Натиснете ENTER, за да видите резултатите или ESC за изход.

Фишинг имейли с призив за изтегляне на очаквани/познати файлове

Фишингът използва различни техники за постигане на злонамерените си цели. В първата част на темата фишинг описахме един от най-често срещаните негови варианти - имитация на логин страница от сайт, с цел прихващане на данните за достъп.

В тази статия ще опишем друг вариант на фишинг имейлите, който използва препратка, но не към имитация на логин страница, а към злонамерен файл, намиращ се на злонамерен сайт. А целта на този фишинг е компрометиране на потребителското устройство, след като потребителят натисне (кликне) на препратката и изтегли файла.

Припомняме значението на фишинг: Фишингът (phishing) представлява злонамерено действие, използващо имитация на реални сайтове, страници, форми за логин, имейл съобщения, файлове и други, с цел заблуда и прихващане на чувствителни данни или компрометиране на потребителското устройство. 

Вижте още за фишинга с имитация на логин страница в статията: Фишинг - на лов, но не за риба, а за вашето потребителско име и парола | Blog

Важно! Фишинг имейли с фактура от СуперХостинг.БГ

От известно време забелязваме вълна от фишинг имейли и случаи, в които наши клиенти са получили измамно писмо с препратка към злонамерен файл. Фишинг имейлът имитира наш имейл за издадена фактура и на препратката към файла е поставен текст „Изтегляне на фактура“. Не кликайте на препратката и не изтегляйте този файл!

Преди да кликнете на препратката, погледнете какъв е реалният ѝ URL адрес.
  • Първият знак, че имейлът може да е фишинг, е липсата на Вашето име в писмото. В изпратените от нас реални писма за фактура, след поздрава в началото, се обръщаме към клиентите си с имената им. Ако видите, че след поздрава не е посочено името Ви, това е сигнал, че писмото не е от нас и може да е измамно.
  • Вторият знак, който може да е по-труден за забелязване, са грешните данни за контакт. В измамното писмо телефоните за връзка са грешни. Това можете да установите на момента, но ако знаете какви са реалните данни за контакт. Тези данни са публикувани на сайта ни, в страница За Контакти.
  • Третият знак, който е категоричен индикатор, че писмото е измамно, е реалният URL адрес на препратката към фактурата (файла). URL адресът е скрит под текста на препратката „Изтегляне на фактура“. Във всички уебмейл и имейл клиенти за десктоп, можете да използвате метода с посочване на препратката с мишката, за да видите реалния URL адрес. Поставете курсора на мишката върху препратката и погледнете в левия ъгъл долу в прозореца. Ако писмото се представя като изпратено от СуперХостинг.БГ, но URL адресът не започва с домейна „superhosting.bg”, това означава, че е измамно. Не кликайте на препратката и изтрийте писмото от пощата или ни го изпратете, за да го анализираме. Ако пощата се проверява от повече потребители, изтрийте писмото, за да не го намери някой друг и да кликне на препратката вместо Вас.

Тези фишинг имейли, представени като фактура за изтегляне, се разпращат до всякакви имейл адреси, не само към наши клиенти.

към началото

Проверка на реалния URL адрес на препратката

Много силен индикатор за това дали дадено писмо е измамно, е реалният URL адрес на препратката в него. Когато всички други знаци са трудно забележими, реалният URL адрес може да потвърди съмненията Ви.

Тази проверка можете да я прилагате не само в имейлите, но и в уебстраниците, за да видите къде точно ще Ви отведат препратките в тях. По този начин можете да се предпазите от сайтове, които не искате да посещавате.

Как да видите URL адреса на препратката?

URL адресът в препратката може да е под текст, дума, няколко думи, текст на URL адрес дори и под картинка.

Без да кликвате на препратката, можете да проверите какъв е нейния URL адрес, като поставите курсора на мишката върху текста (без да кликвате!). Само поставете курсора отгоре и погледнете вляво долу в прозореца. Индикацията може да се показва на различни места в прозореца на приложението, което използвате, но най-често е в долния ляв ъгъл.

Може да опитате няколко пъти да минете с курсора върху препратката и да наблюдавате къде точно се показва адреса. Запомнете местоположението му и за всеки имейл, в който има препратка, проверявайте тази информация.

Ето на практика как можете да видите URL адреса на дадена препратка в имейл или в уебстраница:

1. Без да кликвате, поставете курсора на мишката върху препратката:

Изтеглете фактурата си от тук!

Погледнете вляво долу в прозореца.

За щастие реалният URL адрес е към помощната ни страница, така че можете спокойно да кликнете върху препратката, ще се отвори в нов прозорец.

2. Втори опит, поставете курсора на мишката върху измамно изглеждащата коректно препратка:

https://superhosting.bg/invoiceBGN

Погледнете какъв е реалният URL адрес на тази препратка.

Текстът на препратката е „https://superhosting.bg/invoiceBGN“, но реалният URL адрес може да е напълно различен (например „https://notexistingdomain.com/kzpwsajodkvcse“).

Когато видите препратка, не се доверявайте на текста ѝ, тъй като той може да е всичко - дори във вид на URL адрес.

Вижте повече за HTML тага „<a>“, в който се задава URL адресът и текстът на препратката: Препратки (линкове, хипервръзки) в HTML | Help

Ако даденото писмо не е в HTML формат, а в обикновен текст (plain text), то и препратките в него няма да са активни, тъй като са обект от HTML езика. Фишинг имейлите не са в обикновен текст, дори някои да изглеждат така. Като например следния фишинг мейл, който е в HTML формат, но е направен да изглежда като обикновен текстов формат:

Фишинг имейл, отворен в уебмейл RoundCube, имитиращ обикновен текстов формат, но реално е в HTML.

Къде се вижда реалният URL адрес в мейл клиента?

В имейл клиентите за десктоп като Mozilla Thunderbird, MS Outlook и други, URL адресът се вижда в долния ляв ъгъл, при поставяне на курсора на мишката върху препратката.

Mozilla Thunderbird

В Thunderbird URL адресът се вижда в долния ляв ъгъл на прозореца.

MS Outlook

В Outlook URL адресът се вижда над препратката и в долния ляв ъгъл на прозореца.

Mac Mail

В Mac Mail URL адресът се вижда в долния ляв ъгъл на прозореца.

RoundCube и Horde

Уебмейл услугите се използват през уеб браузъра и при всички трябва да е възможно да се използва методът с посочването на препратката.

Уеб мейл клиентите RoundCube и Horde.

Проверка на URL адреса на препратка през мобилно устройство

Проверката на URL адреса в уебмейл (в браузъра) през мобилно устройство (Android), се извършва с натискане и задържане върху препратката. Ще се отвори меню, в което ще е изписан URL адреса.

Horde и RoundCube в Chrome на Android устройство - натиснете допълнително върху полето с адреса, за да се покаже целият.

Проверката на URL адреса в имейл приложение (Android) ще зависи от самото приложение.

Например във вграденото Mail приложение на Android не е налична опция или начин, чрез който може да се види реалният URL адрес на препратка в писмото.

Докато в Gmail приложението за Android е възможно да се види URL адресът, като се натисне със задържане върху препратката

В Gmail приложението URL адресът се показва, след натискане и задържане върху препратката.

към началото

За какво да внимавате с реалния URL адрес

Понякога дори след като видите реалния URL адрес, може да имате съмнения в него. Не всички компании използват домейна на сайта си за препратките.

Ако имейлът е от СуперХостинг.БГ, то всеки URL адрес ще започва с домейна superhosting.bg или негови поддомейни (help, blog и други). Ако адресът не започва с тези домейни, това е сигурен сигнал, че писмото е измамно, не кликайте на препратката при никакви положения.

Когато вече сте получавали легитимни имейли от дадената компания, с легитимни препратки и адреси, то и следващите би трябвало да изглеждат по същия начин. Ако направите сравнение на няколко URL адреса в няколко писма от дадената компания и те са идентични, но в последното писмо адресът е коренно различен, това е индикатор за повишено внимание.

Безсмислени домейни. Независимо коя компания Ви изпраща писмото, използваните от нея домейни е почти сигурно, че ще са смислени и говорещи. Дори да не е точно като името на компанията, може да е името на продукта, услугата или нещо, което ще може лесно да се свърже с по-голямото име. Всякакви безсмислени комбинации от символи в домейн името е индикатор за повишено внимание.

Възможно е адресът да е от тип кратък URL адрес (short url). Съществуват услуги в уеб, които предоставят възможност за скъсяване на URL адреса, като предоставят негов кратък заместител. Такива услуги са tiny.cc, bitly.com, cutt.ly и други. Кратките адреси често се използват в измамните писма, за да прикрият допълнително истинския URL адрес.

Реалният URL адрес е скрит чрез използване на услуга за скъсяване на адреси.

Бележка: Ние не пращаме на клиентите си съкратени URL адреси!

В тези случаи за да видите оригиналния URL адрес, може да го проверите в инструмент като https://checkshorturl.com, https://unshorten.it и други.

Ако получите имейл от банката, от нас, или която и да е друга компания, в който се изисква да достъпите акаунта Ви или да изтеглите файл, не кликайте прибързано на препратките. Първо проверете реалния им URL адрес. По-сигурният начин е, да заредите сайта на компанията и през него да се логнете или да свалите въпросните файлове.

Фишинг атаките са глобален проблем. Описаните два варианта, в тази и предишната статия, не изключват възможността за съществуването на други варианти. Поради това при най-малкото съмнение, че даден имейл не е от компанията, която е представена за подател, заредете директно официалния ѝ сайт в браузъра, вижте контактите и се свържете с нея.

Абонирайте се за нашия блог, за да получавате навреме новости и съвети за защита и сигурност при работа с пощата и хостинг услугите.

АБОНИРАНЕ

към началото

Специалист Техническа Поддръжка

Меган е една от нашите super-support-гурута. СуперСилите ѝ се крият в таланта ѝ да разказва за технически „неща“ по разбираем и достъпен начин.

500px270px
SuperHosting.BG

Оставете коментар

avatar
  Абониране  
Уведоми ме при