Atacuri malware – EMOTET
De atacuri malware cu EMOTET s-a aflat inca din 2014, insa in Romania utilizarea lui a inceput de curand. Nu vom intra in detalii cu privire la acest malware intrucat se manifesta si poate fi contracarat la fel ca pe toti ceilalti virusi. Vom explica pe scurt si speram noi pe intelesul tuturor ce este un malware si cum ne protejam. Sfaturile de mai jos sunt GENERALE, iar daca sunteti putin atenti va puteti proteja de majoritatea virusilor ce folosesc aceleasi metode de raspandire si infectare.
Ce este un virus?
Fie ca vorbim de oameni, animale sau calculatoare, un virus sau un parazit NU ne vrea binele gazdei. In cazul calculatoarelor (aici includem, dar nu ne limitam la: laptop, desktop, telefon, tableta) virusul este o aplicatie ce urmareste/cauta informatii sensibile precum datele bancare si informatii personale pentru a le copia. De ce doar astfel de informatii? Intrucat informatiile personale si datele bancare se pot valorifica FOARTE usor pe piata neagra, aduc un venit rapid si sigur atacatorilor. Santajul cu pozele din vacanta poate functiona sau nu. Versiunile de virusi imbunatatite permit acum trimiterea de mesaje nesolicitate (spam) sau instalarea unor noi virusi, lucru ce iar aduce un beneficiu rapid atacatorilor.
Cum ne protejam?
Inainte sa stim cum ne protejam trebuie sa invatam cum il descoperim. In principal el se raspandeste prin trimiterea unor e-mail-uri ce contin atasamente. In general mail-urile contin un text ce te indruma la descarcarea si deschiderea fisierului atasat, spre exemplu: „Factura ta este atasata, te rog plateste” sau „Ti-am facut plata, atasat ai ordinul de plata” sau „Atasat este o noua comanda”. Fisierele atasate sunt in general executabile (.exe), insa pentru a va duce in eroare se folosesc si doua „terminatii” (de ex. .pdf.exe), NU am intalnit pana in acest moment ca o companie legitima sa trimita un document in format executabil. Mail-urile par a fi legitime, insa in general daca ne uitam atent putem observa ca difera o litera, este un punct in plus sau chiar intreg numele difera. Aici cel mai simplu exemplu este urmatorul: inloc ca mail-ul sa vina de la adresa de e-mail office@hlink.ro el vine de la office.hlink.ro@cinestieceesteaici.com sau office@h-link.ro sau office@hlinks.ro. Verificati ca adresa de e-mail sa fie cu cea afisata pe site-ul oficial sau cartea de vizita.
O alta metoda de protectie este utilizarea unui antivirus. Aici insa intram intr-o alta discutie. Un antivirus fie el si la zi POATE sa nu detecteze un virus nou. Nu spunem ca utilizarea unui antivirus este inutila, majoritatea producatorilor introduc noi si noi metode de detectie ce in general isi fac treaba. Insa daca este vorba de un virus nou, la fel ca la oameni, pana ce va fi analizat, considerat virus si gasita o cale de blocare va trece o perioada de timp, perioada ce poate fi de ajuns pentru a pierde economiile din banca. In general daca sunt utilizate parti dintr-un virus deja cunoscut sau un virus intr-o forma cunoscuta cu siguranta va fi blocat, insa ce te faci daca este un virus 100% nou?
O varianta mai putin utilizata, insa cu efecte bune, este crearea mai multor adrese de e-mail. Putem cataloga spre exemplu site-urile/aplicatiile in functie de importanta/seriozitatea/istoricul companiilor din spatele lor. Pentru cele sigure/importante utilizam o adresa de e-mail, pentru cele utile o alta si pentru cele in care nu avem incredere o alta. Puteti sa le catalogati/impartiti dupa bunul plac. Ideea din spatele acestei metode este urmatoarea: Atacatorii au nevoie de baze de date cu adrese de e-mail. Baze de date ce pot fi cumparate de la site-uri/aplicatii/firme mai putin serioase sau pot fi obtinute prin atacarea site-urilor/aplicatiilor/firmelor si sustragerea lor. Astfel daca dvs. utilizati in relatia cu banca spre exemplu adresa de e-mail xxy@xxy.ro si primiti un e-mail presupus a fi de la banca pe xxyz@xxyz.ro este clar ca este un fals. Banca nu are de unde sti cealalta adresa de e-mail. Metoda aceasta poate fi dusa la un alt nivel utilizand serviciile de gazduire HLINK. Pe orice pachet de gazduire web HLINK puteti activa functia de „Catch all” la e-mail. Ce inseamna acest lucru? Fara a mai fi necesara creare unei noi adrese de e-mail veti primii orice e-mail trimis pe orice adresa @domeniultau.ro chiar daca aceasta nu exista in realitate. Astfel puteti utiliza la fiecare site/aplicatie/firma o adresa de email unica pe care teoretic trebuie sa primiti mail-uri DOAR de la acea firma/site/aplicatie. Daca primiti de la altcineva mail-uri pe acea adresa inseamna ca ceva este putred in Danemarca.
Unde este posibil activati si autentificarea in doi sau mai multi pasi. Va poate ajuta sa va dati seama daca ati fost infectat. Daca primiti un sms de verificare si dvs. nu ati efectuat tranzactii/deschis aplicatia este clar ca altcineva incearca sa se autentifice.
Odata cazut in plasa este foarte greu sa observam diferente, virusul va rula in fundal si in general camuflat. Mai mult, el poate ramane inactiv o perioada si se poate activa sau actualiza automat in fundal. Daca nu era de ajuns, se poate raspandi pe toate dispozitivele vulnerabile sau cu parole slabe din retea.
Recapitulam:
1. Nu descarcam si deschidem fisiere primite intr-un e-mail nesolicitat sau daca nu asteaptam un astfel de fisier/e-mail.
2. Verificam cu atentie adresa de e-mail de la care se primeste mail-ul in cazul in care mail-ul pare de la cineva cunoscut.
3. Activam unde este posibil 2FA.
Cred ca am fost infectat, ce fac?
In primul rand nu te panica, nu arunca calculatorul la gunoi. Recicleaza.
Acum intr-o nota serioasa, trebuie sa resetezi/schimbi informatiile de acces (in general parolele) la tot ce consideri tu important. Nu uita de intrebarile de securitate (Numele primului animal, Numele de mama, etc.). NU schimba aceste date de pe un dispozitiv ce a fost conectat in aceiasi retea cu dispozitivul infectat intrucat nu ai cum sa verifici daca este infectat sau nu.
Iti recomandam reinstalarea/resetarea sistemului de operare, cum se zice in popor: „este cel mai sfant domne”.
Recapitulare finala si probabil ce trebuie sa retineti:
- Nu descarcam nimic primit pe e-mail, mai ales daca NU am solicitat noi un asemenea document/fisier.
- Verificam cu atentie de la cine primim acel e-mail – Verificam sa nu exista puncte, semne sau alte adaugari in adresa de e-mail. Daca ni se pare ceva ciudat contactam persoana/firma/banca telefonic sau prin alta metoda de contact pentru a cere clarificari.
- Nu am mentionat anterior, insa NU vei castiga un concurs FARA sa participi la el. Ignorati mail-urile in care sunteti declarat castigator daca nu ati participat.
- Imediat ce credem ca am fost infectati, resetam tot ce inseamna date sensibile de pe un alt dispozitiv.
Mai departe este alegerea dvs., ca reciclati dispozitivul, ca il reinstalati, ca il resetati sau doar il scanati cu un antivirus. Orice metoda alegeti este buna daca va face sa va simtiti in siguranta!
Cum tratam la HLINK aceste amenintari?
La HLINK utilizam cele mai noi si cele mai populare metode de blocare a acestor mail-uri nesolicitate, utilizam chiar si echipamente fizice prin care este trecut tot traficul de date pentru analiza, insa este posibil ca unele mail-uri nesolicitate sa fie atat de bine facute inca sa pacaleasca filtrele si sa ajunga la dvs.
Recomandam sa ne informati ori de cate ori un astfel de e-mail ajunge in casuta dvs. de e-mail, noi astfel putem verifica de ce si cum a trecut de filtre si il vom putea bloca pe viitor. Nu ne ajutati doar pe noi, ci pe toti cei ce utilizeaza aceleasi solutii de filtrare – majoritatea industriei de hosting.
Recommended Posts
De ce este necesar sa avem o copie de rezerva?
octombrie 7, 2020
HLINK implementează IPv6
decembrie 26, 2015
Autentificare in doi pasi la HLINK
septembrie 30, 2020