Защита электронного почтового ящика от писем-ловушек
В последнее время на официальную почту Северного Братства на протяжении вот уже 3-4 недель с завидной регулярностью присылаются письма-ловушки. Цель таких писем - различными способами с помощью особенностей и уязвимостей браузеров и конкретно почтового сервиса Gmail завладеть паролем от этой почты. Такие атаки не заканчивались никогда, но с середины марта их интенсивность значительно возросла. До такой степени, что было решено опубликовать это обращение и предупредить соратников о возможной угрозе.
Подобные атаки говорят о желании конкурентов и явных врагов скрытно читать и собирать электронную корреспонденцию, или же просто захватить и дискредитировать ящик Северного Братства. Характерными чертами последней волны атак является подстраивание под "правое" движение и количество самих сообщений - более трех десятков (!) за неполный месяц. Последний факт, в свою очередь, говорит или о том, что заказчиков несколько, или о том, что заказчик - осел, и дал задание сразу нескольким специалистам.
Вот несколько характерных признаков зловредных писем:
- сообщения якобы от администрации почтового сервиса с подделкой отправителя;
- сообщения с явной целью получения какой-либо информации якобы от администраций других сервисов и спам-блокираторов;
- сообщения от неизвестных контактов с вложениями в виде картинок, документов и архивов;
- сообщения с вложениями от известных контактов, но с подозрительными содержимым письма, текстом самого письма и описанием вложений;
- сообщения от известных и неизвестных контактов с настоятельной просьбой пройти по какой-либо ссылке;
- при использовании веб-доступа к почтовому ящику возможна подстройка интерфейса и шрифта сообщений под встроенную антивирусную защиту почтовых сервисов.
Для того, чтобы не попадаться на удочку, нужно помнить несколько элементарных правил безопасности:
- не открывать и не сохранять подозрительные вложения;
- если в этом есть необходимость, то прежде чем открыть какое-либо вложение, нужно сохранить его к себе на компьютер и, НЕ ОТКРЫВАЯ, проверить антивирусом или отправить его на virustotal.com. Для продвинутых пользователей рекомендуется использование виртуальных машин, брэндмауэров и различных анализаторов поведения и виртуализации;
- использовать длинный, сложный, но легкозапоминающийся пароль, состоящий из строчных и заглавных букв, цифр и спецсимволов. Например, Vse1Negry2Tupye3Obeziany4!;
- если не уверены в отправителе, содержимом или вложениях - не стеснятся ОТВЕЧАТЬ на письмо и уточнять, что он прислал;
- использовать GPG-шифрование. В этом случае компрометация почтового ящика является бессмысленной;
- взять на вооружение инструкции по безопасности от Северного Братства.
Стоит отметить, что на наши инструкции ссылаются авторитетные ресурсы, посвященные безопасности, анонимности и защите свободы слова. Например, на "Википедии" можно найти ссылки на страницах, посвященных шифрованию, анонимности, мобильной и радиосвязи.
В скором времени выйдет пакет программ СБ, включающий портативную сборку по безопасности в сети, шифрованию и общению. Следите за обновлениями.
Для наглядности приводим некоторые письма, присланные нам на ящик.
Gmail Письма < letters@gmail.com > 23.03.2010 5:38:45
Тема: У Вас 1 недоставленное письмо!
-
Здравствуйте!
Письмo, oтпрaвлeннoe Вaм 22.03.2010, не былo дoстaвлeнo, пo причинe пeрeгрузки сeрвeрa.
Для тoгo, чтoбы прочитать письмo, нaжмитe нa ссылку, рaспoложeнную нижe.
Прочитать <ссылка>
Приносим извинения за доставленные неудобства!
-
=sXe= < xpaganfrontx@gmail.com > 23.03.2010 5:42:59
Тема: Фотки с концерта!
-
Фотки:
3 attachments- Scan and download all attachmentsView all images <ссылка>
IMG0032.JPG
151K ViewScan and Download <ссылка>
IMG0071.JPG
169K ViewScan and Download <ссылка>
IMG0095.JPG
205K ViewScan and Download <ссылка>
-
Команда Gmail < team@gmail.com > 24.03.2010 5:26:46
Тема: Пожалуйста, подтвердите активность Вашего почтового ящика!
-
Уважаемый пользователь!
Пожалуйста, подтвердите активность Вашего почтового ящика!
В случае Вашего не подтверждения, Ваш почтовый ящик приобретет статус неактивного аккаунта и будет удален с нашего сервера Gmail
Просим подтвердить активность Вашего почтового ящика, для этого пройдите по следущей ссылке:
http://mail.google.com/cgi-bin/start?back=19108953412951289123698719316358 <ссылка>
В случае не получения Вашего подтверждения, Ваш аккаунт приобретет статус недействительного и будет удален с нашего сервера без возможности восстановления.
Все эти временные неудобства по причине того, что мы хотим повысить качество и скорость работы нашей системы.
Вы получили это письмо, потому что зарегистрированы на сайте Gmail
С уважением,
Команда Gmail
-
xRUSx < ruspowerwp@gmail.com > 25.03.2010 17:38:48
Тема: Позвоните мне!
-
Приветствую, позвоните мне!
ОТОБРАЗИТЬ СКРЫТЫЙ ТЕКСТ <ссылка>
-
Александр Евгеньевич < alexsandr_evg@mail.ru 26.03.2010 18:59:51
Тема: Реквизиты изменились
Добрый день!
Реквизиты изменились:
Прикрепленные данные: JND053212.doc (.jpg/plain, 127K) <ссылка>
Скачать <ссылка> Удалить <ссылка>
Администрация Google.com < antispam@googlemail.com > 30.03.2010 3:02:28
Тема: [Ticket#2010237315841598] Блокировка учётной записи
-
Здравствуйте.
В связи с поступившими жалобами на рассылку рекламных писем (спам) с Вашего почтового адреса, администрация вынуждена заблокировать Вашу учетную запись.
Ваш профиль будет заблокирован, в связи с жалобой поступившей к администрации 29.03.2010.
Согласно пункту 11.3 пользовательского соглашения, Google.com оставляет за собой право временно приостановить либо прекратить предоставление услуг, своевременно уведомив об этом пользователя.
Для продолжения пользования учетной записью, и подтверждения, что Ваша учётная запись не используется спам-ботом, Вам необходимо авторизоваться на сервере.
Чтобы авторизоваться на сервере нажмите авторизоватьсяили пройдите по ссылке https://www.google.com/accounts/ServiceLogin. <ссылка>
После удачной авторизации, в течении суток Вам будет выслано письмо с инструкциями как защитить свой электронный адрес от нежелательной корреспонденции.
Если заявка не будет отклонена в течении 3 дней, ваш почтовый аккуант будет заблокирован.
Ей присвоен номер 2010237315841598.
Чтобы подробней узнать об услуге - посетите Службы Google.Com. <ссылка>
Эти меры принимаются всвязи с возросшим количеством нежелательных писем, получаемых пользователями Google.Com.
Администрация вынужденна ужесточить политику борьбы со спамом. Приносим свои извинения.
С уважением,
GoogleMail Team. <ссылка>
-
Команда Google < letter@corp.gmail.com > 01.04.2010 20:39:18
Тема: У Вас 3 новых сообщения!
-
Уважаемый пользователь!
Рады сообщить, что начал работу новый сервис - Конфиденциальная почта Gооgle!
С помощью нашего сервиса, Вы сможете передавать и принимать важные документы, надежно защищенные от посторонних глаз, благодаря многоступенчатому шифрованию данных. Доступ к таким данным осуществляется с помощью разового пароля, передаваемого Вам через смс. Настроить доступ к сервису, Вы сможете выбрав папку ниже.
С уважением, Команда Gооgle.
В настоящий момент, в вашем ящике 3 новых сообщения. Чтобы прочитать их, выберите папку:
Конфиденциальные3(0) <ссылка>
Корзина 0(0) <ссылка>
_______________
Отписaтьсяот рассылки уведомлений. <ссылка>
Это сообщение сгенерировано автоматически, отвечать на него не нужно.
Альфа Банк < alpha@alphabank.ru > 01.04.2010 21:15:03
Тема: 01.04, выписка по счету
-
--
С уважением
--
Alpha Bank
--------------------------------------------------------------------------------
Прикрепленные данные: 01.04_vipiska.doc(application/octet-stream, 159K) <ссылка>
СкачатьУдалить <ссылка>
--------------------------------------------------------------------------------
Прикрепленные данные: 01_April.doc(application/octet-stream, 107K) <ссылка>
СкачатьУдалить <ссылка>
--------------------------------------------------------------------------------
Скачать данные одним архивом: attachments.zip <ссылка>
-
Google Security < security@gmail.com > 04.04.2010 2:20:24
Тема: Повышение безопасности Google
-
Здравствуйте.
В системе Google Mail добавлена новая опция безопасности почтового ящика.
Теперь Ваша почта дополнительно будет защищена уникальным ID. Уникальный ID устанавливается один раз и не может быть изменён. Установка уникального ID обязательна для всех пользователей системы Google Mail. После установка уникального ID, система запомнит сетевые параметры Вашего компьютера и при каждом входе в систему будет сверять их. При попытке входа в систему с другого компьютера, система определит его как новый и потребует ввести уникальный ID для подтверждения. На одном компьютере уникальный ID вводится один раз, при следующих входах ввод уникального ID не потребуется.
Уникальный идентификатор, который вам следует запомнить или записать на бумагу. Длина идентификатора от 5 символов. Можно использовать буквы латинского алфавита ( [A-Z] и [a-z] ), цифры [0-9] и символ подчеркивания _.
Нажмите здесь <ссылка>, чтобы установить уникальный ID через специальную страницу > <ссылка>
Установить уникальный ID необходимо до 08.04.2010, по окончанию срока, уникальный ID будет установлен автоматически, и Вы не сможете его поменять.
Настоятельно рекомендуется установить уникальный ID самостоятельно, чтобы Вы могли его запомнить.
Google Security
-
Под <ссылка> в данных случаях имеется в виду ссылка на подставной сайт или ресурс, где с помощью уязвимостей браузера и почтового сервиса Google незаметно крадется ваш пароль.
Также стоит отметить социальную инженерию, которую используют злоумышленники. Обратите внимание на подстраивание под "правую" тусовку - сочетания "ns", "wp", "white", "sXe", "paganfront", а так же на срочность каждого письма - все манипуляции должны совершаться немедленно, пока вы не опомнились - иначе вас заблокируют или удалят.
Однако следует помнить, что для спецслужб нет необходимости действовать подобным образом. Им достаточно, сидя за столом, сделать запрос и они получат привилегированный доступ к вашей почте. Поэтому вся переписка Северных Братьев ведется строго шифрованно, с непубличных ящиков и нетривиальными способами. Однако по поступающей к нам все чаще информации, возможности российских спецслужб, несмотря на окружающий их ореол всевластия и неограниченных возможностей, мягко говоря, сильно преувеличены. Тем не менее, публичный ящик используется уже с поправкой на то, что он читается псами системы. Более того, ведутся работы по повышению безопасности публичной переписки и в скором времени официальный ящик электронной корреспонденции Северного Братства и методы коммуникации изменятся до недосягаемого для сотрудников ФСБ уровня.
Отдел безопасности Северного Братства
7 апреля 2010 г.
Русские Новости | Защита электронного почтового ящика от писем-ловушек