Атаки с использованием вложений
Сокрытие расширения вложения с помощью пробелов
18 мая 2000 года Волкер Вес (Volker Werth) поместил в списке рассылки Incidents сообщение, в котором говорилось об одном методе отправки вложений в почтовых сообщениях. Особенность этого метода заключалась в остроумном способе маскировки имени присоединенного файла. Вставка в имя файла символов пробелов (%20) приводила к тому, что почтовые программы отображали только первые несколько символов имени файла. Например:
freemp3.doc… [150 пробелов]….ехе
Название этого вложения выглядит в интерфейсе пользователя как freemp3.doc. Сам файл кажется вполне безобидным и, казалось бы, его можно сохранить на диске или запустить прямо из почтовой программы. Вот как выглядит моментальный снимок окна программы Outlook Express.
Контрмеры против сокрытия имени присоединенного файла
Из приведенного рисунка видно, что файл вложения не является документом Word. На это указывает и троеточие (…). Если этих признаков недостаточно, то вообще не стоит открывать файл вложения прямо из почтовой программы! В этом поможет модуль обновления Outlook SR-1 Security. После его установки пользователю придется принудительно сохранять на диске те файлы, которые могут нанести ущерб.
Методы социальной инженерии, помогающие ввести пользователя в заблуждение и загрузить вложение
Социальная инженерия – это действенный метод, помогающий убедить пользователя сохранить файл вложения на диске. Вам когда-нибудь встречалось сообщение со следующим текстом?
"This message uses a character set that is not supported by the Internet Service. To view the original message content, open the attached message. If the text doesn't display correctly, save the attachment to disk, and then open it using a viewer that can display the original character set."
("В данном сообщении используется набор символов, которые не поддерживаются используемой службой Internet. Чтобы просмотреть содержимое первоначального сообщения, откройте вложенное сообщение. Если текст отображается некорректно, сохраните вложение на диске, а затем откройте его с помощью программы просмотра, которая может отобразить первоначальный набор символов".)
Это стандартное сообщение, которое создается в том случае, когда почтовые сообщения (в формате. EML) пересылаются пользователям Outlook и возникают некоторые ошибки с обработкой данных MIME вложенного/полученного сообщения. В этом случае каждый может попасться на крючок, что позволяет добиться запуска вложения (либо напрямую, либо после сохранения его на диске). Авторам доводилось получать такие сообщения даже с очень известных серверов. Конечно, это лишь одна из многочисленных возможностей, которой взломщики могут воспользоваться для реализации своих злонамеренных замыслов. Будьте бдительны!
Меры предосторожности против трюков с вложением
Контролируйте свои действия и не совершайте необдуманных поступков. Перед тем как запустить сохраненные на диске вложения, проверяйте их на наличие вирусов с помощью специальных программ. Даже если в результате проверки не будет обнаружено ничего подозрительного, перед запуском нужно всерьез подумать о том, кто является автором сообщения. При этом помните, что такие вирусы-"черви", как ILOVEYOU, могут быть получены даже от самых близких друзей.