Pamiętacie o regularnym „łataniu” programów, z których korzystacie na komputerze? Choć część z nich łata się samodzielnie, bez pytania użytkownika o zgodę, a łatanie systemu operacyjnego coraz większej liczbie użytkowników wydaje się oczywiste, z innymi aplikacjami bywa różnie. Tymczasem atak może nadejść z najmniej spodziewanej strony.
Choć niestety (o zgrozo!) wciąż nie brakuje użytkowników, którzy bez zastanowienia klikają w przychodzące mailem pliki wykonywalne (exe, com, scr), szczęśliwie rośnie grupa świadomych użytkowników komputerów, którzy najpierw pomyślą, a dopiero potem ewentualnie „wystrzelą”. Nawet oni mogą jednak dać się złapać na odpowiednio spreparowany i dostarczony w odpowiedniej sytuacji niepozorny plik, np. PDF.
Jak działa „wzbogacony” plik wyjaśnia w materiale wideo Chester Wisniewski z Sophos Labs, w korespondencji mailowej z Polakami tytułujący się swojsko „Cheslaw” :) Otwieramy podstawiony plik, który powoduje awaryjne zatrzymanie Adobe Readera, ładuje i uruchamia złośliwe oprogramowanie, po czym otwiera nie budzący podejrzeń „właściwy” plik PDF, po obejrzeniu którego dojdziemy najwyżej do wniosku, że dostaliśmy go przez pomyłkę. Oczywiście wszystkie działania nielegalne dzieją się w tle i na tyle szybko, że użytkownik nie ma szans zauważyć, że coś się stało.
„W życiu nie dam się na to złapać, najpierw musieliby mnie przekonać do otwarcia tego pliku!” – pomyśli zapewne większość z Was. I będziecie mieć rację, bowiem by skłonić ofiarę do ulegnięcia takiemu atakowi trzeba się postarać i przygotować e-mail, którego faktycznie może się spodziewać. Przeciętny internauta niekoniecznie musi stać się celem takiego ataku, znanego jako spear phishing, na jego przygotowanie atakujący musi bowiem poświęcić sporo czasu. Czasami jednak warto, o czym mógłby zaświadczyć choćby pracownik firmy RSA, który w pierwszym półroczu 2011 roku po prostu otworzył spreparowany załącznik (w tym przypadku arkusz kalkulacyjny), co skończyło się wyciekiem danych, dotyczących kluczy kryptograficznych i w efekcie przynajmniej kilkoma atakami na amerykańskie firmy zbrojeniowe.
Jak sobie z tym radzić? Na pewno nie ignorować komentarzy o poprawkach bezpieczeństwa, korzystać z aplikacji znanych jako mniej „dziurawe”, no i – o czym przypominamy do znudzenia –zanim otworzymy cokolwiek, co przyszło mailem, zastanowić się, czy na pewno spodziewaliśmy się takiej korespondencji? Nie zaszkodzi też uważać, co publikujemy o sobie w sieci, przede wszystkim w portalach społecznościowych – ziarnko do ziarnka, aż u przestępcy w końcu zbierze się miarka i łatwiej przyjdzie mu znaleźć miejsce, w którym może nas „ukłuć włócznią” spear phishingu i załącznik o jakim tytule w końcu zdecydujemy się otworzyć.
(sketch by Kevin Frank)