Фишинг имейли с призив за изтегляне на очаквани файлове

Фишингът използва различни техники за постигане на злонамерените си цели. В първата част на темата фишинг описахме един от най-често срещаните негови варианти – имитация на логин страница от сайт, с цел прихващане на данните за достъп.

В тази статия ще опишем друг вариант на фишинг имейлите, който използва препратка, но не към имитация на логин страница, а към злонамерен файл, намиращ се на злонамерен сайт. А целта на този фишинг е компрометиране на потребителското устройство, след като потребителят натисне (кликне) на препратката и изтегли файла.

Припомняме значението на фишинг: Фишингът (phishing) представлява злонамерено действие, използващо имитация на реални сайтове, страници, форми за логин, имейл съобщения, файлове и други, с цел заблуда и прихващане на чувствителни данни или компрометиране на потребителското устройство. 

Вижте още за фишинга с имитация на логин страница в статията: Фишинг – на лов, но не за риба, а за Вашите лични данни | Blog

Важно! Фишинг имейли с фактура от СуперХостинг.БГ

От известно време забелязваме вълна от фишинг имейли и случаи, в които наши клиенти са получили измамно писмо с препратка към злонамерен файл. Фишинг имейлът имитира наш имейл за издадена фактура и на препратката към файла е поставен текст „Изтегляне на фактура“. Не кликайте на препратката и не изтегляйте този файл!

Преди да кликнете на препратката, погледнете какъв е реалният ѝ URL адрес.
Преди да кликнете на препратката, погледнете какъв е реалният ѝ URL адрес.

Знаци, по които да разпознаете фишинга

  • Първият знак, че имейлът може да е фишинг, е липсата на Вашето име в писмото. В изпратените от нас реални писма за фактура, след поздрава в началото, се обръщаме към клиентите си с имената им. Ако видите, че след поздрава не е посочено името Ви, това е сигнал, че писмото не е от нас и може да е измамно.
  • Вторият знак, който може да е по-труден за забелязване, са грешните данни за контакт. В измамното писмо телефоните за връзка са грешни. Това можете да установите на момента, но ако знаете какви са реалните данни за контакт. Тези данни са публикувани на сайта ни, в страница За Контакти.
  • Третият знак, който е категоричен индикатор, че писмото е измамно, е реалният URL адрес на препратката към фактурата (файла). URL адресът е скрит под текста на препратката „Изтегляне на фактура“. Във всички уебмейл и имейл клиенти за десктоп, можете да използвате метода с посочване на препратката с мишката, за да видите реалния URL адрес. Поставете курсора на мишката върху препратката и погледнете в левия ъгъл долу в прозореца. Ако писмото се представя като изпратено от СуперХостинг.БГ, но URL адресът не започва с домейна „superhosting.bg”, това означава, че е измамно. Не кликайте на препратката и изтрийте писмото от пощата или ни го изпратете, за да го анализираме. Ако пощата се проверява от повече потребители, изтрийте писмото, за да не го намери някой друг и да кликне на препратката вместо Вас.

Тези фишинг имейли, представени като фактура за изтегляне, се разпращат до всякакви имейл адреси, не само към наши клиенти.

Проверка на реалния URL адрес на препратката

Много силен индикатор за това дали дадено писмо е измамно, е реалният URL адрес на препратката в него. Когато всички други знаци са трудно забележими, реалният URL адрес може да потвърди съмненията Ви.

Тази проверка можете да я прилагате не само в имейлите, но и в уебстраниците, за да видите къде точно ще Ви отведат препратките в тях. По този начин можете да се предпазите от сайтове, които не искате да посещавате.

Как да видите URL адреса на препратката?

URL адресът в препратката може да е под текст, дума, няколко думи, текст на URL адрес дори и под картинка.

Без да кликвате на препратката, можете да проверите какъв е нейния URL адрес, като поставите курсора на мишката върху текста (без да кликвате!). Само поставете курсора отгоре и погледнете вляво долу в прозореца. Индикацията може да се показва на различни места в прозореца на приложението, което използвате, но най-често е в долния ляв ъгъл.

Може да опитате няколко пъти да минете с курсора върху препратката и да наблюдавате къде точно се показва адреса. Запомнете местоположението му и за всеки имейл, в който има препратка, проверявайте тази информация.

Ето на практика как можете да видите URL адреса на дадена препратка в имейл или в уебстраница:

1. Без да кликвате, поставете курсора на мишката върху препратката:

Изтеглете фактурата си от тук!

Погледнете вляво долу в прозореца.

За щастие реалният URL адрес е към помощната ни страница, така че можете спокойно да кликнете върху препратката, ще се отвори в нов прозорец.

2. Втори опит, поставете курсора на мишката върху измамно изглеждащата коректно препратка:

https://superhosting.bg/invoiceBGN

Погледнете какъв е реалният URL адрес на тази препратка.

Текстът на препратката е „https://superhosting.bg/invoiceBGN“, но реалният URL адрес може да е напълно различен (например „https://notexistingdomain.com/kzpwsajodkvcse“).

Когато видите препратка, не се доверявайте на текста ѝ, тъй като той може да е всичко – дори във вид на URL адрес.

Вижте повече за HTML тага „<a>“, в който се задава URL адресът и текстът на препратката: Препратки (линкове, хипервръзки) в HTML | Help

Ако даденото писмо не е в HTML формат, а в обикновен текст (plain text), то и препратките в него няма да са активни, тъй като са обект от HTML езика. Фишинг имейлите не са в обикновен текст, дори някои да изглеждат така. Като например следния фишинг мейл, който е в HTML формат, но е направен да изглежда като обикновен текстов формат:

Фишинг имейл, отворен в уебмейл RoundCube, имитиращ обикновен текстов формат, но реално е в HTML.
Фишинг имейл, отворен в уебмейл RoundCube, имитиращ обикновен текстов формат, но реално е в HTML.

Къде се вижда реалният URL адрес в мейл клиента?

В имейл клиентите за десктоп като Mozilla Thunderbird, MS Outlook и други, URL адресът се вижда в долния ляв ъгъл, при поставяне на курсора на мишката върху препратката.

Mozilla Thunderbird

В Thunderbird URL адресът се вижда в долния ляв ъгъл на прозореца.
В Thunderbird URL адресът се вижда в долния ляв ъгъл на прозореца.

MS Outlook

В Outlook URL адресът се вижда над препратката и в долния ляв ъгъл на прозореца.
В Outlook URL адресът се вижда над препратката и в долния ляв ъгъл на прозореца.

Mac Mail

В Mac Mail URL адресът се вижда в долния ляв ъгъл на прозореца.
В Mac Mail URL адресът се вижда в долния ляв ъгъл на прозореца.

RoundCube и Horde

Уебмейл услугите се използват през уеб браузъра и при всички трябва да е възможно да се използва методът с посочването на препратката.

Уеб мейл клиентите RoundCube и Horde.
Уеб мейл клиентите RoundCube и Horde.

Проверка на URL адреса на препратка през мобилно устройство

Проверката на URL адреса в уебмейл (в браузъра) през мобилно устройство (Android), се извършва с натискане и задържане върху препратката. Ще се отвори меню, в което ще е изписан URL адреса.

Horde и RoundCube в Chrome на Android устройство - натиснете допълнително върху полето с адреса, за да се покаже целият.
Horde и RoundCube в Chrome на Android устройство – натиснете допълнително върху полето с адреса, за да се покаже целият.

Проверката на URL адреса в имейл приложение (Android) ще зависи от самото приложение.

Например във вграденото Mail приложение на Android не е налична опция или начин, чрез който може да се види реалният URL адрес на препратка в писмото.

Докато в Gmail приложението за Android е възможно да се види URL адресът, като се натисне със задържане върху препратката

В Gmail приложението URL адресът се показва, след натискане и задържане върху препратката.
В Gmail приложението URL адресът се показва, след натискане и задържане върху препратката.

За какво да внимавате с реалния URL адрес

Понякога дори след като видите реалния URL адрес, може да имате съмнения в него. Не всички компании използват домейна на сайта си за препратките.

Ако имейлът е от СуперХостинг.БГ, то всеки URL адрес ще започва с домейна superhosting.bg или негови поддомейни (help, blog и други). Ако адресът не започва с тези домейни, това е сигурен сигнал, че писмото е измамно, не кликайте на препратката при никакви положения.

Когато вече сте получавали легитимни имейли от дадената компания, с легитимни препратки и адреси, то и следващите би трябвало да изглеждат по същия начин. Ако направите сравнение на няколко URL адреса в няколко писма от дадената компания и те са идентични, но в последното писмо адресът е коренно различен, това е индикатор за повишено внимание.

Безсмислени домейни. Независимо коя компания Ви изпраща писмото, използваните от нея домейни е почти сигурно, че ще са смислени и говорещи. Дори да не е точно като името на компанията, може да е името на продукта, услугата или нещо, което ще може лесно да се свърже с по-голямото име. Всякакви безсмислени комбинации от символи в домейн името е индикатор за повишено внимание.

Възможно е адресът да е от тип кратък URL адрес (short url). Съществуват услуги в уеб, които предоставят възможност за скъсяване на URL адреса, като предоставят негов кратък заместител. Такива услуги са tiny.cc, bitly.com, cutt.ly и други. Кратките адреси често се използват в измамните писма, за да прикрият допълнително истинския URL адрес.

Реалният URL адрес е скрит чрез използване на услуга за скъсяване на адреси.
Реалният URL адрес е скрит чрез използване на услуга за скъсяване на адреси.

Бележка: Ние не пращаме на клиентите си съкратени URL адреси!

В тези случаи за да видите оригиналния URL адрес, може да го проверите в инструмент като https://checkshorturl.com, https://unshorten.it и други.

Какво да правите, когато получите такъв имейл?

Ако получите имейл от банката, от нас, или която и да е друга компания, в който се изисква да достъпите акаунта Ви или да изтеглите файл, не кликайте прибързано на препратките. Първо проверете реалния им URL адрес. По-сигурният начин е, да заредите сайта на компанията през браузър, изписвайки го, и през него да се логнете или да свалите въпросните файлове.

Фишинг атаките са глобален проблем. Описаните два варианта, в тази и предишната статия, не изключват възможността за съществуването на други варианти. Поради това при най-малкото съмнение, че даден имейл не е от компанията, която е представена за подател, заредете директно официалния ѝ сайт в браузъра, вижте контактите и се свържете с нея.

Доверете се на услугата Премиум защита от SPAM и вируси

Тя успешно предпазва бизнес пощите Ви от нежелани и злонамерени имейли, съдържащи SPAM, вируси, фалшиви фактури, призив за споделяне на данни (лични или фирмени). Допълнителната защита е част от портфолиото на СуперХостинг.БГ и тя сканира всяко входящо съобщение, като оценява доколко то е надеждно и чисто. По този начин получавате само безопасни имейли.

Можете да се възползвате от услугата, като я добавите през своя клиентски профил или като я поръчате с нова хостинг услуга на стъпка 3 от поръчката на superhosting.bg. При нужда от съдействие, свържете се с нас – по чат, имейл или телефон.

Прочетете повече: 3 причини да имате по-защитени бизнес пощи | Blog

Предстои Ви да си направите сайт? Поздравяваме Ви! Това е най-добрият начин да ускорите развитието на своя проект или съществуващ бизнес. А за да сте напълно спокойни за Вашата бизнес комуникация, добавете услугата Премиум защита от SPAM и вируси, която Ви предпазва от измамни имейли, съдържащи фалшиви фактури, фишинг атаки, вируси, SPAM.

Абонирайте се за СуперБлога, за да получавате навреме новини и помощна информация, свързана със защитата и сигурността на Вашите сайтове и пощи.

Мадлена Методиева
Мадлена Методиева
Меган е част от СуперМаркетинг екипа. Мисията ѝ е старателно да попълва е-библиотеката на СуперХостинг.БГ с полезни и помощни статии.
0 0 votes
.
Абониране
Уведоми ме при
guest

0 Коментара
Inline Feedbacks
View all comments
Искам сайт, но не знам откъде да започна

Искам сайт, но не знам откъде да започна [Аудио]

2
Решихме да Ви споделим накратко стъпките, които трябва да извървите, за да изградите своето онлайн присъствие.
6 причини за съобщение Internal Server Error 500

6 причини за съобщение Internal Server Error 500 [Аудио]

11
Причините за генерирането на това съобщение може да са най-различни - некоректно изпълняващ се скрипт в сайта, некоректни права на файлове и директории и други

Black Friday: WooCommerce магазинът ми продава повече от магазина ти!

0
Задаваме 7 въпроса, през които трябва да преминете, за да имате изряден WooCommerce магазин. Типично в наш стил, не Ви спестяваме и отговорите.