Hoe kunt u een e-mail identificeren die is besmet met een virus?

door Olivia Morelli - -

Spam en phishing zijn de twee meest effectieve technieken die criminelen helpen om hun op oneerlijke manier verkregen winsten te genereren. Naarmate de mensheid steeds meer afhankelijk wordt van technologieën en vooral van het internet, zien we hoe cybercriminelen zich in toenemende mate verenigen in georganiseerde misdaadgroepen, die hard werken om kwaadaardige projecten uit te voeren om nietsvermoedende slachtoffers geld afhandig te maken.

Sommige deskundigen zijn van mening dat de ongeorganiseerde criminaliteit al niet meer bestaat. Hoewel veel mensen denken dat cybercriminelen super geavanceerde hackers zijn die weten hoe ze codes moeten gebruiken om door beveiligingssystemen heen te breken en zelfs op afstand bezit te nemen van de computers van gebruikers, is de realiteit heel anders.

In de meeste gevallen zijn deze cybercriminelen alleen vakbekwame scammers die gebruik maken van social engineering-methoden om gebruikers te misleiden om malware op hun computers te installeren. Het gebruik van spam en phishing voor de verspreiding van malware is het beste bewijs daarvan en kan eigenlijk worden gedefinieerd als een logische evolutie van de cybercriminaliteit.

In feite is het niet nodig om uren te spenderen aan het opstellen van uitgebreide aanvalsschema's, als alles wat nodig is om een ​​computernetwerk te hacken is om een ​​naïeve werknemer ervan te overtuigen dat hij een ​​e-mailbijlage moet openen die lijkt op het CV van iemand. Dergelijke technieken blijken zeer efficiënt te zijn, en ze hebben de distributie van malware aanzienlijk versneld.

Zo wordt 2017 algemeen erkend als het jaar van de gijzelsoftware, en het feit dat zelfs 93% van de phishing-e-mails in het eerste kwartaal van 2017 gijzelsoftware bevatte, bewijst dat ook simpelweg. Het is duidelijk dat er goede redenen zijn om aan te nemen dat de omvang van de spam en phishing in 2018 een nog grotere omvang aan zal nemen.

Voorbeelden van kwaadaardige spam

Met malware beladen e-mails zijn tot nu toe de meest efficiënte aanvalsvector. Spammers maken graag gebruik van lopende gebeurtenissen (sportevenementen, uitverkopen, tijd om belasting te betalen, enz.) en versturen honderdduizenden op het van toepassing zijnde thema gebaseerde e-mailberichten, hoewel sommige trucs het hele jaar door werken.

De voorbeelden die hieronder worden weergegeven onthullen phishing-e-mails die typisch worden gebruikt voor de verspreiding van malware. Hopelijk zullen deze voorbeelden u helpen om phishing-e-mails in de toekomst te identificeren, waardoor u sceptischer wordt wat betreft de betrouwbaarheid van e-mails die u door onbekende personen worden toegestuurd.

Voorbeeld nr. 1: e-mails met CV of sollicitaties

Phishing-e-mails die een bijgevoegd CV bevatten, worden meestal verzonden naar wervingsspecialisten, managers of bedrijfseigenaren die beslissingen nemen over het in dienst nemen van personen. Dergelijke e-mails bevatten gewoonlijk maar een paar regels tekst, waarbij de ontvanger wordt uitgenodigd om het bijgevoegde CV te openen.

In het algemeen verwachten scammers dat deze phishing-e-mails overtuigend zijn wanneer ze proberen een bepaald bedrijf of zorgverlener te infecteren met spam. Dergelijke e-mails werden voornamelijk gebruikt in CryptoWall 3.0, GoldenEye, en Cerber-spamcampagnes. Bekijk hieronder enkele voorbeelden van dergelijke phishing-e-mails.

Voorbeeld nr. 2: Phishing-e-mails die beweren afkomstig te zijn van de eCommerce gigant Amazon

Cybercriminelen hebben de neiging om Amazon-gebruikers te bestoken met nep-e-mails die worden verstuurd door nep-e-mail-accounts die op het eerste gezicht legitiem lijken. Dergelijke phishing-e-mails kunnen worden gebruikt om geld te ontfutselen aan het slachtoffer of om een ​​kwaadaardige e-mailbijlage af te leveren die een serieus computervirus bevat. Bijvoorbeeld, scammers gebruiken het auto-shipping@amazon.com e-mailadres om duizenden e-mails met Locky-gijzelsoftware te versturen.

Dergelijke e-mails bevatten een onderwerpregel als: “Your Amazon.com Order Has Dispatched (#order_number)” en bevat een ZIP-bijlage, die een kwaadaardig JS-bestand bevat dat na downloaden de gijzelsoftware van een bepaalde website blijkt te bevatten. Hieronder ziet u een voorbeeld van een kwaadaardige e-mail die Locky aflevert en een voorbeeld dat is verkregen tijdens de analyse van de Spora-distributiecampagne.

Amazon email scams

Voorbeeld nr. 3: facturen

Een andere zeer succesvolle techniek die de verspreiding van de Locky-gijzelsoftware aanzienlijk heeft geholpen, heeft betrekking op phishing-e-mails die een bijlage bevatten genaamd “ATTN: Invoice- [willekeurige code]”. Deze misleidende e-mails bevatten een paar regels tekst in het berichtveld, waarbij het slachtoffer wordt gevraagd om de bijgevoegde factuur te bekijken (een Microsoft Word Document).

Het enige probleem is dat het Word-document eigenlijk een kwaadwillig script bevat dat via de macro-functie wordt geactiveerd. Een voorbeeld van de beschreven phishing-email is hieronder weergegeven.

Malicious emails distributing Locky

Voorbeeld nr. 4: Spam die het thema van belangrijke sportevenementen exploiteert

Houdt u van sport? Dan moet u zich bewust zijn van op het sportthema gebaseerde spam. In de afgelopen jaren hebben onderzoekers van Kaspersky een toename opgemerkt in e-mails die gericht zijn op gebruikers die geïnteresseerd zijn in het Europese voetbalkampioenschap, in de komende wereldbeker in 2018 en 2022, evenals de Olympische Spelen in Brazilië.

Dergelijke berichten bevatten een schadelijk ZIP-archief dat een trojan (malware-downloader) bevat in de vorm van een JavaScript-bestand. Volgens deskundigen is de trojan ingesteld om nog meer malware op de computer te downloaden. Zie hieronder een voorbeeld van het kwaadaardige bericht.

Malicious spam targeting FIFA fans

Voorbeeld nr. 5. Op het terrorisme-thema gebaseerde spam

Cyber-fraudeurs vergeten niet dat terrorisme een van de onderwerpen van actueel belang is. Het is dan ook niet verrassend dat dit thema ook wordt gebruikt in kwaadaardige spam. Op het terrorisme-thema gebaseerde spam is niet een van de favorieten van de oplichters; u moet echter wel weten wat u kunt verwachten. Hieronder vindt u een voorbeeld van dit e-mailbericht. Dit soort spam wordt doorgaans gebruikt om persoonlijke gegevens te stelen, DDoS-aanvallen uit te voeren en malware te verspreiden.

Terrorism-based phishing emails

Voorbeeld nr. 6. E-mails die “beveiligingsverslagen” bevatten

Onderzoekers ontdekten nog een e-mailcampagne die schadelijke Word-documenten verspreidde. Het blijkt dat deze documenten ook besmettelijke macro's bevatten die CryptXXX-gijzelsoft downloaden en uitvoeren zodra het slachtoffer de vereiste functie activeert. Zulke e-mails bevatten een regel in het onderwerpgebied als bijvoorbeeld: ” Security Breach – Security Report #[random code].”

Het bericht bevat het IP-adres van het slachtoffer en de locatie van de computer, waardoor het slachtoffer het gevoel krijgt dat het bericht echt en betrouwbaar is. De boodschap waarschuwt het slachtoffer voor niet-bestaande bedreigingen, zoals beveiligingsinbreuken die blijkbaar zijn voorkomen en stelt voor om het rapport te controleren dat aan het bericht is gehecht. Natuurlijk is de bijlage schadelijk.

Phishing emails delivering ransomware

Voorbeeld nr. 7. Schadelijke spam die zogenaamd is verstuurd door legitieme bedrijven

Om het slachtoffer te overtuigen om het dossier dat is bijgevoegd bij een e-mail te openen, doen de oplichters alsof ze iemand anders zijn. De gemakkelijkste manier om de gebruiker te misleiden tot  het openen van een kwaadaardige bijlage, is het creëren van een misleidend e-mailaccount dat bijna identiek is aan die van een legitiem bedrijf.

Door dergelijke nep-e-mailaccounts te gebruiken, vallen de scammers computergebruikers aan met mooi opgestelde e-mails die een kwaadaardige lading met zich meedragen in een bijgevoegd bestand. In het onderstaande voorbeeld ziet u een e-mail die door scammers werd verzonden die zich voordoen als werknemer van Europcar.

Scammers impersonate Europcar employees

Het onderstaande voorbeeld laat zien welke berichten werden gebruikt in een aanval op klanten van het telecombedrijf A1. Deze phishing-berichten bevatten misleidende DropBox-URL's die hebben doorgeleid naar kwaadaardige ZIP- of JS-bestanden. Uit uitgebreide analyse bleek dat deze bestanden het Crypt0l0cker-virus bevatten.

Mail spam targeting A1 Telekom users

Voorbeeld nr. 8. Dringende opdracht van uw baas

Onlangs zijn scammers begonnen met het gebruik maken van een nieuwe truc die hen helpt om in een paar minuten geld afhandig te maken van onoplettende slachtoffers. Stelt u zich voor dat u een e-mail van uw baas hebt ontvangen, waarin staat dat hij/zij op vakantie is en dat u dringend een betaling aan een bedrijf moet doen, omdat de baas binnenkort niet meer bereikbaar zal zijn.

Helaas, als u zich haast om aan dergelijke commando's te gehoorzamen en niet de kleine details te controleren voordat u dat doet, kan het gebeuren dat u uiteindelijk geld overboekt naar het bedrijf van een crimineel of, nog erger, het hele computernetwerk met malware besmet.

Een andere truc die u kan misleiden tot het openen van dergelijke kwaadaardige bijlages, doet alsof het een collega van u is. Deze truc kan succesvol zijn als u in een groot bedrijf werkt en u niet al uw collega's kent. U kunt hieronder een aantal voorbeelden van dergelijke phishing-e-mails zien.

Task from boss spam

Voorbeeld nr. 9. Op het belastingthema gebaseerde phishing

Scammers volgen de verschillende landelijke- en regionale-belastingplannen en laten geen kans voorbijgaan om door de overheid opgestarte belastingcampagnes te misbruiken voor het verspreiden van schadelijke programma's. Ze gebruiken een verscheidenheid aan sociale technieken om de onwetende slachtoffers te misleiden tot het downloaden van kwaadaardige bestanden die langs komen middels misleidende virtuele brieven.

Dergelijke bijlagen dragen meestal bank-trojans (keyloggers) die, zodra ze geïnstalleerd zijn, persoonlijke gegevens stelen zoals de naam, achternaam, logins, creditcardinformatie en soortgelijke gegevens van het slachtoffer. Het kwaadaardige programma kan op de loer liggen in een kwaadaardige e-mailbijlage of in een link die in het bericht is geplaatst. Hieronder ziet u een voorbeeld van een e-mail die een vals ontvangstbewijs levert voor ingediende belastingen, maar die eigenlijk een Trojaans paard is.

Income Tax Receipt virus

Scammers proberen ook de aandacht van de computergebruiker te trekken en hem/haar te dwingen om de kwaadaardige bijlage te openen door te vermelden dat er juridische straf volgt staat als men dat niet doet. Het bericht zegt dat er iets moet gebeuren met betrekking tot de dagvaarding door de belastingdienst, die aan het bericht is bijgevoegd.

Natuurlijk is het bijgevoegde document geen dagvaarding: het is een kwaadaardig document dat wordt geopend in de beschermde weergave en ​het slachtoffer vraagt om het bewerken ervan mogelijk te maken. Daardoor downloadt de kwaadwillige code in het document daarna malware op de computer.

Tax Subpoena scam

Het laatste voorbeeld laat zien hoe scammers proberen om accountants te misleiden om kwaadaardige bijlagen te openen. De e-mail lijkt te zijn van iemand die de hulp van een gecertificeerd accountant zoekt, en natuurlijk bevat het een of twee bijlages. Dit zijn echter gewoon kwaadaardige Word-documenten die een script activeren en malware downloaden van een externe server zodra het slachtoffer ze opent.

Tax Phishing

Hoe kunt u kwaadaardige e-mails identificeren en uw systeem veilig houden?

Er zijn enkele hoofdprincipes om op te volgen als u probeert om kwaadaardige e-mails te voorkomen.

  • Vergeet de spam-map. Er is een reden waarom e-mailbrieven in het spam- of junk-gedeelte binnenkomen. Het betekent dat de e-mailfilters automatisch identificeren dat identieke of soortgelijke e-mails aan duizenden mensen worden verzonden, of dat de meerderheid van de ontvangers al dergelijke berichten als Spam hebben gemarkeerd. Legitieme e-mails vallen uitsluitend in zeer zeldzame gevallen in deze categorie. Blijf dus beter uit de buurt van spam en junk-mappen.
  • Controleer de afzender van een e-mail voordat u deze opent. Als u niet zeker bent over de afzender, benader dan niet de inhoud van deze e-mail. Zelfs als u een antivirus- of anti-malware-programma hebt, klik dan niet op links die aan het bericht zijn toegevoegd en open de bijgevoegde bestanden niet zonder heel goed na te denken. Onthoud dat zelfs de beste beveiligingsprogramma's een gloednieuw virus niet kunnen identificeren als u een van de eerste doelwitten bent die door ontwikkelaars ervan worden uitgekozen. Als u niet zeker bent van de afzender, kunt u altijd contact opnemen met het betreffende bedrijf waar de verzender voor zegt te werken en daar navragen doen over de e-mail die u zojuist heeft ontvangen.
  • Houd uw pc-beveiliging up-to-date. Het is belangrijk om geen oude programma's op het systeem te hebben, omdat ze meestal vol beveiligingsrisico's zitten. Om dergelijke risico's te voorkomen, schakelt u het beste de automatische software-updates in. Gebruik ten slotte een goed anti-malware programma om kwaadaardige programma’s te voorkomen. Vergeet niet dat alleen een up-to-date beveiligingsprogramma uw computer goed kan beschermen. Als u een oud gebruikt en als u de installatie van de updates niet regelmatig opvolgt, is het duidelijk dat schadelijke programma's snel op uw computer terecht kunnen komen, zonder dat deze worden geïdentificeerd en geblokkeerd.
  • Zoek uit of de URL veilig is zonder erop te klikken. Als de e-mail die u heeft ontvangen een schadelijke URL bevat, beweegt u uw muis erover om de validiteit ervan te controleren. Kijk dan naar de linkerbenedenhoek van uw webbrowser. U moet de echte URL zien waarnaar u wordt doorgestuurd. Als het verdacht lijkt of eindigt op .exe, .js of .zip, klik er dan niet op!
  • Cybercriminelen hebben meestal slechte schrijfvaardigheden. Daarom stellen ze vaak zelfs een kort bericht op met spel- of grammaticale fouten. Als u dat opmerkt, blijf dan weg van de URL's die zijn toegevoegd aan het bericht of de bijgevoegde bestanden.
  • Ga niet gehaast te werk! Als u ziet dat de afzender u met nadruk vraagt ​​om de bijlage of een bepaalde link te openen, denk dan nog eens tweemaal goed na voordat u dat doet. Het bijgevoegde bestand bevat waarschijnlijk malware.

Over de auteur

Olivia Morelli
Olivia Morelli

Malware analist...

Contact Olivia Morelli
Over het bedrijf Esolutions

Bron: https://www.2-spyware.com/how-to-identify-an-email-infected-with-a-virus

Lezen in een andere taal


Bestanden
Software
Vergelijk
Net als ons op Facebook