzrost maili phishingowych, udających „nieopłacone faktury”, bądź „powiadomienia od kuriera” (w ostatnich dniach UPS). W nic nie klikajcie, bo większość linków prowadzi do ransomware’a! Jeśli nie macie pewności, czy to do Was – zadzwońcie do domniemanego nadawcy.
A teraz na główny temat 🙂 Kiedyś pisało się życiorys, od jakiegoś czasu jest to już (z języka korpolskiego) „SiWi”. Liczba aktywnych zawodowo Polaków przekracza 17 milionów, firm na rynku też mamy sporo, dlatego mam wrażenie, że w mailach dziennie krążą przynajmniej dziesiątki tysięcy dokumentów CV. Niektóre w formacie PDF, inne w DOC – te formaty na pewno stanowią większość. A co je łączy? To, że da się w nich schować „niespodziankę” w postaci złośliwego kodu.
Przyznam się Wam szczerze, że nie myślałem o tym wektorze ataku, do momentu, aż nie przeczytałem ciekawej informacji prasowej firmy Barracuda. A przecież jest on (atak, nie samiec barakudy) genialny w swojej prostocie. I co gorsza, nie dla byle jakiego masowego phishingu, tylko dla najgroźniejszej broni dla biznesu, ataków APT (Advanced Persistent Threat, zaawansowane długotrwałe zagrożenie). O ile samo pojęcie APT, którym wielu rzuca na lewo i prawo, mocno się zdewaluowało, tutaj wydaje się pasować idealnie. No bo spójrzcie sami. Firma, którą zainteresowali się przestępcy, poszukuje pracowników. No to co – przyszykujemy CV, żadnej ściemy, z doświadczeniem, zdjęciem ze stocka, nawet numer telefonu można dać, prepaida jakiegoś, a nuż zadzwonią. Nie otworzą? Jasne, że otworzą, jeśli Word/PDF Reader okaże się podatny to robak wpełznie do sieci ofiary i nikt nie będzie niczego świadom! Przecież nie było żadnego phishingu, to było zwykłe CV! I nic się nie wykryło, bo prawdziwy malware ściągnął się dopiero później.
Co potem? Hulaj dusza, piekła nie ma. Można wysłać maile z zainfekowanego konta, można po prostu siedzieć i czekać, analizując przychodzącą i wychodzącą pocztę i albo próbować kolejnych ataków, bądź też – jeśli firma ofiary nie zadbała zbytnio o bezpieczeństwo – przebić się do innych miejsc firmowej sieci. A skoro nikt nic nie będzie wiedział, to dane będą się systematycznie (a raczej niesystematycznie, żeby nikt się nie zorientował) się wysyłać, trafiając albo do konkurencji albo do przestępcy, który bez wątpienia znajdzie na nie chętnych.
Jak sobie z tym poradzić? Z jednej strony zabezpieczeniami technicznymi, instalując regularnie łatki bezpieczeństwa na używane aplikacje; architekturowymi – dając fizyczny dostęp tylko do systemów niezbędnych konkretnej grupie pracowników; i wreszcie ludzkimi – uważamy, co otwieramy, nie klikamy odruchowo, gdy plik Worda spyta się, czy chcemy uruchomić makra, a jeśli mamy wątpliwość co do maila od kolegi/koleżanki – zadzwońmy i upewnijmy się bezpośrednio u domniemanego nadawcy, czy to na pewno on jest autorem.
Jak dobrze że jestem w Orange :)
