Az a gyanús, ami nem gyanús
Van, amikor a jól beállított biztonsági rendszeren is keresztül csúszik egy-egy olyan levél, amit ártó szándékkal küldenek nekünk.
Bár mindent megtettünk a biztonságunk érdekében, az e-mail nagyon is valódinak tűnik. Ilyenkor elindul a versenyfutás az idővel, hogy az esetleges károkat mérsékelni lehessen.
Az alábbiakban egy példán keresztül mutatok be egy ilyen, potenciális támadást.
Nem ritka dolog, hogy egy valódi üzleti partnertől, vagy valamilyen hatóságtól kaptunk meghamisított (azaz úgynevezett “spoofed”) levelet.
Ilyesmivel rendszeresen próbálkoznak a támadók, ám sok esetben ezeket könnyű kiszűrni, mivel az eredeti küldő címe is megjelenik zárójelben, ami általában valami nevesincs, kriksz-kraksz domain, ami nem is utal a küldő félre.
Az álca a konkrét esetben viszont szinte tökéletes volt, ha megnéztük a küldőt, akkor valóban csak a partner neve látszott feladóként.
A levélben volt egy link, ami Google Driveról töltött le egy kártékony kódot.
Az EDR szoftvernek (ami valós időben vizsgálja a felhasználók eszközein zajló informatikai folyamatokat, s jelez, amennyiben gyanús tevékenységet észlel) köszönhetően, ami észrevette, hogy a kód gyanús dolgokat csinál a felhasználó gépén, még időben sikerült leválasztani az érintett gépeket a hálózatról.
Kifejezetten az ilyen spoof-olt levelek ellen hozták létre az email autentikációs sztenderdeket, mint az SPF, DKIM és a DMarc.
Beállítható ezek segítségével, hogy mi történjen az olyan levelekkel, amiket a nevünkben küldenek el bárhol a világon bárkinek.
Lehetőségünk van beállítani, hogy amennyiben a nevünkben küld valaki levelet és az bizonyítottan nem tőlünk származik, akkor az a levél kerüljön a levélszemét mappába, vagy akár dobja el az email szerver.
Továbbá ezek segítségével az email-tűzfalunk pontozni tudja a bejövő leveleket (minél több mindent állítunk be, annál biztonságosabb) és ezáltal blokkolni akár a potenciális veszélyes leveleket.
Nem elég az, ha mindent elkövetünk annak érdekében, hogy kiszűrjük a csaló üzeneteket, ha a partnereink, akikkel kapcsolatban vagyunk, nem teszik meg a szükséges intézkedéseket.
Sajnos így rajtuk keresztül mi is sebezhetővé válunk, ami számunkra potenciális veszélyforrás.
Érdemes erre is odafigyelni, ha tehetjük olyan szoftvert használni, ami segíti ezt a munkát, illetve a főbb partnereket ilyen szempontból is ellenőrizni, akár szerződéses előírásokkal.
Szerző: Gyetvai Zsombor